保障DNS安全,混合云才是未来?

时间 : 2016-12-16 编辑 : DNS智能解析专家 分享 : 

上周五(1021日),美国DNS服务提供商Dyn遭受大规模攻击,导致诸多网站停止服务,换句话说,这次攻击使得美国半个互联网瘫痪。而且,这断断续续长达6个小时的攻击,毫不夸张的说,此次损失为天文数字


红色为美国遭受攻击断网的区域

说瘫就瘫?

DNS相当于互联网的通讯录,其作用是翻译域名到IP地址,换句话说,DNS出现故障就等同于互联网出现故障。

此次事件需要追溯到9月份被公开的恶意软件“Mirai”源代码,黑客使用Mirai与物联网相结合, 通过互联网搜索物联网设备,当扫描到物联网设备(包括网络摄像头,智能开关等)后就尝试使用默认密码登陆,(一般为admin/admin,Mirai病毒自带60个通用密码)。一旦登陆成功,这台设备就成为“肉鸡”,开始被黑客操控攻击其他网络设备;于此造成了有史以来最大的620GbpsDDoS攻击。

源代码所公布的用户名和密码


有多大影响

Imperva公司对全球49657个受Mirai感染的设备IP调查后发现,Mirai僵尸网络已遍及164个国家。此次事件中,黑客便是通过被Mirai病毒感染的IOT(网络摄像头,路由器等)设备组成的僵尸网络,接连不断地对DYN公司的DNS发起域名解析请求,从而制造出这几乎搞瘫近半美国互联网的DDOS攻击。

 

美国未受保护的摄像头



此次所瘫痪遭受的损失不可估量,而DYN旗下有超过150家网站,其中有77家网站中招。受影响网站包括GitHubTwitterSpotifyAmazon 等。DYN公司CEO  John van Siclen表示此次攻击导致的瘫痪让公司损失高达1亿1千万美金。这仅仅是冰山一角。

2014 Imperva Incapsula 公司给出报告:超过三分之一的公司遭受 DDoS 攻击后每小时损失 2 万美元以上(部分公司这一数字可达到百万甚至千万美元)。考虑到受波及的公司数目众多,时长之长,按照这个标准估计,此次的损失就是天文数字!

此外公司除了在被攻击期间可能损失订单等等,事发后还要忍受一段时间的工作效率大幅下降,并需要对物联网设备进行软硬件维修升级,这部分人力物力时间效率的成本,也是不可估量的。


这么不安全? 

这些物联网设备(IOT)的数量庞大,有传输大量数据的需求,其流量带宽通常被设定得较高。由于物联网安全供应商在安全方面并没有十分重视,这些设备中通常存在着不同程度的漏洞,十分容易遭到黑客的入侵利用。

英国安全咨询公司PenTestPartners曾经警告说:物联网将来会成为完美的僵尸网络:容易妥协,很难修补,因为物联网本身就是僵尸网络的一部分。而未来IOT机器人可以使用WEB而不是TELNET(如MIRAI使用的),这使得ISP更加难以阻止攻击流量。这种网络可以为MIRAI提供更多掩护。

随着物联网的发展,智能硬件大约都可能成为网络攻击的入口。而其规模庞大,安全性能上的缺失想必都将助长网络攻击的嚣张气焰。


企业应如何避免遭受DNS攻击所带来的损失


1.替选备用DNS供应商

当美国数一数二的DNS运营商DYN都未能幸免,还如何保证自身安全?Dyn的同行DNS 厂商Made Easy公司

在此时此刻告诫广大客户,不要把鸡蛋放在同一个篮子里,应该为自家的DNS解析找好备用厂商,毕竟企业

DNS的安全性、稳定性才是最重要的。



2. 选择私有自建+云端灾备的混合云方式

当流量攻击汹涌而来的时候,仅凭一己之力去承受,这无异于冷兵器遇到船坚炮利。在攻防资源极其不对等的今天,仅仅通过部署具有“流量大扛不住,运维成本高”的机房来防护DDoS攻击的单一模式显然是不行的。





DNS.COM正在构建的产品体系



作为国内第一家提出DNS混合云解决方案的域名解析商,DNS.COM提供独立的智能DNS设备,用户可在任意自有网络快速部署,通过全WEB管理界面,为用户提供安全、稳健、高效的私有云DNS,并同时为企业提供云端DNS灾备解决方案,即私有自建机房+云端容灾结合。


DNS.COM智能DNS设备单机处理能力可扩容至5000QPS,如果这还不足以面对汹涌的攻击,DNS.COM为用户提供公有云DNS解决方案,通过在全球范围部署BGP+ANYCAST500G的接入网络,有效清洗各类DNS攻击,攻击来临时,公有云DNS可通过灾备切换、负载两种方式迅速接管并提供解析服务,并提供持续SLA服务保障。


DNS.COM平台目前为超过1200万个域名提供解析服务,每天处理超1000亿次查询请求,全网解析处理能力超5.2亿每秒。