根據哈佛大學的一項新研究,盡管采取了相對低成本的對策,但類似于2016 年Dyn DNS 中斷的大規模網際網路中斷很容易再次發生。
對 Dyn的DDoS 攻擊使許多主要網站在一天的大部分時間都處于離線狀态,包括 Twitter、PayPal、Reddit、亞馬遜和 Netflix。數百萬屬于 Mirai僵屍網絡的受感染物聯網裝置以高達 1.2 TBps 的虛假流量淹沒 Dyn 的 DNS 服務,使其無法響應客戶網站的真正 DNS 請求。
Dyn 攻擊并沒有以任何方式影響 PayPal 或 Twitter 伺服器,但是對于絕大多數在向騙子彙款或在社交媒體上發帖時不喜歡記住 IP 位址的人來說,這些站點是無法通路的。
襲擊者不是民族國家的行為者,而是拿着斧頭的普通罪犯。布魯斯·施奈爾當時寫道:“肇事者很可能是黑客,因為 Dyn 幫助布萊恩·克雷布斯(Brian Krebs)識别并逮捕了兩名正在運作 DDoS 雇傭環的以色列黑客,這讓他很生氣。”
0 seconds of 39 seconds音量 0%
越來越多的不安全物聯網裝置——即開箱即用的不安全裝置,通常無法修補——意味着下一次對域名系統的 DDoS 攻擊可能會更加嚴重。主要歸咎于 DNS 提供商的集中化。
當單點故障失敗時
作者指出,DNS 被設計為分布式的,但 DNS 的日益集中化會造成單點故障。“這次攻擊的毀滅性成功突顯了許多方式,即集中的 DNS 空間與域管理者相對較少的提供商多元化可能使大型公司也容易受到服務中斷的影響。”
你可能會問,我們是怎麼到這裡的?事實證明,我們長達十年的戀情與其他人的計算機——我的意思是,雲——導緻了 DNS 設計者從未預料到的網際網路基礎設施的集中。
在過去,公司在内部管理自己的 DNS。這需要人類在辦公室管理計算機,否則他們可以建構下一個偉大的事物。你知道,就像優步一樣。
雖然較老、較成熟的公司仍然更有可能托管自己的 DNS,但雲作為基礎設施的出現意味着新公司正在将一切外包給雲,包括 DNS。
“将 DNS 服務集中到少數人手中......暴露了單點故障,這些故障在過去更加分布式的 DNS 範式(企業最常在現場托管自己的 DNS 伺服器的範式)中不存在,”約翰報告的合著者之一鮑爾斯告訴 CSO。“Dyn 攻擊完美地說明了這種風險的集中——一次 DDoS 攻擊針對數十家知名網站和 CDN [内容傳遞網絡] 使用的提供商,進而摧毀了網際網路的很大一部分。”
這份報告令人震驚的部分是,盡管這種集中帶來了明顯的危險,但很少有企業願意實施任何輔助 DNS。
不從曆史中吸取教訓的人注定要重蹈覆轍
Dyn 攻擊得到了大量媒體報道,包括 CSO 的報道。數字顯示,Cassandras 鼓吹 DNS 多樣化的必要性,但聽衆中很少有人願意傾聽。報告指出:“似乎 Dyn 攻擊的教訓主要是由那些直接受害的人吸取的。”
在 2016 年的攻擊之前,超過 90% 的研究域僅使用來自一個提供商的名稱伺服器。攻擊發生後,該百分比在六個月後的 2017 年 5 月從 92.2% 下降到 87.3%。其中大多數是經曆過中斷的 Dyn 客戶。
甚至現在由 Oracle 擁有的 Dyn 本身也提供輔助 DNS 服務并鼓勵他們的客戶使用它。在一份簡短的準備聲明中,Dyn 的架構總監 Andrew Sullivan 告訴 CSO,“網站營運商需要整個堆棧的多樣性,并選擇支援多樣性的元件,如 DNS 服務、Web 防火牆和 DDoS 保護。”
報告指出,使外部 DNS 提供商多樣化的一個困難是外部 DNS 通常與其他服務捆綁在一起,例如 CDN 和 DDoS 保護。CloudFlare 作為所研究域的 DNS 提供商擁有超過 15% 的市場佔有率,但該公司的 DDoS 保護服務,報告指出,“使域無法注冊由其他提供商管理的 DNS 名稱伺服器。”
該報告指出了新域使用基于雲的平台的趨勢,其中包括将 DNS 作為一套服務産品之一。您可能會想,Amazon AWS 可以抵禦任何 DDoS 攻擊,但還記得那次Amazon 員工的錯誤導緻 S3 癱瘓嗎?事故和對手都威脅着單點故障。
您不會在沒有備援的情況下建構橋梁,為什麼要在沒有備援的情況下建構 DNS 基礎架構?
如何使您的 DNS 變得多餘
如果您還不知道,您應該做的第一件事就是弄清楚您目前的設定是什麼。檢查您的名稱伺服器:
CDN 提供商 Akamai 的 CSO Andy Ellis 告訴 CSO:“如果傳回的名稱在您自己的域中,則意味着您是自己做的。” “您應該考慮這是否是正确的選擇,對于大多數公司而言并非如此。如果您已經擁有 CDN 提供商,則很有可能通過您現有的合同或作為附加服務提供 DNS 服務;這是一種快捷方式添加或切換提供商。”
雖然低流量站點通常隻列出兩個名稱伺服器,但 DNS 最多允許八個。Ellis 建議,以 6:2 的配置使用它們。需要額外備援的組織可以在 5:2:1 配置中自行托管。
這個問題的驚人之處在于它并不新鮮。報告指出,RFC 2182于 1997 年制定了關于二級 DNS 最佳實踐的法律。“為每個區域設定多台伺服器的一個主要原因,”RFC 2182 告訴我們,“是為了讓來自區域的資訊能夠廣泛可靠地提供給整個 Internet 上的用戶端,即全世界的用戶端,即使隻有一台伺服器不可用或無法通路。”
![1.6 Linux指令行使用[圖]](data:image/gif;base64,R0lGODlhAQABAIAAAP///wAAACwAAAAAAQABAAACAkQBADs=)