2016年10月21日中原標準時間19點11分,美國dns服務提供商dyn遭受大規模ddos攻擊,導緻諸多網站停止服務,最終影響了包括twitter丶spotify丶netflix丶airbnb丶github、reddit以及紐約時報在内的美國絕大多數網站。
标紅為美東地區無法通路的區域
很多人質疑,一個名不見經傳的dns怎麼會掀起如此大浪?阿裡雲首席安全評論員吳翰清解讀:dns是網際網路心髒,也是不少企業安全的短闆。這場由dns引發的癱瘓事件未波及到國内,但敲響了所有企業的安全警鐘。試想,一個人心髒有狀況會是什麼局面?今天我們就來談談如何保障dns的“健康”。
位于美國新罕布什爾州曼徹斯特市的dyn是美國主要域名伺服器(dns)供應商。域名,網友通路網際網路的起點和入口,也是全球網際網路通信的基礎。dns作為承載全球億萬域名正常使用的系統,則是網際網路重要的基礎設施。
造成本次大規模網絡癱瘓的原因是dyn公司的伺服器遭到了ddos攻擊。ddos攻擊又稱為拒絕服務攻擊。最基本的ddos就是黑客利用合理的服務請求去占用盡可能多的服務資源,進而使得使用者無法得到服務響應。當ddos攻擊dyn公司,很多網友正常的dns查詢請求無法完成,使用者也就無法通過域名通路twitter、github等站點了。
不止在美國,國内也曾遇到多起dns癱瘓引發的“慘案”。2014年1月21日大陸境内發生最為嚴重dns故障。所有通用頂級域(.com/.net/.org)遭到dns污染。所有的域名全被指向了位于美國的一個ip位址(65.49.2.178)。有網站報道:目前,國内黑客攻擊已經形成産業鍊。網際網路上充斥着大量的攻擊工具和木馬,給攻擊者制造了便利。一些黑客甚至明碼标價。比如,打1g的流量到一個網站一小時,網上報價隻需50塊錢。黑客掌握攻擊“武器”之後,通常受利益驅動,或主動或受雇傭,去攻擊一些高盈利行業。比如金融、遊戲行業。
國外媒體報道,針對iot裝置的僵屍網絡或許是發起本次ddos攻擊的重要來源。網際網路骨幹服務level 3 communications公司首席安全官表示,被mirai感染的裝置中,約有10%參與了本次ddos攻擊。随着萬物互聯,吳翰清認為,物聯網必将引發大量網絡安全問題。而剛剛過去這場“黑色星期五”隻是未來安全問題的一個縮影。目前網際網路感染僵屍木馬的iot裝置約在60萬左右,這些裝置如果一起攻擊,可以輕松發起接近1t(相當于中國一個省流量)的攻擊。“普通企業已經不具備能力與攻擊者對抗。”吳翰清說。
美國dyn公司向使用者提供了dns的托管和解析服務,作為網際網路的基礎設施之一。dns遭受攻擊後的影響非常大。在中國,阿裡雲為使用者也提供dns的托管服務。
阿裡雲将雲解析內建進高防業務,利用雲計算的彈性擴充特性來提升dns的解析能力,并在網絡通路到網站通路之間建立了全鍊路安全體系。阿裡雲dns伺服器叢集的峰值防禦能力為:300g+,5億qps(每秒查詢率)。同時,在全球布暑7大bgp(邊界網關協定)機房,通路資料秒生效,能保證世界各地不同區域的使用者的通路需求。
每天,阿裡雲幫助中國大陸37%的網站,成功抵禦8億次攻擊。每天,阿裡雲識别并防禦來自35000個惡意ip的攻擊,防禦2000次ddos攻擊,2億次密碼暴力破解和2000萬次web攻擊。在剛剛過去的2016年杭州g20峰會期間,阿裡雲提供了大量專業的安全護航服務,保障g20官網以及浙江省内政務、民生類網站穩定傳遞資訊。其中,阿裡雲雲盾ddos防護系統成功防護ddos攻擊近3萬次,防禦最高峰值達439.7 gbps;web應用防火牆在g20期間成功防禦超過1億次攻擊,包括sql注入、xss、代碼執行等惡意攻。
本文轉載自 阿裡雲微信公衆号 alibaba-cloud
<a href="http://mp.weixin.qq.com/s?__biz=mza4nji4mzm4mq==&mid=2660193185&idx=1&sn=864099df72bbdef59057cec3bade7565&chksm=84b0f6bbb3c77fad67d12bf3e231c9b35403a7bb78711ed8914490588ec84526e1c55497d8bb&mpshare=1&scene=1&srcid=1022mjxnu4kbyvxqbvnvg1ur#rd" target="_blank"><b>原文連結</b></a>