前言
互联网、大数据等信息技术的快速迭代,极大地促进了金融科技的创新,加快了金融数字化转型的进程。随着互联网业务量的增加,金融行业用户发现,免费DNS解析服务无法满足业务需求,开始寻求更稳定可控的解决方案,如自建解析服务集群。然而,DNS协议的设计限制使其易受攻击,特别是近年来频繁出现的ddos攻击,传统防护手段难以应对,导致DNS服务被攻击瘫痪,造成业务损失。云端DNS服务因其分布式架构、弹性扩展资源、强大的计算能力和带宽储备等特点,成为防护ddos攻击的新手段。
互联网大潮下的金融业DNS发展趋势
在互联网初期,金融行业开始逐渐开展基于互联网的业务,但由于缺乏专业的DNS解析设备和DNS解析托管服务云平台,大多数企业选择使用注册商提供的免费DNS解析服务。随着业务量的逐步增加,金融企业发现免费的解析服务无法满足业务发展需求,因此开始寻找更稳定、可控的DNS系统解决方案。一些企业开始使用开源软件如BIND等自建解析服务集群,可用性、性能、可维护性等方面均有大幅提升。海外专业DNS设备厂商的进入,也开启了金融企业购买专业设备搭建互联网DNS解析服务的新时代。
随着移动互联网的发展和互联网+概念的提出,人们对网络的依赖性也越来越强,DNS作为所有业务的入口,变得比以往任何时候更加重要。由于DNS协议设计的局限性,使其更容易受到攻击,攻陷成本也相对较低。近年来,针对DNS的DDOS攻击变得越来越频繁,传统的运营商流量清洗、高防服务、专业抗攻击设备等防护手段难以发挥作用,屡次出现DNS服务被攻瘫的情况,造成了重大的业务损失和不良影响。
随着云端DNS服务的出现,为DNS DDOS攻击防护,提供了新的手段。云端DNS权威解析服务,通过分布式的架构部署,可弹性扩展的资源,具备强大的计算能力和带宽储备。从而具备天然的DDOS被动防护属性。中等规模或者较大规模的DDOS攻击难以耗尽云端解析服务资源,或者需要极高的成本才能做到,其抗攻击能力相比传统自建解析集群提升好几个数量级。
同时云端DNS依靠众多的托管域名和解析流量,通过大数据挖掘,能够对DNS行为进行分析,识别和阻断其中的风险,如随机子域名攻击,畸形报文攻击等攻击行为,并进行黑白名单防护策略防护、解析限速策略防护等方式,形成强大的主动防护能力。ZDNS云端DNS被动防护为主,主动防护为辅的防护策略,经过多年的实践验证,是目前业内最有效的攻击防护方式。
ZDNS“抗D”方法论
自2010年以来,金融企业逐渐意识到了DNS云服务的优势,并开始逐步将DNS解析上云。对于没有自建解析服务历史包袱的客户来说,通常选择将DNS解析服务完全上云,以解决DNS安全问题。而对于一些无法完全放弃本地自建服务的用户,则选择本地DNS+云服务混合部署的方式,本地自建和云服务同时对外提供解析服务,以提升解析服务的安全性。
对此,部分银行机构采用的是混合部署方式,而另一部分则采用的是设备为主,云服务为冷备的方式。这两种方法都可以很好地解决DNS攻击风险,提升可用性和生存能力,但需要较多的人工介入来同步本地设备和云端的解析数据,增加了运维的工作量和数据不一致的风险。
为解决这一问题,ZDNS在过去十年的DNS抗D服务经验和用户的实际使用体验基础上,开发了DNS抗D备份服务,并于2022年6月正式上线。该服务可以彻底解决数据同步的问题,同时具备DNS DDOS攻击防护和DNS权威解释服务应急接管能力,并且可以兼容多种专业解析设备。在常态情况下,该服务仅启用攻击防护模式,将所有DNS解析请求透传至用户自建解析服务器,本身不参与解析。而当自建设备故障无法提供解析服务时,该服务可自动接管DNS权威解析服务,不再依赖自建设备,起到容灾备份的作用。
经过近6个月的测试验证,某大型国有银行于2022年12月正式上线了ZDNS抗D备份服务,目前已经稳定运行了3个多月,没有出现任何问题。该服务各项指标完全达到了行方要求,为金融行业客户本地自建DNS的安全加固提供了新的解决方案。
总结
随着金融行业和其他行业对互联网业务的快速发展,DNS系统的可靠性和安全性日益成为业务稳定运行的关键因素。云端DNS服务作为新型的解决方案,具有强大的防护能力和优越的性能,已经成为金融和其他行业的DNS解决方案的主流选择。在未来,随着技术的不断发展和应用场景的不断扩展,云端DNS服务将继续发挥其优势,为各行业提供更为可靠和安全的DNS服务。
原文链接:https://www.163.com/dy/article/I11KA1130552OEU9.html
原创文章,作者:优速盾-小U,如若转载,请注明出处:https://www.cdnb.net/bbs/archives/21718