云計算的不斷深入,讓安全成為了云計算服務(wù)的重要組成部分。目前業(yè)界提到的云安全主要有兩種模式,一種是網(wǎng)站云安全,使用遍布全國各地的代理網(wǎng)絡(luò)節(jié)點(diǎn)來提供網(wǎng)站前置的安全防護(hù)服務(wù),比如安全寶、360、加速樂等等,另一種是殺毒云安全,使用殺毒軟件上傳病毒樣本到云中心,提供安全服務(wù)......
云計算的不斷深入,讓安全成為了云計算服務(wù)的重要組成部分。目前業(yè)界提到的云安全主要有兩種模式,一種是網(wǎng)站云安全,使用遍布全國各地的代理網(wǎng)絡(luò)節(jié)點(diǎn)來提供網(wǎng)站前置的安全防護(hù)服務(wù),比如安全寶、360、加速樂等等,另一種是殺毒云安全,使用殺毒軟件上傳病毒樣本到云中心,提供安全服務(wù),比如瑞星、金山、趨勢科技、賽門鐵克、邁克菲、諾頓等等。從性質(zhì)即可看出前者更偏向企業(yè)級市場,尤其是對于初創(chuàng)企業(yè)和中小企業(yè),并且隨著互聯(lián)網(wǎng)的發(fā)展,網(wǎng)站安全會變得越來越重要,也將是大勢所趨。
DNS成為云安全關(guān)鍵
提到互聯(lián)網(wǎng),就避免不了DNS(域名解析服務(wù)),又由于近期兩大安全事件成為當(dāng)紅安全熱點(diǎn)。今年3月,反垃圾郵件組織Spamhaus遭受互聯(lián)網(wǎng)歷史上最大規(guī)模DDoS攻擊,這高達(dá)300Gbps的DDoS攻擊,正是由于DNS服務(wù)器漏洞導(dǎo)致被利用來做了DNS反射放大攻擊,使得只有幾百兆初始攻擊流量經(jīng)過兩次反射后達(dá)到了300G的峰值,不僅讓攻擊目標(biāo)頓感無力,甚至拖慢了全球互聯(lián)網(wǎng)的速度。不久前,在“臺菲”黑客大戰(zhàn)中,菲律賓多家網(wǎng)站被臺灣黑客通過DNS劫持入侵。
然而,對于云安全模式來說,DNS又能起到怎樣的作用呢?又為何DNS頻遭“黑手”?這一連串的問題浮現(xiàn)于筆者的腦海中。為此筆者專程采訪了安全寶CEO馬杰、安全寶聯(lián)合產(chǎn)品副總裁吳翰清,以及DNSPod創(chuàng)始人、CEO、網(wǎng)絡(luò)安全專家吳洪聲。在采訪中,馬杰表示,“在云安全體系中,DNS安全處于非常重要的地位。DNS服務(wù)承擔(dān)著從域名到IP地址的解析工作。如果沒有DNS服務(wù),所用的網(wǎng)站訪問請求將不能傳遞到網(wǎng)站服務(wù)器。正因?yàn)镈NS的重要性,DNS服務(wù)的健康程度直接決定網(wǎng)絡(luò)訪問體驗(yàn)?!眳呛槁曇脖硎?,“云計算特別看重業(yè)務(wù)持續(xù)性和在不同負(fù)載情況下的擴(kuò)展能力,智能DNS能為用戶帶來更穩(wěn)定的運(yùn)行環(huán)境和更強(qiáng)的業(yè)務(wù)承載能力。特別是分區(qū)域解析、分IP段解析等服務(wù),讓用戶在分布式、多節(jié)點(diǎn)的環(huán)境中有很大的靈活性,更能發(fā)揮云架構(gòu)的優(yōu)勢?!?
既然DNS在安全中的地位如此重要,就很容易理解為什么DNS會頻遭毒手了。吳洪聲談道:“DNS系統(tǒng)的三個特點(diǎn)讓它成為攻擊者首選的攻擊目標(biāo)。首先是服務(wù)角色決定的穩(wěn)定性和公開性。不論是哪種DNS,由于緩存影響導(dǎo)致地址不能經(jīng)常變化。也就是說在被攻擊時,DNS服務(wù)器不能更換和隱藏IP地址。另外一點(diǎn)是匿名性,DNS服務(wù)使用UDP協(xié)議,使得攻擊者可以很好地隱藏自己,不被追溯。最后便是集中性,通常情況下DNS服務(wù)器都會給多個網(wǎng)站或者用戶服務(wù),攻破一個服務(wù)器影響范圍非常大,也使得攻擊效率大大提高?!?
