2013年3月18日,国际反垃圾邮件组织网站Spamhaus开始遭受DDoS攻击,到3月27日,攻击流量峰值已经达到300Gbps,成为史上最大DDoS攻击。该次攻击造成欧洲地区的网络拥塞。本次攻击的入口就是DNS。攻击者借助现网数量庞大的开放DNS服务器,采用DNS反射攻击将攻击流量轻松放大100倍。这种利用开放式DNS服务器进行放大式的DDOS攻击证明:DNS安全漏洞大。而开放DNS服务器在互联网上数目庞大,远不止3万台,即针对DNS的攻击可以大到出乎你想象。
开放式DNS服务器是定时炸弹
一次攻击造成整个欧洲网络处于基本瘫痪地步,这足以让人心生恐惧。而本次攻击事件也让人们意识到:开放DNS服务器是互联网的定时炸弹,如果不加以治理,未来的某一天将会爆发更大规模的DDoS攻击。本次针对Spamhaus的DDoS攻击只是影响到了整个欧洲互联网的正常访问,难保有一天发生一次影响全球网络正常访问的攻击,这样全球将遭受多重大的损失,这是我们必须面对和解决的问题。
DDOS攻击现状及趋势分析
统计数据显示,针对应用层的DDoS攻击事件上升趋势明显,针对HTTP应用的DDoS攻击已经占到攻击总量的89.11%。未来为降低攻击成本,有效隐藏攻击源,躲避安全设备,同时保证攻击效果,针对数据中心的DDoS攻击类型将主要集中在小流量的应用层攻击和各类慢速攻击。而未来几年,IPv4网络将逐步向IPv6演进。针对IPv4和IPv6网络的混合攻击很快就会成为新型的DDoS攻击威胁,众多IPv4和IPv6协议转换网关设备也将成为DDoS攻击的目标。
总之,DDOS攻击还是未来DNS攻击方式的主旋律。
如何做好DNS防护?
提高服务器抗攻击能力
DNS服务器是因特网基础结构的重要组成部分,而加强服务器抗攻击能力正是目前抵挡DDOS攻击的最有效方法。由全国领先IDC服务商群英网络推出的高防型DNS——QYDNS,利用其高防机房的超强硬件设备,为DNS的安全筑上一面安全的保护墙,目前至少能防御200Gbps的攻击,能防御目前绝大多数的DDOS攻击。
及时发现攻击告警机制
DNS放大式攻击的一个特点就是开始的流量请求很小,很容易被忽略,到最终被发现的时候已经一发不可收拾了。因此及时发现攻击的存在并采取有效措施才是最佳的抵御手段。QYDNS所属的群英网络高防机房,高防技术全国领先,对于网络攻击有全面的应急机制,并且安排高级技术人员24小时值班,紧盯网络状况,一旦出现网络异常即启动告警机制,全网进入防御状态,保障网络的正常运行。因此QYDNS的防御能力是非常值得信赖的。