保障DNS安全，混合云才是未来？

上周五（10月21日），美国DNS服务提供商Dyn遭受大规模攻击，导致诸多网站停止服务，换句话说，这次攻击使得美国半个互联网瘫痪。而且，这断断续续长达6个小时的攻击，毫不夸张的说，此次损失为天文数字。

红色为美国遭受攻击断网的区域

说瘫就瘫？

DNS相当于互联网的通讯录，其作用是翻译域名到IP地址，换句话说，DNS出现故障就等同于互联网出现故障。

此次事件需要追溯到9月份被公开的恶意软件“Mirai”源代码，黑客使用Mirai与物联网相结合， 通过互联网搜索物联网设备，当扫描到物联网设备（包括网络摄像头，智能开关等）后就尝试使用默认密码登陆，（一般为admin/admin,Mirai病毒自带60个通用密码）。一旦登陆成功，这台设备就成为“肉鸡”，开始被黑客操控攻击其他网络设备；于此造成了有史以来最大的620Gbps的DDoS攻击。

源代码所公布的用户名和密码

有多大影响

Imperva公司对全球49657个受Mirai感染的设备IP调查后发现，Mirai僵尸网络已遍及164个国家。此次事件中，黑客便是通过被Mirai病毒感染的IOT（网络摄像头，路由器等）设备组成的僵尸网络，接连不断地对DYN公司的DNS发起域名解析请求，从而制造出这几乎搞瘫近半美国互联网的DDOS攻击。

美国未受保护的摄像头

此次所瘫痪遭受的损失不可估量，而DYN旗下有超过150家网站，其中有77家网站中招。受影响网站包括GitHub、Twitter、Spotify、Amazon 等。DYN公司CEO  John van Siclen表示此次攻击导致的瘫痪让公司损失高达1亿1千万美金。这仅仅是冰山一角。

2014 年 Imperva Incapsula 公司给出报告：超过三分之一的公司遭受 DDoS 攻击后每小时损失 2 万美元以上（部分公司这一数字可达到百万甚至千万美元）。考虑到受波及的公司数目众多，时长之长，按照这个标准估计，此次的损失就是天文数字！

此外公司除了在被攻击期间可能损失订单等等，事发后还要忍受一段时间的工作效率大幅下降，并需要对物联网设备进行软硬件维修升级，这部分人力物力时间效率的成本，也是不可估量的。

这么不安全？ 

这些物联网设备（IOT）的数量庞大，有传输大量数据的需求，其流量带宽通常被设定得较高。由于物联网安全供应商在安全方面并没有十分重视，这些设备中通常存在着不同程度的漏洞，十分容易遭到黑客的入侵利用。

英国安全咨询公司PenTestPartners曾经警告说：物联网将来会成为完美的僵尸网络：容易妥协，很难修补，因为物联网本身就是僵尸网络的一部分。而未来IOT机器人可以使用WEB而不是TELNET（如MIRAI使用的），这使得ISP更加难以阻止攻击流量。这种网络可以为MIRAI提供更多掩护。

随着物联网的发展，智能硬件大约都可能成为网络攻击的入口。而其规模庞大，安全性能上的缺失想必都将助长网络攻击的嚣张气焰。

企业应如何避免遭受DNS攻击所带来的损失

1.替选备用DNS供应商

当美国数一数二的DNS运营商DYN都未能幸免，还如何保证自身安全？Dyn的同行DNS 厂商Made Easy公司

在此时此刻告诫广大客户，不要把鸡蛋放在同一个篮子里，应该为自家的DNS解析找好备用厂商，毕竟企业

DNS的安全性、稳定性才是最重要的。

2. 选择私有自建+云端灾备的混合云方式

当流量攻击汹涌而来的时候，仅凭一己之力去承受，这无异于冷兵器遇到船坚炮利。在攻防资源极其不对等的今天，仅仅通过部署具有“流量大扛不住，运维成本高”的机房来防护DDoS攻击的单一模式显然是不行的。

DNS.COM正在构建的产品体系

作为国内第一家提出DNS混合云解决方案的域名解析商，DNS.COM提供独立的智能DNS设备，用户可在任意自有网络快速部署，通过全WEB管理界面，为用户提供安全、稳健、高效的私有云DNS，并同时为企业提供云端DNS灾备解决方案，即私有自建机房+云端容灾结合。

DNS.COM智能DNS设备单机处理能力可扩容至5000万QPS，如果这还不足以面对汹涌的攻击，DNS.COM为用户提供公有云DNS解决方案，通过在全球范围部署BGP+ANYCAST超500G的接入网络，有效清洗各类DNS攻击，攻击来临时，公有云DNS可通过灾备切换、负载两种方式迅速接管并提供解析服务，并提供持续SLA服务保障。

DNS.COM平台目前为超过1200万个域名提供解析服务，每天处理超1000亿次查询请求，全网解析处理能力超5.2亿每秒。