攻击从200w到4000w QPS,我选择了这样的DNS方式

今年以来,DNS攻击事件与日俱增,攻击力和造成的损失都十分很惊人。黑客打垮DNS服务能够间接打垮一家公司的全部业务,甚至打垮一个地区的网络服务,让不少企业厂商都心有余悸。

不久前,某企业的DNSQuery查询攻击持续两周,期间最大流量从200wQPS 到400wQPS再到4000wQPS,查询攻击数量持续大幅度地提升。针对短期内野蛮生长的DNS攻击,此企业做出了一连串的防御措施,帝恩思有幸参与其中,总结了整个过程并分享给广大用户,给大家提供一些参考。

攻击从200w到4000w QPS,我选择了这样的DNS方式

(以下为语音实录整理)

1月份的时候,我公司的网站突然出现了大量的查询请求数,差不多是200万的QPS。当时我同时购买了阿里云和帝恩思家的域名解析和防护,并借此对比了一下两家的防护效果。

当查询请求数最大流量达 400万QPS的时候,超过了(阿里的)套餐防护值,阿里就直接封掉了我的域名。当涉及到升级更高版本,支付成本也会增多的时候,我就去市面上查看那些知名DNS安全厂商,以便做好下一步选择。

lDNSPOD

DNSPOD口碑不错,DNSPOD官网号称域名攻击最高防护量达200万QPS,DNS防护流量是200G。而我所受的攻击早就超过了DNSPOD安全阈值,当时就没选择dnspod做试用防护。

l阿里云DNS

阿里云云解析DNS的特点主要在于较多的云 DNS 集群节点,用户可独享多线BGP,其提供的最高100G防护流量,免受攻击带来的影响,但需要购买较高版本套餐,一旦攻击值超过防护值,阿里就给封了。

l帝恩思

原来的51dns发展来的,官网上说域名解析服务具有500G超强防护能力,当时也是攻击值超过了防护值给封掉了,联系他们客服才给解封,后来他们客服服务态度不错,不管攻击值多高,也没封掉域名,还挺感谢他们帮忙防护的。

l360DNS

号称云dns集群+高防dns+智能dns服务标准,自主研发的云dns集群技术,无限制dns服务器数量,能够自动判断线路附近服务,精心挑选每个dns服务器,拥有超强的抗查询攻击能力,有效抵御ddos攻击等各种查询攻击。(没找到用户使用心得)

此时网站攻击值与日俱增,已经持续了快2周时间,从后台数据报表看最大的查询请求数达 4000万QPS。我们的CTO将 TTL设置为24小时,也就是说可以在缓存中查询到24小时网站的内容,可以暂缓本地用户的正常访问。

与此同时,我们不得不采取多家高防厂商的dns解析抗D。从目前的状况来看测试了阿里云DNS、帝恩思、360DNS三家,三家轮转,互为灾备。但有个问题存在——当某一家安全厂商攻防不住的时候,但又由于TTL设置成为24小时,就说明缓存的错误内容会持续分发给DNS,还是造成了域名解析错误。黑客达到搞垮网站的目的,造成企业的损失。

还有递归服务器的问题,如果查询请求数特别大的时候,运营商为了缓解他的服务器的压力,还是会把我的域名封掉,这样网站依旧是打不开。

所以唯一的办法是,全部切换到一家DNS安全厂商上去。

我们技术团队商讨对比了这三家厂商服务和产品,最终选择了帝恩思。无他,因为这次攻击中,帝恩思这个企业是唯一一家真的用心的企业,因为帝恩思的客服会实时与我们沟通攻击状况和解决方案,以确保我们的网站能够正常访问。

鉴别一家好的安全厂商,就只有一条标准,就是能确保我的网站能够稳定访问。

攻击从200w到4000w QPS,我选择了这样的DNS方式

梳理了上述事件的经过,小编深有感悟,原来对于用户来说,其实需求很简单,只要用心处理用户的问题,最大程度保障用户需求,就能得到他们的认可和信任。 “帝恩思在此次事件中展现的技术的硬实力,一对一的及时有效的服务,专业的解决方案,在同行业中都是首选。”千万句的自吹自擂,不如用户一句中肯的评价来的热泪盈眶。

不过,作为一家以技术立足的企业,还是要从理性的角度分析下此类攻击事件的防御原理,整理出一套具有借鉴意义的应对之策——

最大查询请求数达 200W QPS时,应对方案:

选择两家技术过硬,排名靠前的DNS安全厂商,这样可以选择一家作为灾备。

此次客户选择的是 帝恩思和阿里云。

最大查询请求数达400W QPS时,应对方案:

升级防御,选择抗攻击能力强的DNS安全厂商,增至三家。当最大查询请求数达400W QPS时,已经达到某些DNS安全厂商的最大阈值,所以审慎考虑。

此次客户选择的是 帝恩思、阿里云、360。

最大查询请求数 4000W QPS时,应对方案:

TTL 设置24小时,切换到一家最好的DNS安全厂商(从技术、服务和解决方案角度考虑)

TTL 设置24小时,即便网站不运行在缓存中可查询到24小的网站的内容,但三家做灾备涉及防御轮转,当某一家安全厂商攻防不住的时候,网站可以正常运转,但由于TTL设置成为24小时,就说明缓存的错误内容会持续分发给DNS,还是造成了域名解析错误,黑客达到搞垮网站的目的,造成了企业的损失。

此次客户选择的是 帝恩思!

企业的安全防护是一段严谨而务实的征程,面对越来越高频的黑客攻击,不仅产品的技术功能面临更严峻的挑战,并且对于一线人员的服务意识与服务能力提出更高的要求。一件切实服务的案例,抵过千万句空口承诺,我们为之保驾护航的客户,会用脚做出他们自己的选择。

原理:DNS Query Flood就是攻击者操纵大量傀儡机器,对目标发起海量的域名查询请求。为了防止基于ACL的过滤,必须提高数据包的随机性。常用的做法是UDP层随机伪造源IP地址、随机伪造源端口等参数。在DNS协议层,随机伪造查询ID以及待解析域名。随机伪造待解析域名除了防止过滤外,还可以降低命中DNS缓存的可能性,尽可能多地消耗DNS服务器的CPU资源。

原文链接:http://www.360doc.com/content/17/0131/00/29574182_625532410.shtml

原创文章,作者:优速盾-小U,如若转载,请注明出处:https://www.cdnb.net/bbs/archives/20664

(0)
上一篇 2023年9月9日 04:52
下一篇 2023年9月9日 09:47

相关推荐

发表回复

您的电子邮箱地址不会被公开。 必填项已用*标注

优速盾注册领取大礼包www.cdnb.net
/sitemap.xml