云計(jì)算的不斷深入，讓安全成為了云計(jì)算服務(wù)的重要組成部分。目前業(yè)界提到的云安全主要有兩種模式，一種是網(wǎng)站云安全，使用遍布全國(guó)各地的代理網(wǎng)絡(luò)節(jié)點(diǎn)來(lái)提供網(wǎng)站前置的安全防護(hù)服務(wù)，比如安全寶、360、加速樂(lè)等等，另一種是殺毒云安全，使用殺毒軟件上傳病毒樣本到云中心，提供安全服務(wù)，比如瑞星、金山、趨勢(shì)科技、賽門(mén)鐵克、邁克菲、諾頓等等。從性質(zhì)即可看出前者更偏向企業(yè)級(jí)市場(chǎng)，尤其是對(duì)于初創(chuàng)企業(yè)和中小企業(yè)，并且隨著互聯(lián)網(wǎng)的發(fā)展，網(wǎng)站安全會(huì)變得越來(lái)越重要，也將是大勢(shì)所趨。

DNS成為云安全關(guān)鍵

提到互聯(lián)網(wǎng)，就避免不了DNS(域名解析服務(wù))，又由于近期兩大安全事件成為當(dāng)紅安全熱點(diǎn)。今年3月，反垃圾郵件組織Spamhaus遭受互聯(lián)網(wǎng)歷史上最大規(guī)模DDoS攻擊，這高達(dá)300Gbps的DDoS攻擊，正是由于DNS服務(wù)器漏洞導(dǎo)致被利用來(lái)做了DNS反射放大攻擊，使得只有幾百兆初始攻擊流量經(jīng)過(guò)兩次反射后達(dá)到了300G的峰值，不僅讓攻擊目標(biāo)頓感無(wú)力，甚至拖慢了全球互聯(lián)網(wǎng)的速度。不久前，在“臺(tái)菲”黑客大戰(zhàn)中，菲律賓多家網(wǎng)站被臺(tái)灣黑客通過(guò)DNS劫持入侵。

然而，對(duì)于云安全模式來(lái)說(shuō)，DNS又能起到怎樣的作用呢?又為何DNS頻遭“黑手”?這一連串的問(wèn)題浮現(xiàn)于筆者的腦海中。為此筆者專(zhuān)程采訪(fǎng)了安全寶CEO馬杰、安全寶聯(lián)合產(chǎn)品副總裁吳翰清，以及DNSPod創(chuàng)始人、CEO、網(wǎng)絡(luò)安全專(zhuān)家吳洪聲。在采訪(fǎng)中，馬杰表示，“在云安全體系中，DNS安全處于非常重要的地位。DNS服務(wù)承擔(dān)著從域名到IP地址的解析工作。如果沒(méi)有DNS服務(wù)，所用的網(wǎng)站訪(fǎng)問(wèn)請(qǐng)求將不能傳遞到網(wǎng)站服務(wù)器。正因?yàn)镈NS的重要性，DNS服務(wù)的健康程度直接決定網(wǎng)絡(luò)訪(fǎng)問(wèn)體驗(yàn)。”吳洪聲也表示，“云計(jì)算特別看重業(yè)務(wù)持續(xù)性和在不同負(fù)載情況下的擴(kuò)展能力，智能DNS能為用戶(hù)帶來(lái)更穩(wěn)定的運(yùn)行環(huán)境和更強(qiáng)的業(yè)務(wù)承載能力。特別是分區(qū)域解析、分IP段解析等服務(wù)，讓用戶(hù)在分布式、多節(jié)點(diǎn)的環(huán)境中有很大的靈活性，更能發(fā)揮云架構(gòu)的優(yōu)勢(shì)?！?

