云計(jì)算的不斷深入，讓安全成為了云計(jì)算服務(wù)的重要組成部分。目前業(yè)界提到的云安全主要有兩種模式，一種是網(wǎng)站云安全，使用遍布全國各地的代理網(wǎng)絡(luò)節(jié)點(diǎn)來提供網(wǎng)站前置的安全防護(hù)服務(wù)，比如安全寶、360、加速樂等等，另一種是殺毒云安全，使用殺毒軟件上傳病毒樣本到云中心，提供安全服務(wù)，比如瑞星、金山、趨勢科技、賽門鐵克、邁克菲、諾頓等等。從性質(zhì)即可看出前者更偏向企業(yè)級市場，尤其是對于初創(chuàng)企業(yè)和中小企業(yè)，并且隨著互聯(lián)網(wǎng)的發(fā)展，網(wǎng)站安全會變得越來越重要，也將是大勢所趨。

DNS成為云安全關(guān)鍵

提到互聯(lián)網(wǎng)，就避免不了DNS(域名解析服務(wù))，又由于近期兩大安全事件成為當(dāng)紅安全熱點(diǎn)。今年3月，反垃圾郵件組織Spamhaus遭受互聯(lián)網(wǎng)歷史上最大規(guī)模DDoS攻擊，這高達(dá)300Gbps的DDoS攻擊，正是由于DNS服務(wù)器漏洞導(dǎo)致被利用來做了DNS反射放大攻擊，使得只有幾百兆初始攻擊流量經(jīng)過兩次反射后達(dá)到了300G的峰值，不僅讓攻擊目標(biāo)頓感無力，甚至拖慢了全球互聯(lián)網(wǎng)的速度。不久前，在“臺菲”黑客大戰(zhàn)中，菲律賓多家網(wǎng)站被臺灣黑客通過DNS劫持入侵。

然而，對于云安全模式來說，DNS又能起到怎樣的作用呢?又為何DNS頻遭“黑手”?這一連串的問題浮現(xiàn)于筆者的腦海中。為此筆者專程采訪了安全寶CEO馬杰、安全寶聯(lián)合產(chǎn)品副總裁吳翰清，以及DNSPod創(chuàng)始人、CEO、網(wǎng)絡(luò)安全專家吳洪聲。在采訪中，馬杰表示，“在云安全體系中，DNS安全處于非常重要的地位。DNS服務(wù)承擔(dān)著從域名到IP地址的解析工作。如果沒有DNS服務(wù)，所用的網(wǎng)站訪問請求將不能傳遞到網(wǎng)站服務(wù)器。正因?yàn)镈NS的重要性，DNS服務(wù)的健康程度直接決定網(wǎng)絡(luò)訪問體驗(yàn)?！眳呛槁曇脖硎荆霸朴?jì)算特別看重業(yè)務(wù)持續(xù)性和在不同負(fù)載情況下的擴(kuò)展能力，智能DNS能為用戶帶來更穩(wěn)定的運(yùn)行環(huán)境和更強(qiáng)的業(yè)務(wù)承載能力。特別是分區(qū)域解析、分IP段解析等服務(wù)，讓用戶在分布式、多節(jié)點(diǎn)的環(huán)境中有很大的靈活性，更能發(fā)揮云架構(gòu)的優(yōu)勢。”

既然DNS在安全中的地位如此重要，就很容易理解為什么DNS會頻遭毒手了。吳洪聲談道：“DNS系統(tǒng)的三個(gè)特點(diǎn)讓它成為攻擊者首選的攻擊目標(biāo)。首先是服務(wù)角色決定的穩(wěn)定性和公開性。不論是哪種DNS，由于緩存影響導(dǎo)致地址不能經(jīng)常變化。也就是說在被攻擊時(shí)，DNS服務(wù)器不能更換和隱藏IP地址。另外一點(diǎn)是匿名性，DNS服務(wù)使用UDP協(xié)議，使得攻擊者可以很好地隱藏自己，不被追溯。最后便是集中性，通常情況下DNS服務(wù)器都會給多個(gè)網(wǎng)站或者用戶服務(wù)，攻破一個(gè)服務(wù)器影響范圍非常大，也使得攻擊效率大大提高?！?

據(jù)了解，由于DNS的匿名性導(dǎo)致流量攻擊數(shù)量大大增加，這種攻擊可以造成DNS系統(tǒng)拒絕服務(wù)，致使所有使用該DNS系統(tǒng)的用戶都會感到網(wǎng)絡(luò)緩慢，甚至不能使用。據(jù)吳翰清介紹，DDoS攻擊目前最常見的仍然是SYN flood攻擊約占25-30%，其次是Http Get Flood(俗稱的CC攻擊)約為20-25%，DNS QueryFlood約為15-20%排第三。并且近期針對網(wǎng)站DNS解析的DNS QueryFlood攻擊和利用DNS服務(wù)攻擊第三方的DNS反射攻擊都將會是DNS相關(guān)的主流攻擊方式，而攻擊次數(shù)和攻擊規(guī)模，等整體趨勢都會比較平穩(wěn)，不會有太大的變化。

