帮助中心

帝恩思:为什么要选择DNS热备方式

时间 : 2022-04-02编辑 : DNS智能解析专家
分享 : 

1、安全背景

域名服务包含了权威域名服务和递归域名服务,服务的正确、安全和可靠运行对于整个互联网的发展和建设来说至关重要。分析发现,国内域名服务在配置管理和运行维护方面均存在不同程度的安全隐患,域名服务系统面临以下风险

DNS系统应用程序崩溃:域名解析服务系统所用软件极其重要,如因配置不当或升级延迟,软件存在的漏洞容易被黑客利用。近年来开源软件BIND被广泛使用,一旦该软件出现严重安全漏洞,互联网服务体系将面临灾难性崩溃。

分布式拒绝服务攻击(DDoS Attack):DDoS攻击手段是在传统的DoS攻击基础之上产生的更有效的攻击方式。其攻击手段往往是攻击者组织大量的傀儡机同时向域名服务器发送大量查询报文,这些报文看似完全符合规则,但往往需要DNS服务器花费大量时间进行查询,从而使DNS瘫痪。

DNS放大、反射攻击:目前的DDoS攻击通常与“DNS放大攻击”和“DNS反射攻击”配合实施。在这两类攻击中,DNS服务器往往不受攻击目标,而是充当了无辜的被利用者的角色。这种攻击向互联网上的一系列无辜的第三方DNS服务器发送小的和欺骗性的询问信息。这些DNS服务器随后将向表面上是提出查询的那台服务器发回大量的回复,导致通讯流量的放大并且最终导致攻击目标瘫痪。

2、安全事件

2016年10月22日,DNS服务提供商Dyn公司托管的全球基础设施遭到了大规模DDoS攻击,大半个美国的用户遭遇了一次集体“断网”事件,让很多人都陷入混乱当中。

据外媒报道,各大美国热门网站当天都出现了无法访问的情况,根据用户反馈,包括Twitter、Spotify、Netflix、Github、Airbnb、Visa、CNN、华尔街日报等上百家网站都无法访问、登录。

“在攻击高潮时,vantage公司约75%的数据中心发送了未被Dyn的服务器回应的查询。”ThousandEyes产品营销高级总监尼克·克普哈特在一篇博客中写道。正如克普哈特所指出的,虽然攻击影响了所有Dyn公司的客户,但依赖Dyn公司作为其唯一DNS提供商的企业的损失却大得多。根据ThousandEyes的说法,Dyn公司的大多数客户都是这种情况。“因为他们在DDoS攻击期间没有备份DNS提供商的服务,这些客户最易受到服务完全不可用的影响。”克普哈特写道。

3、企业应对方案

Gartner分析师鲍勃·吉尔(Bob Gill)表示,企业不应仅仅因为Dyn被ddos攻击的事件而抛弃其DNS服务提供商。DNS服务提供商通常仍比内部DNS可靠得多。因此,公司不应抛弃当前的提供商,而应确保采取了冗余措施。

Gill表示,至少有一些使用了多个DNS服务的Dyn客户能够相当快地从攻击中恢复。事实上,Dyn断网事件确实给企业网站域名服务敲响了警钟,业务有上一定规模的企业事后均采取了相关的冗余保护措施。