據(jù)了解,由于DNS的匿名性導(dǎo)致流量攻擊數(shù)量大大增加,這種攻擊可以造成DNS系統(tǒng)拒絕服務(wù),致使所有使用該DNS系統(tǒng)的用戶都會感到網(wǎng)絡(luò)緩慢,甚至不能使用。據(jù)吳翰清介紹,DDoS攻擊目前最常見的仍然是SYN flood攻擊約占25-30%,其次是Http Get Flood(俗稱的CC攻擊)約為20-25%,DNS QueryFlood約為15-20%排第三。并且近期針對網(wǎng)站DNS解析的DNS QueryFlood攻擊和利用DNS服務(wù)攻擊第三方的DNS反射攻擊都將會是DNS相關(guān)的主流攻擊方式,而攻擊次數(shù)和攻擊規(guī)模,等整體趨勢都會比較平穩(wěn),不會有太大的變化。
攻擊門檻低 防護(hù)難度高
黑客攻擊從過去個人炫耀技術(shù)發(fā)展成了利益驅(qū)動的有組織的行為,這些人擁有足夠的技術(shù)、大量的資源和明確的目標(biāo),自從DNSPod成立以來,就不斷地與這些攻擊者做對抗。隨著技術(shù)的發(fā)展,計算機(jī)性能越來越高、網(wǎng)絡(luò)帶寬越來越大,使得攻擊者的門檻不斷降低。在投入相同成本的情況下,攻擊者可以組織起比過去更加頻繁、流量更大的攻擊。這對我們的防護(hù)能力提出了新的挑戰(zhàn)。
對于DNS攻擊的防護(hù),需要做到系統(tǒng)化、集中化,只有多種防護(hù)手段綜合運(yùn)用,才能達(dá)到良好的防護(hù)效果。包括解析應(yīng)用、服務(wù)器、防護(hù)設(shè)備、網(wǎng)絡(luò)帶寬甚至與鏈路上游運(yùn)營商的合作,都是DNS攻擊的主要防護(hù)手段。然而,在這樣多類別的防護(hù)背后,考驗(yàn)的不僅僅是技術(shù)研發(fā)實(shí)力,更是綜合化運(yùn)營能力。
“DNS攻擊業(yè)常見的手法為發(fā)送大量的DNS查詢請求,耗盡DNS服務(wù)器查詢資源,從而導(dǎo)致DNS服務(wù)器不能響應(yīng)正常查詢請求。針對這種攻擊,常見防御手法就是限制域名查詢速率,以及UDP查詢請求TCP轉(zhuǎn)換等等一系列手段。除此之外,增加DNS服務(wù)器的數(shù),增大DNS服務(wù)的并發(fā)響應(yīng),也是有效的解決之道?!眳呛睬逭f道。
那么,對于DNS服務(wù)提供商來說,在攻擊防護(hù)方面還有什么可以做的呢?吳洪聲講道:“提高服務(wù)器的性能和優(yōu)化架構(gòu)是一定要做的。比如現(xiàn)在用戶看到我們一組DNS服務(wù)器域名通常有兩個,后面托管的IP平均有8個左右。為了簡化,我們把這8個IP稱作8臺服務(wù)器,但在后端的實(shí)現(xiàn)中,其實(shí)它是一個服務(wù)器的負(fù)載集群,而我們在后面向集群中增加服務(wù)器時對用戶是完全透明的。提高服務(wù)器的性能和負(fù)載集群主要是為了巨大壓力環(huán)境下的服務(wù)質(zhì)量,保證這一點(diǎn)之后,網(wǎng)絡(luò)就成了服務(wù)解析時間中的重點(diǎn)。因?yàn)榧词狗?wù)器性能再好,假如距離非常遠(yuǎn)也會導(dǎo)致解析時間延長,所以我們現(xiàn)在已經(jīng)在全國各個地區(qū),以及歐洲美洲部署了服務(wù)節(jié)點(diǎn),大大提高了服務(wù)質(zhì)量?!?
雖然在如此眾多的攻擊手段面前,DNS服務(wù)器貌似很難保證安全。但是有句俗話叫“堡壘都是從內(nèi)部攻破的”,因此DNS服務(wù)器的安全管理也應(yīng)被重點(diǎn)關(guān)注。在史上最大規(guī)模DDoS攻擊發(fā)生之后,有安全公司層對全球幾乎所有的DNS服務(wù)器進(jìn)行漏洞掃描,發(fā)現(xiàn)超過四分之三的DNS服務(wù)器存在安全漏洞,而其中四、五十萬主機(jī)采用弱口令的情況也不禁讓人倒吸一口冷氣,一旦這些主機(jī)被攻破并且利用進(jìn)行網(wǎng)絡(luò)攻擊的話,后果將不堪設(shè)想。
初創(chuàng)公司和中小企業(yè)很難在基礎(chǔ)設(shè)施建設(shè)之上,再保障自己網(wǎng)站的安全以免遭掛馬、XSS、SQL注入和DNS攻擊的侵?jǐn)_。以云為基礎(chǔ)的安全服務(wù)(Security as a Service)很重要的一項(xiàng)功能就是解決這類問題。提供此類服務(wù)的廠商讓中小微企業(yè)用低廉的價格購買到相對專業(yè)的安全服務(wù),這其實(shí)也是國內(nèi)外以云為基礎(chǔ)的服務(wù)提供商能夠生存的重要原因。
河南億恩科技股份有限公司(mszdt.com)始創(chuàng)于2000年,專注服務(wù)器托管租用,是國家工信部認(rèn)定的綜合電信服務(wù)運(yùn)營商。億恩為近五十萬的用戶提供服務(wù)器托管、服務(wù)器租用、機(jī)柜租用、云服務(wù)器、網(wǎng)站建設(shè)、網(wǎng)站托管等網(wǎng)絡(luò)基礎(chǔ)服務(wù),另有網(wǎng)總管、名片俠網(wǎng)絡(luò)推廣服務(wù),使得客戶不斷的獲得更大的收益。
服務(wù)器/云主機(jī) 24小時售后服務(wù)電話:
0371-60135900
虛擬主機(jī)/智能建站 24小時售后服務(wù)電話:
0371-55621053
網(wǎng)絡(luò)版權(quán)侵權(quán)舉報電話:
0371-60135995
服務(wù)熱線:
0371-60135900