网络安全 频道

云安全搭台 DNS唱戏

  【IT168 资讯】云计算的不断深入,让安全成为了云计算服务的重要组成部分。目前业界提到的云安全主要有两种模式,一种是网站云安全,使用遍布全国各地的代理网络节点来提供网站前置的安全防护服务,比如安全宝、360、加速乐等等,另一种是杀毒云安全,使用杀毒软件上传病毒样本到云中心,提供安全服务,比如瑞星、金山、趋势科技、赛门铁克、迈克菲、诺顿等等。从性质即可看出前者更偏向企业级市场,尤其是对于初创企业和中小企业,并且随着互联网的发展,网站安全会变得越来越重要,也将是大势所趋。

  DNS成为云安全关键

  提到互联网,就避免不了DNS(域名解析服务),又由于近期两大安全事件成为当红安全热点。今年3月,反垃圾邮件组织Spamhaus遭受互联网历史上最大规模DDoS攻击,这高达300Gbps的DDoS攻击,正是由于DNS服务器漏洞导致被利用来做了DNS反射放大攻击,使得只有几百兆初始攻击流量经过两次反射后达到了300G的峰值,不仅让攻击目标顿感无力,甚至拖慢了全球互联网的速度。不久前,在“台菲”黑客大战中,菲律宾多家网站被台湾黑客通过DNS劫持入侵。

  然而,对于云安全模式来说,DNS又能起到怎样的作用呢?又为何DNS频遭“黑手”?这一连串的问题浮现于笔者的脑海中。为此笔者专程采访了安全宝CEO马杰、安全宝联合产品副总裁吴翰清,以及DNSPod创始人、CEO、网络安全专家吴洪声。在采访中,马杰表示,“在云安全体系中,DNS安全处于非常重要的地位。DNS服务承担着从域名到IP地址的解析工作。如果没有DNS服务,所用的网站访问请求将不能传递到网站服务器。正因为DNS的重要性,DNS服务的健康程度直接决定网络访问体验。”吴洪声也表示,“云计算特别看重业务持续性和在不同负载情况下的扩展能力,智能DNS能为用户带来更稳定的运行环境和更强的业务承载能力。特别是分区域解析、分IP段解析等服务,让用户在分布式、多节点的环境中有很大的灵活性,更能发挥云架构的优势。”

  既然DNS在安全中的地位如此重要,就很容易理解为什么DNS会频遭毒手了。吴洪声谈道:“DNS系统的三个特点让它成为攻击者首选的攻击目标。首先是服务角色决定的稳定性和公开性。不论是哪种DNS,由于缓存影响导致地址不能经常变化。也就是说在被攻击时,DNS服务器不能更换和隐藏IP地址。另外一点是匿名性,DNS服务使用UDP协议,使得攻击者可以很好地隐藏自己,不被追溯。最后便是集中性,通常情况下DNS服务器都会给多个网站或者用户服务,攻破一个服务器影响范围非常大,也使得攻击效率大大提高。”

  据了解,由于DNS的匿名性导致流量攻击数量大大增加,这种攻击可以造成DNS系统拒绝服务,致使所有使用该DNS系统的用户都会感到网络缓慢,甚至不能使用。据吴翰清介绍,DDoS攻击目前最常见的仍然是SYN flood攻击约占25-30%,其次是Http Get Flood(俗称的CC攻击)约为20-25%,DNS QueryFlood约为15-20%排第三。并且近期针对网站DNS解析的DNS QueryFlood攻击和利用DNS服务攻击第三方的DNS反射攻击都将会是DNS相关的主流攻击方式,而攻击次数和攻击规模,等整体趋势都会比较平稳,不会有太大的变化。

  攻击门槛低 防护难度高

  吴洪声补充表示,黑客攻击从过去个人炫耀技术发展成了利益驱动的有组织的行为,这些人拥有足够的技术、大量的资源和明确的目标,自从DNSPod成立以来,就不断地与这些攻击者做对抗。随着技术的发展,计算机性能越来越高、网络带宽越来越大,使得攻击者的门槛不断降低。在投入相同成本的情况下,攻击者可以组织起比过去更加频繁、流量更大的攻击。这对我们的防护能力提出了新的挑战。

  对于DNS攻击的防护,需要做到系统化、集中化,只有多种防护手段综合运用,才能达到良好的防护效果。包括解析应用、服务器、防护设备、网络带宽甚至与链路上游运营商的合作,都是DNS攻击的主要防护手段。然而,在这样多类别的防护背后,考验的不仅仅是技术研发实力,更是综合化运营能力。

  “DNS攻击业常见的手法为发送大量的DNS查询请求,耗尽DNS服务器查询资源,从而导致DNS服务器不能响应正常查询请求。针对这种攻击,常见防御手法就是限制域名查询速率,以及UDP查询请求TCP转换等等一系列手段。除此之外,增加DNS服务器的数,增大DNS服务的并发响应,也是有效的解决之道。”吴翰清说道。

  那么,对于DNS服务提供商来说,在攻击防护方面还有什么可以做的呢?吴洪声讲道:“提高服务器的性能和优化架构是一定要做的。比如现在用户看到我们一组DNS服务器域名通常有两个,后面托管的IP平均有8个左右。为了简化,我们把这8个IP称作8台服务器,但在后端的实现中,其实它是一个服务器的负载集群,而我们在后面向集群中增加服务器时对用户是完全透明的。提高服务器的性能和负载集群主要是为了巨大压力环境下的服务质量,保证这一点之后,网络就成了服务解析时间中的重点。因为即使服务器性能再好,假如距离非常远也会导致解析时间延长,所以我们现在已经在全国各个地区,以及欧洲美洲部署了服务节点,大大提高了服务质量。”

  虽然在如此众多的攻击手段面前,DNS服务器貌似很难保证安全。但是有句俗话叫“堡垒都是从内部攻破的”,因此DNS服务器的安全管理也应被重点关注。在史上最大规模DDoS攻击发生之后,有安全公司层对全球几乎所有的DNS服务器进行漏洞扫描,发现超过四分之三的DNS服务器存在安全漏洞,而其中四、五十万主机采用弱口令的情况也不禁让人倒吸一口冷气,一旦这些主机被攻破并且利用进行网络攻击的话,后果将不堪设想。

  初创公司和中小企业很难在基础设施建设之上,再保障自己网站的安全以免遭挂马、XSS、SQL注入和DNS攻击的侵扰。以云为基础的安全服务(Security as a Service)很重要的一项功能就是解决这类问题。提供此类服务的厂商让中小微企业用低廉的价格购买到相对专业的安全服务,这其实也是国内外以云为基础的服务提供商能够生存的重要原因。

0
相关文章