攻擊門檻低 防護(hù)難度高

黑客攻擊從過去個(gè)人炫耀技術(shù)發(fā)展成了利益驅(qū)動的有組織的行為，這些人擁有足夠的技術(shù)、大量的資源和明確的目標(biāo)，自從DNSPod成立以來，就不斷地與這些攻擊者做對抗。隨著技術(shù)的發(fā)展，計(jì)算機(jī)性能越來越高、網(wǎng)絡(luò)帶寬越來越大，使得攻擊者的門檻不斷降低。在投入相同成本的情況下，攻擊者可以組織起比過去更加頻繁、流量更大的攻擊。這對我們的防護(hù)能力提出了新的挑戰(zhàn)。

對于DNS攻擊的防護(hù)，需要做到系統(tǒng)化、集中化，只有多種防護(hù)手段綜合運(yùn)用，才能達(dá)到良好的防護(hù)效果。包括解析應(yīng)用、服務(wù)器、防護(hù)設(shè)備、網(wǎng)絡(luò)帶寬甚至與鏈路上游運(yùn)營商的合作，都是DNS攻擊的主要防護(hù)手段。然而，在這樣多類別的防護(hù)背后，考驗(yàn)的不僅僅是技術(shù)研發(fā)實(shí)力，更是綜合化運(yùn)營能力。

“DNS攻擊業(yè)常見的手法為發(fā)送大量的DNS查詢請求，耗盡DNS服務(wù)器查詢資源，從而導(dǎo)致DNS服務(wù)器不能響應(yīng)正常查詢請求。針對這種攻擊，常見防御手法就是限制域名查詢速率，以及UDP查詢請求TCP轉(zhuǎn)換等等一系列手段。除此之外，增加DNS服務(wù)器的數(shù)，增大DNS服務(wù)的并發(fā)響應(yīng)，也是有效的解決之道。”吳翰清說道。

那么，對于DNS服務(wù)提供商來說，在攻擊防護(hù)方面還有什么可以做的呢?吳洪聲講道：“提高服務(wù)器的性能和優(yōu)化架構(gòu)是一定要做的。比如現(xiàn)在用戶看到我們一組DNS服務(wù)器域名通常有兩個(gè)，后面托管的IP平均有8個(gè)左右。為了簡化，我們把這8個(gè)IP稱作8臺服務(wù)器，但在后端的實(shí)現(xiàn)中，其實(shí)它是一個(gè)服務(wù)器的負(fù)載集群，而我們在后面向集群中增加服務(wù)器時(shí)對用戶是完全透明的。提高服務(wù)器的性能和負(fù)載集群主要是為了巨大壓力環(huán)境下的服務(wù)質(zhì)量，保證這一點(diǎn)之后，網(wǎng)絡(luò)就成了服務(wù)解析時(shí)間中的重點(diǎn)。因?yàn)榧词狗?wù)器性能再好，假如距離非常遠(yuǎn)也會導(dǎo)致解析時(shí)間延長，所以我們現(xiàn)在已經(jīng)在全國各個(gè)地區(qū)，以及歐洲美洲部署了服務(wù)節(jié)點(diǎn)，大大提高了服務(wù)質(zhì)量?！?

雖然在如此眾多的攻擊手段面前，DNS服務(wù)器貌似很難保證安全。但是有句俗話叫“堡壘都是從內(nèi)部攻破的”，因此DNS服務(wù)器的安全管理也應(yīng)被重點(diǎn)關(guān)注。在史上最大規(guī)模DDoS攻擊發(fā)生之后，有安全公司層對全球幾乎所有的DNS服務(wù)器進(jìn)行漏洞掃描，發(fā)現(xiàn)超過四分之三的DNS服務(wù)器存在安全漏洞，而其中四、五十萬主機(jī)采用弱口令的情況也不禁讓人倒吸一口冷氣，一旦這些主機(jī)被攻破并且利用進(jìn)行網(wǎng)絡(luò)攻擊的話，后果將不堪設(shè)想。

初創(chuàng)公司和中小企業(yè)很難在基礎(chǔ)設(shè)施建設(shè)之上，再保障自己網(wǎng)站的安全以免遭掛馬、XSS、SQL注入和DNS攻擊的侵?jǐn)_。以云為基礎(chǔ)的安全服務(wù)(Security as a Service)很重要的一項(xiàng)功能就是解決這類問題。提供此類服務(wù)的廠商讓中小微企業(yè)用低廉的價(jià)格購買到相對專業(yè)的安全服務(wù)，這其實(shí)也是國內(nèi)外以云為基礎(chǔ)的服務(wù)提供商能夠生存的重要原因。

河南億恩科技股份有限公司(mszdt.com)始創(chuàng)于2000年，專注服務(wù)器托管租用，是國家工信部認(rèn)定的綜合電信服務(wù)運(yùn)營商。億恩為近五十萬的用戶提供服務(wù)器托管、服務(wù)器租用、機(jī)柜租用、云服務(wù)器、網(wǎng)站建設(shè)、網(wǎng)站托管等網(wǎng)絡(luò)基礎(chǔ)服務(wù)，另有網(wǎng)總管、名片俠網(wǎng)絡(luò)推廣服務(wù)，使得客戶不斷的獲得更大的收益。
服務(wù)器/云主機(jī) 24小時(shí)售后服務(wù)電話：0371-60135900
虛擬主機(jī)/智能建站 24小時(shí)售后服務(wù)電話：0371-55621053
網(wǎng)絡(luò)版權(quán)侵權(quán)舉報(bào)電話：0371-60135995
服務(wù)熱線：0371-60135900