就在昨天,一个叫DNS的名词竟然抢了希拉里VS川普之美国总统大选最后一场电视辩论的风头。
原来,因为DNS服务提供商Dyn公司的Managed DNS基建遭遇严重DDoS攻击,从2016年10月21日北京时间19点11分开始,Twitter、Spotify、Netflix、Airbnb、Github、Reddit以及纽约时报等美国主要网站陆续出现部门区域无法登陆的情况。
大洋彼岸的小伙伴们原本只是想上Spotify听个音乐,发现网断了。欢欣鼓舞地准备上Twitter吐槽一下,结果Twitter也挂掉了。没办法,只能好好工作了……
“DNS好比互联网的心脏。但不少企业对这一块没有引起足够重视”,阿里云首席安全研究员,云盾负责人吴翰清认为,这场由DNS引发的瘫痪事件将敲响所有企业的安全警钟。
为什么会发生瘫痪?DNS是互联网心脏
位于美国新罕布什尔州曼彻斯特市的Dyn是美国主要域名服务器(DNS)供应商。域名,网友访问互联网的起点和入口,也是全球互联网通信的基础。而DNS作为承载全球亿万域名正常使用的系统,则是互联网重要的基础设施。即使调侃它为互联网的心脏也不为过,大伙想想,如果一个人的心脏出错,那会是什么局面?
造成本次大规模网络瘫痪的原因是Dyn公司的服务器遭到了DDoS攻击。DDoS攻击又称为拒绝服务攻击。最基本的DDoS就是黑客利用合理的服务请求去占用尽可能多的服务资源,从而使得用户无法得到服务响应。当DDoS攻击Dyn公司,很多DNS查询无法完成,用户也就无法通过域名访问Twitter、GitHub等站点了。
事实上,不止在美国。国内也曾遇到多起DNS瘫痪引发的“惨案”。比较著名的是2014年1月21日那次。那也是迄今为止,大陆境内发生的最为严重的DNS故障,所有通用顶级域(.com/.net/.org)遭到DNS污染。所有的域名全被指向了位于美国的一个IP地址(65.49.2.178)。
万物互联引发的安全问题?只是一个缩影
国外媒体报道称,针对IoT设备的僵尸网络或许是发起本次DDoS攻击的重要来源。互联网骨干服务Level 3 Communications公司首席安全官表示,被Mirai感染的设备中,约有10%参与了本次DDoS攻击。
随着万物互联,也即所谓的物联网必将引发大量网络安全问题。而周五发生的这场攻击只是未来安全问题的一个缩影。从当前安全从业者处了解到,目前互联网感染僵尸木马的iot设备约在60万左右,这些设备如果一起攻击,可以轻松发起接近1T(相当于中国一个省流量)的攻击。“普通企业已经不具备能力与攻击者对抗。”吴翰清说。
在国内,还有大量的攻击是从各家运营商的IDC机房打出。知情者透露,一起300G左右的攻击,约有20%左右是从IDC机房打出。借此机会,吴翰清也呼吁国内运营商在源端建立近源清洗的能力,确保攻击者不会轻易的将攻击流量打出。
DDoS产业猖獗,黑客怎么防?HTTPS+云解析
国内科技网站雷锋网报道,当前黑客攻击已经形成产业链。互联网上充斥着大量的攻击工具和木马,给攻击者制造了便利。一些黑客甚至明码标价。比如,打1G的流量到一个网站一小时,网上报价只需50块钱。黑客掌握攻击“武器”之后,通常受利益驱动,或主动或受雇佣,去攻击一些高盈利行业。比如金融、游戏行业。
面对如此猖獗的DDoS产业链,企业又该如何防御?越来越多企业选择联合云服务商解决困扰。理由有两点,一是云上业务包罗万象,电商、游戏、金融、新型互联网,云服务商的安全团队经过无数次攻防对抗之后,对各类业务的深刻理解以及DDoS检测规则与业务的耦合度非企业安全运维人员所能及。第二,因为云计算厂商可以将云解析集成进高防业务,利用云计算的弹性扩展特性来提升DNS解析能力,这是它们得天独厚的优势。
“云服务商有更多防御资源,更完善的防御体系。这个时候企业需要借用云的能力,通过资源共享,带宽共享去解决问题“。吴翰清介绍,阿里云的云解析企业版已经具备300G+5亿QPS防御峰值能力的权威DNS服务器集群。 ”互联网企业最关心的移动端安全问题,如何防止APP跟服务器端通信的数据不被中间人劫持,篡改和监听,启用https加密就能解决。”
更多阅读:
