雲解析DNS的安全性主要體現在哪些方面?(中科三方)

youbingke發表於2023-03-08

隨著國際形勢的日趨複雜以及網路技術的快速發展,網路安全問題日益凸顯,而DNS作為網路互聯中的導航系統內,其安全性是保障網際網路環境安全穩定的關鍵因素。也正因此DNS的重要作用,以及DNS固有的先天缺陷,導致DNS很容易成為網路攻擊目標。因此加強DNS系統的安全防護對於提升網路安全能力至關重要。

針對DNS的攻擊主要分為DNS劫持和DDoS攻擊兩種。DNS劫持是指攻擊者透過快取投毒或修改NS記錄等方式,用錯誤的解析資料替代正確的解析記錄,從而將訪客引導至受攻擊者控制的站點,或者是不存在的站點。

與針對web伺服器發動DDoS攻擊一樣,攻擊者同樣可以操縱分佈全國的肉雞對DNS解析伺服器發動DDoS攻擊。攻擊者透過對DNS伺服器管轄的域名發起超大流量的訪問請求,就會形成對DNS伺服器的頻繁解析請求,從而在極短時間內耗盡DNS服務頻寬,導致正常解析請求得不到響應,進而使得DNS伺服器所管轄的所有域名解析都受到影響。2016年美國的“黑色星期五”事件,導致大半個美國“斷網”,就是由於美國的DNS服務商Dyn遭遇大規模DDoS攻擊所造成的。

傳統的解析技術為了減輕DNS伺服器壓力,往往會設定較大的TTL值,這就給了攻擊者可乘之機,利用DNS快取進行投毒,實現DNS劫持的目的。而云解析DNS可支援低至秒級的TTL值,實現DNS快取的快速更新,有效避免攻擊者利用DNS快取發動DNS劫持攻擊。

針對web伺服器發起的DDoS攻擊,雲解析可以透過負載均衡和健康監測,智慧分配DDoS攻擊,將流量引導至不同伺服器,避免單個伺服器抵擋不住攻擊而癱瘓。而針對DNS伺服器發動的DDoS攻擊,雲解析DNS可透過彈性頻寬、流量清洗、DDoS防火牆等方式進行有效防禦。

彈性頻寬,與傳統解析固定頻寬不同,雲解析DNS系統採用彈性頻寬技術。在平時頻寬維持在可供使用者正常解析範圍內,當遭受DDoS攻擊時,雲解析DNS的頻寬會瞬間放大,避免DDoS攻擊流量將頻寬佔滿,影響正常解析。

流量清洗,傳統解析在面對DDoS攻擊時,往往僅憑自身頻寬去硬抗,而云解析DNS則可以透過特定的網路流量演演算法,精準識別正常請求和惡意攻擊流量,並對惡意流量進行及時清洗。

DDoS防火牆,雲解析DNS配備有專業的DDoS防火牆,可以有效防禦DDoS,UDP Flood,ICMP,IGMP,SYN Flood,ARP攻擊,非TCP/IP協議層攻擊等其他多種的未知攻擊。

綜合來看,雲解析DNS相比傳統解析技術,其所具有的負載均衡、當機切換、彈性頻寬、流量清洗等特點,可以有效提升DNS系統的安全防護能力,應對日益複雜的網路安全風險。


來自 “ ITPUB部落格 ” ,連結:http://blog.itpub.net/69996004/viewspace-2938729/,如需轉載,請註明出處,否則將追究法律責任。

相關文章