既然DNS在安全中的地位如此重要，就很容易理解為什么DNS會(huì)頻遭毒手了。吳洪聲談道：“DNS系統(tǒng)的三個(gè)特點(diǎn)讓它成為攻擊者首選的攻擊目標(biāo)。首先是服務(wù)角色決定的穩(wěn)定性和公開(kāi)性。不論是哪種DNS，由于緩存影響導(dǎo)致地址不能經(jīng)常變化。也就是說(shuō)在被攻擊時(shí)，DNS服務(wù)器不能更換和隱藏IP地址。另外一點(diǎn)是匿名性，DNS服務(wù)使用UDP協(xié)議，使得攻擊者可以很好地隱藏自己，不被追溯。最后便是集中性，通常情況下DNS服務(wù)器都會(huì)給多個(gè)網(wǎng)站或者用戶(hù)服務(wù)，攻破一個(gè)服務(wù)器影響范圍非常大，也使得攻擊效率大大提高?！?

據(jù)了解，由于DNS的匿名性導(dǎo)致流量攻擊數(shù)量大大增加，這種攻擊可以造成DNS系統(tǒng)拒絕服務(wù)，致使所有使用該DNS系統(tǒng)的用戶(hù)都會(huì)感到網(wǎng)絡(luò)緩慢，甚至不能使用。據(jù)吳翰清介紹，DDoS攻擊目前最常見(jiàn)的仍然是SYN flood攻擊約占25-30%，其次是Http Get Flood(俗稱(chēng)的CC攻擊)約為20-25%，DNS QueryFlood約為15-20%排第三。并且近期針對(duì)網(wǎng)站DNS解析的DNS QueryFlood攻擊和利用DNS服務(wù)攻擊第三方的DNS反射攻擊都將會(huì)是DNS相關(guān)的主流攻擊方式，而攻擊次數(shù)和攻擊規(guī)模，等整體趨勢(shì)都會(huì)比較平穩(wěn)，不會(huì)有太大的變化。

攻擊門(mén)檻低 防護(hù)難度高

黑客攻擊從過(guò)去個(gè)人炫耀技術(shù)發(fā)展成了利益驅(qū)動(dòng)的有組織的行為，這些人擁有足夠的技術(shù)、大量的資源和明確的目標(biāo)，自從DNSPod成立以來(lái)，就不斷地與這些攻擊者做對(duì)抗。隨著技術(shù)的發(fā)展，計(jì)算機(jī)性能越來(lái)越高、網(wǎng)絡(luò)帶寬越來(lái)越大，使得攻擊者的門(mén)檻不斷降低。在投入相同成本的情況下，攻擊者可以組織起比過(guò)去更加頻繁、流量更大的攻擊。這對(duì)我們的防護(hù)能力提出了新的挑戰(zhàn)。

對(duì)于DNS攻擊的防護(hù)，需要做到系統(tǒng)化、集中化，只有多種防護(hù)手段綜合運(yùn)用，才能達(dá)到良好的防護(hù)效果。包括解析應(yīng)用、服務(wù)器、防護(hù)設(shè)備、網(wǎng)絡(luò)帶寬甚至與鏈路上游運(yùn)營(yíng)商的合作，都是DNS攻擊的主要防護(hù)手段。然而，在這樣多類(lèi)別的防護(hù)背后，考驗(yàn)的不僅僅是技術(shù)研發(fā)實(shí)力，更是綜合化運(yùn)營(yíng)能力。

“DNS攻擊業(yè)常見(jiàn)的手法為發(fā)送大量的DNS查詢(xún)請(qǐng)求，耗盡DNS服務(wù)器查詢(xún)資源，從而導(dǎo)致DNS服務(wù)器不能響應(yīng)正常查詢(xún)請(qǐng)求。針對(duì)這種攻擊，常見(jiàn)防御手法就是限制域名查詢(xún)速率，以及UDP查詢(xún)請(qǐng)求TCP轉(zhuǎn)換等等一系列手段。除此之外，增加DNS服務(wù)器的數(shù)，增大DNS服務(wù)的并發(fā)響應(yīng)，也是有效的解決之道?！眳呛睬逭f(shuō)道。

