云纪事,第 2 部分: DNS DDoS 攻击预防与防御
当考虑 DNS 解决方案如何适合您的环境时,安全性可能不是首先考虑的因素。 毕竟,它经常被称为“互联网的电话簿”,而电话簿和安全在同一句话中被提及的频率是多少? DNS 有点不起眼,即使它基本上是日常互联网交互的支柱。 也许是因为这种普遍性,DNS 服务也经常成为分布式拒绝服务 (DDoS) 攻击的目标。 随着这些攻击的复杂性和频率不断上升,保卫这一互联网基础设施基石的要求也随之增加。
DNS DDoS 攻击: 无论玫瑰换了什么名字,都会影响交通
关于DNS DDoS 攻击,还有什么没说过的呢? 它们有多种表现形式,大小不一,从“造成不便”到“破坏互联网” ,或至少破坏互联网的一个角落。 “DDoS” 是一个总称,涵盖了多种类型的拒绝服务网络和应用攻击,这些攻击会进入合法应用流量。 以下是四种最常见的大规模攻击:
DNS 放大和反射攻击 将 DNS 本身变成一种武器,利用DNS 服务器的开放特性来放大攻击流量——就像对着峡谷大喊并利用回声来放大声音一样。
NXDOMAIN 攻击会向服务器发送大量针对不存在的域名的请求,从而产生大量“错误号码”的恶意噪音,导致服务陷入瘫痪。
随机子域名攻击通过请求大量不存在的子域名来制造难题,使 DNS 解析器感到困惑。
DNS 洪水攻击会用看似合法的流量淹没一台或多台服务器,试图通过巨大的流量压垮系统。
DNS 洪水攻击、子域攻击、NXDOMAIN 攻击以及放大和反射攻击 - 不管它们如何出现,它们都试图使用过多或不规则的流量来破坏合法用户对业务关键型应用程序的访问。 它们也不总是单独发射。 事实上,DNS DDoS 攻击也可以作为掩盖其他恶意活动的烟幕。 考虑到这些攻击类型的存在,在数字化转型不断激增、物联网设备日益普及以及 5G 网络接入不断扩展的背景下,不良行为者现在可以利用比以往更多的技术和互联网连接来实现针对 DNS 服务的邪恶目标。 该怎么办?
多向量攻击,多向量安全
将 DNS 定位为环境中应用交付的起点确实要求团队将其视为安全的起点,即使 DNS 服务通常不被视为传统意义上的安全解决方案。
在三个相关功能的背景下考虑安全性会有所帮助:可扩展性、高可用性和恶意流量管理。 这些功能均在与交通交互中发挥实际作用,确保正确的交通顺利到达需要的地方。
可扩展性: 考虑一个为了响应激增的流量需求而自动扩展的基础设施,让维护服务的团队在 DDoS 攻击检测方面占据先机。 它可以确保即使在遭受容量耗尽攻击期间,合法用户仍然可以以最小的干扰解析他们的 DNS 查询,就像在交通高峰期可以增加车道以防止拥堵的桥梁一样。 DNS 服务的扩展能力还意味着突然的流量浪潮(无论是恶意的还是其他的)不会压垮后端资源以至于无法承受。
高可用性: 为可扩展性的概念添加另一个维度,特别是在 DNS 安全性方面,您就会意识到需要一种 DNS 服务,该服务可以在可能导致资源离线的攻击期间提供不间断的解析。 如果该服务受益于遍布全球的接入点 (PoP),那么该服务器网络可以通过向指定资源提供无缝故障转移、为用户提供访问以及防止攻击者识别和利用单点故障来提供智能流量管理。 该解决方案的另一种形式是将基于云的 DNS 服务与本地 DNS 服务配对,将两者部署为一种动态的、抗 DDoS 的组合,可以在它们之间分担负载,或者将一个 DNS 服务定位为另一个 DNS 服务的备份。
恶意流量管理: 除了可扩展性和高可用性之外,DNS 服务还应采用高级恶意流量管理功能。 通过利用实时分析和威胁情报,这种服务可以帮助管理员在恶意流量造成危害之前识别并解决它。 试想一下,如果愿意的话,水过滤器可以区分干净的水流和被污染的水流,只允许干净的水通过。 仅允许“干净”的流量通过网络可以释放资源,因为它可以预先检测恶意流量,然后在其到达受害目的地之前将其丢弃,从而防止该目的地处理垃圾数据包,并为提高应用程序可用性铺平道路。
这些安全方法针对缓解不良流量的问题进行了三角测量。 它们生长、它们转移、它们衰落。 在某一种单独方法可能存在缺陷的领域,它们还会互相提供覆盖。 高可用性例如,并不一定意味着高可扩展性(反之亦然)。 然而,部署将这三者结合起来的应用程序交付策略可以快速为抵御恶意流量洪流提供强有力的防线。
在实践中,面对 DDoS 攻击等挑战,实现强大的应用交付通常需要结合策略和技术,例如智能流量管理、分布式架构和自动故障转移机制。 F5 分布式云 DNS可以作为为您的分布式应用开发此类环境的第一步。
如果您想了解更多有关如何操作的信息,请联系我们。