雲解析DNS如何有效應對頻發的DDoS攻擊？（中科三方）

DNS作為網際網路執行的核心基礎資源，承擔著將域名指向IP的重要定址功能，是保障網路互聯互通的基礎和前提。DNS安全無法得到保障，導航系統失效，整個網路空間就會陷入混亂無序的狀態。

正是由於其在網路中的特殊位置和作用，DNS長期以來都是網路攻擊的重點物件。隨著網路技術的快速更新迭代以及國際形勢的複雜化演進，DNS安全問題日益凸顯，對網路環境的安全穩定造成了嚴重威脅。而在眾多DNS攻擊中，對DNS安全危害最大的無疑是DDoS攻擊。

什麼是DNS DDoS攻擊

DDoS攻擊是DoS攻擊的升級版，與DoS攻擊不同，DDoS攻擊將處於不同位置的多個計算機聯合起來作為攻擊平臺，對一個或多個目標發動DDoS攻擊，從而成倍提高攻擊威力，在短時間內透過超大流量攻擊耗盡被攻擊目標的伺服器頻寬資源，淹沒系統，造成伺服器無法響應正常請求甚至當機。

需要說明的是DDoS攻擊的目標不僅限於web伺服器，DNS解析伺服器同樣會成為DDoS攻擊的物件。DNS系統是開放不間斷的系統，任何人都可以對DNS系統發起域名請求，且DNS採用的是無連線、不可靠UDP協議，攻擊者可以很好地隱藏自己不被追溯，這就使得針對DNS系統發動攻擊變得更加容易，也更難防範。

DNS DDoS攻擊的危害

DNS遭受DDoS攻擊所造成的危害是巨大的，DDoS攻擊嚴重消耗DNS伺服器頻寬，導致正常的解析請求得不到響應，其所管轄的所有域名的解析訪問都會受到嚴重影響，所造成的破壞力是驚人的。2016年美國的“黑色星期五”事件，導致大半個美國“斷網”，就是由於美國的DNS服務商Dyn遭遇大規模DDoS攻擊所造成的。

傳統解析技術在面對DDoS攻擊時，並沒有有效的應對手段，往往僅憑自身頻寬去硬扛，很容易造成伺服器資源被消耗一空，使得其他正常的域名解析請求得不到響應。在網路環境日益複雜，DNS攻擊頻發的背景下，傳統解析技術已經無法滿足廣大政府機關和企業對DNS安全的迫切需求。

雲解析DNS如何應對DDoS攻擊

採用具備高防DNS的新一代雲解析，透過健康監測、彈性頻寬、流量清洗等技術手段實現對DDoS攻擊的主動監測和防禦，是一種比被動捱打和遭受攻擊後再反擊更有效的保障措施。

彈性頻寬

雖然DDoS攻擊時有發生，但長時間購買超大頻寬並不現實，因此彈性頻寬被廣泛採用。當伺服器未遭受攻擊時，頻寬設定為保障客戶可以正常請求的資源量，一旦監測到伺服器遭受DDoS攻擊，頻寬瞬間放大，保證足夠的流量冗餘，確保解析線路不會擁堵，能夠快速響應正常的解析請求。

流量清洗

在面對DDoS攻擊時，雲解析DNS不再像傳統解析一樣對惡意流量聽之任之，僅憑自身頻寬去硬扛，而是會透過特定的網路流量演演算法，對發起解析請求的IP做出精準判斷，智慧識別正常請求和惡意攻擊，並對惡意流量做出及時清洗和過濾。當再次檢測到相同地址的惡意請求時，會直接交由快取系統應答，緩解DNS伺服器所承受的攻擊壓力。

DDoS防火牆

雲解析配備專業的DDoS防火牆，可有效抵禦DDoS、UDP Flood、ICMP、GMP、SYN Flood、ARP攻擊、非TCP/IP協議層攻擊等其他多種的未知攻擊，DDoS防火牆獨特的抗攻擊演演算法，可實現使用極少資源防禦大量攻擊的效果。DDoS防火牆還具備監控功能，一旦發現伺服器遭受攻擊，客戶端和伺服器端將同時收到警告資訊。

健康監測/當機切換

雲解析在國內和海外設定多個解析監測節點，可以透過ping命令、TCP/UDP探測和http（s）協議等方式對網站健康程度進行實時監測。當遭受DDoS攻擊時，雲解析系統會根據負載均衡策略，將流量分攤至不同伺服器，保障各條線路都有一定的流量冗餘。如果監測到伺服器當機現象發生時，雲解析系統會立即將解析切換至備用伺服器上，以維持業務系統的高可用性。

… …

DDoS攻擊作為最常見和破壞性最強的攻擊手段，對DNS的安全造成了嚴重威脅。雲解析作為替代傳統解析的新一代解析技術，其所具備的高防DNS功能，在應對頻發的DDoS攻擊時，一改以往被動捱打的局面，表現得更為智慧、更為主動，透過彈性頻寬、流量清洗、DDoS防火牆構建起堅實的DDoS防護盾，形成對DDoS攻擊的有效監測和防禦，是抵禦DNS DDoS攻擊最有效的技術手段之一。