那么，對(duì)于DNS服務(wù)提供商來(lái)說(shuō)，在攻擊防護(hù)方面還有什么可以做的呢?吳洪聲講道：“提高服務(wù)器的性能和優(yōu)化架構(gòu)是一定要做的。比如現(xiàn)在用戶(hù)看到我們一組DNS服務(wù)器域名通常有兩個(gè)，后面托管的IP平均有8個(gè)左右。為了簡(jiǎn)化，我們把這8個(gè)IP稱(chēng)作8臺(tái)服務(wù)器，但在后端的實(shí)現(xiàn)中，其實(shí)它是一個(gè)服務(wù)器的負(fù)載集群，而我們?cè)诤竺嫦蚣褐性黾臃?wù)器時(shí)對(duì)用戶(hù)是完全透明的。提高服務(wù)器的性能和負(fù)載集群主要是為了巨大壓力環(huán)境下的服務(wù)質(zhì)量，保證這一點(diǎn)之后，網(wǎng)絡(luò)就成了服務(wù)解析時(shí)間中的重點(diǎn)。因?yàn)榧词狗?wù)器性能再好，假如距離非常遠(yuǎn)也會(huì)導(dǎo)致解析時(shí)間延長(zhǎng)，所以我們現(xiàn)在已經(jīng)在全國(guó)各個(gè)地區(qū)，以及歐洲美洲部署了服務(wù)節(jié)點(diǎn)，大大提高了服務(wù)質(zhì)量?！?

雖然在如此眾多的攻擊手段面前，DNS服務(wù)器貌似很難保證安全。但是有句俗話(huà)叫“堡壘都是從內(nèi)部攻破的”，因此DNS服務(wù)器的安全管理也應(yīng)被重點(diǎn)關(guān)注。在史上最大規(guī)模DDoS攻擊發(fā)生之后，有安全公司層對(duì)全球幾乎所有的DNS服務(wù)器進(jìn)行漏洞掃描，發(fā)現(xiàn)超過(guò)四分之三的DNS服務(wù)器存在安全漏洞，而其中四、五十萬(wàn)主機(jī)采用弱口令的情況也不禁讓人倒吸一口冷氣，一旦這些主機(jī)被攻破并且利用進(jìn)行網(wǎng)絡(luò)攻擊的話(huà)，后果將不堪設(shè)想。

初創(chuàng)公司和中小企業(yè)很難在基礎(chǔ)設(shè)施建設(shè)之上，再保障自己網(wǎng)站的安全以免遭掛馬、XSS、SQL注入和DNS攻擊的侵?jǐn)_。以云為基礎(chǔ)的安全服務(wù)(Security as a Service)很重要的一項(xiàng)功能就是解決這類(lèi)問(wèn)題。提供此類(lèi)服務(wù)的廠(chǎng)商讓中小微企業(yè)用低廉的價(jià)格購(gòu)買(mǎi)到相對(duì)專(zhuān)業(yè)的安全服務(wù)，這其實(shí)也是國(guó)內(nèi)外以云為基礎(chǔ)的服務(wù)提供商能夠生存的重要原因。

河南億恩科技股份有限公司(www.cmtents.com)始創(chuàng)于2000年，專(zhuān)注服務(wù)器托管租用，是國(guó)家工信部認(rèn)定的綜合電信服務(wù)運(yùn)營(yíng)商。億恩為近五十萬(wàn)的用戶(hù)提供服務(wù)器托管、服務(wù)器租用、機(jī)柜租用、云服務(wù)器、網(wǎng)站建設(shè)、網(wǎng)站托管等網(wǎng)絡(luò)基礎(chǔ)服務(wù)，另有網(wǎng)總管、名片俠網(wǎng)絡(luò)推廣服務(wù)，使得客戶(hù)不斷的獲得更大的收益。
服務(wù)器/云主機(jī) 24小時(shí)售后服務(wù)電話(huà)：0371-60135900
虛擬主機(jī)/智能建站 24小時(shí)售后服務(wù)電話(huà)：0371-55621053
網(wǎng)絡(luò)版權(quán)侵權(quán)舉報(bào)電話(huà)：0371-60135995
服務(wù)熱線(xiàn)：0371-60135900