探索中国CIO人才现状 | 第四季调研报告
DNS安全隐患谁来承担?
2013-11-28  作者:机房360 

  网络安全问题一直是互联网技术的难点,而DNS安全又是互联网访问中重要而又不可或缺的一个环节。DNS是域名和IP地址相互映射的一个分布式数据库,能够使人更方便的访问互联网。DNS就像一个自动的电话号码簿,用户可以直接输入网站名字来代替输入复杂的IP地址,而网站名字和IP之间的映射解析就靠DNS服务来完成。


  任何域名的访问都要翻译成特定的IP地址,网民才能得以访问网页,才能登陆即时聊天工具,才能享受到互联网给我们带来的信息便捷性。但是,作为互联网行业的基础,DNS安全却一直是网站运行安全的短板。2010年的百度被“黑”事件,2013年的。CN域名瘫痪都是由于DNS受攻击引起的。在互联网高速发展的今天,在先进的电信设备和高尖端的安全技术的防护下,为什么DNS“猝死”仍在频繁上演?


  DNS“猝死”原因何在?


  DNSPod创始人吴洪声表示,DNS系统的三个特点让它成为攻击者首选的攻击目标。首先是服务角色决定的稳定性和公开性。不论是哪种DNS,由于缓存影响导致地址不能经常变化。也就是说在被攻击时,DNS服务器不能更换和隐藏IP地址。另外一点是匿名性,DNS服务使用UDP协议,使得攻击者可以很好地隐藏自己,不被追溯。最后便是集中性,通常情况下DNS服务器都会给多个网站或者用户服务,攻破一个服务器影响范围非常大,也使得攻击效率大大提高。


  如何做好DNS防护?


  DNS就好比是一个人的心脏,是整个身体运作的马达,DNS对于一个网站来说也是这样。网站DNS一旦遭受攻击,域名的解析异常将导致网站无法访问,直接影响到网站流量、用户的流失,带来的经济损失是无法估量的。那么,对于DNS服务提供商来说,在攻击防护方面还有什么可以做的呢?


  提高服务器抗攻击能力


  DNS服务器是因特网基础结构的重要组成部分。在目前的网络攻击中,最让站长们头疼的一种就是针对DNS的攻击。加强DNS防护能力,急需升级服务器集群,提升程序解析速度。域名服务商DNSPod(https://www.dnspod.cn/Event/Year2013?from=wm)新推DNS解析程序,集成多种防护算法,单机性能最高可以达到1100万Q/s,流量超过1000MB/s,达到10GE网卡极限。该解析程序既可以和前端防护设备配合使用,也可以单独使用,单节点抗攻击能力将达40G,能轻松助抵御目前DNS主流攻击。


  提升服务器性能


  提高服务器的性能和负载集群主要是为了巨大压力环境下的服务质量,保证这一点之后,网络就成了服务解析时间中的重点。因为即使服务器性能再好,假如距离非常远也会导致解析时间延长,需要在全国各个地区,以及欧洲美洲部署了服务节点,才能大大提高了服务质量。