1、安全背景
域名服务包括权威的域名服务和递归域名服务,服务的准确、安全、可靠的运营对整个互联网的发展和建设至关重要。 分析表明,国内域名服务在配置管理和运营维护方面存在不同程度的安全隐患,域名服务系统面临以下风险。
DNS系统应用程序崩溃:域名解析服务系统使用的软件非常重要,由于配置不当和升级延迟,软件中存在的漏洞很容易被黑客利用。 近年来开源软件BIND被广泛使用,如果该软件出现重大安全漏洞,互联网服务体系将面临灾难性的崩溃。
分布式拒绝服务攻击(DDoS Attack):DDoS攻击手段是基于传统DoS攻击产生的更有效的攻击。 其攻击手段往往是攻击者组织大量傀儡机同时向域名服务器发送大量查询消息,这些消息看起来完全符合规则,但往往需要DNS服务器花很多时间进行查询
DNS放大、反射攻击:当前的DDoS攻击通常与“DNS扩增攻击”和“DNS反射攻击”合作实施。 在这两种攻击中,DNS服务器往往不成为攻击的目标,发挥着无辜的使用者的作用。 此攻击向互联网上一系列无辜的第三方DNS服务器发送小的欺诈性的查询信息。 这些DNS服务器随后表面上向查询的服务器发送大量回复,导致通信流量扩大,最终使攻击目标下降。
2、安全事件
2016年10月22日,由DNS服务提供商Dyn托管的全球基础设施遭到大规模DDoS攻击,大部分美国用户遭遇集体“断网”事件,很多人陷入混乱。
据外媒报道,美国大型人气网站当天陷入的状况。 根据用户反馈,Twitter、Spotify、Netflix、Github、Airbnb、Visa、CNN、华尔街日报等100多家网站和登录。
“攻击达到时,vantag3、企业应对方案
Gartner分析师鲍勃·吉尔( Bob Gill )表示,企业不应仅仅因为Dyn被ddos攻击的事件而抛弃DNS服务提供商。 DNS服务提供商通常比内部DNS可靠得多。 因此,公司必须确保采取了冗长的措施,而不是抛弃目前的承保人。
Gill说,至少使用一些DNS服务的Dyn客户可以很快从攻击中恢复。 事实上,Dyn断网事件确实给企业网站域名服务敲响了警钟,业务有一定规模的企业事后采取了相关的冗余保护措施。
