解讀DNS攻擊：未來網路安全威脅的定時炸彈

2013年DDOS攻擊瞄準DNS

2013年3月18日，國際反垃圾郵件組織網站Spamhaus開始遭受DDoS攻擊，到3月27日，攻擊流量峰值已經達到300Gbps，成為史上最大DDoS攻擊。 該次攻擊造成歐洲地區的網路擁塞。 本次攻擊的入口就是DNS.攻擊者借助現網數量龐大的開放DNS伺服器，採用DNS反射攻擊將攻擊流量輕鬆放大100倍。 這種利用開放式DNS伺服器進行放大式的DDOS攻擊證明：DNS安全性漏洞大。 而開放DNS伺服器在互聯網上數目龐大，遠不止3萬台，即針對DNS的攻擊可以大到出乎你想像。

開放式DNS伺服器是定時炸彈

一次攻擊造成整個歐洲網路處於基本癱瘓地步，這足以讓人心生恐懼。 而本次攻擊事件也讓人們意識到：開放DNS伺服器是互聯網的定時炸彈，如果不加以治理，未來的某一天將會爆發更大規模的DDoS攻擊。 本次針對Spamhaus的DDoS攻擊只是影響到了整個歐洲互聯網的正常訪問，難保有一天發生一次影響全球網路正常訪問的攻擊，這樣全球將遭受多重大的損失，這是我們必須面對和解決的問題。

DDOS攻擊現狀及趨勢分析

統計資料顯示，針對應用層的DDoS攻擊事件上升趨勢明顯，針對HTTP應用的DDoS攻擊已經占到攻擊總量的89.11%.未來為降低攻擊成本，有效隱藏攻擊源，躲避安全設備，同時保證攻擊效果， 針對資料中心的DDoS攻擊類型將主要集中在小流量的應用層攻擊和各類慢速攻擊。 而未來幾年，IPv4網路將逐步向IPv6演進。 針對IPv4和IPv6網路的混合攻擊很快就會成為新型的DDoS攻擊威脅，眾多IPv4和IPv6協定轉換閘道設備也將成為DDoS攻擊的目標。

總之，DDOS攻擊還是未來DNS攻擊方式的主旋律。

如何做好DNS防護？

提高伺服器抗攻擊能力

DNS伺服器是網際網路基礎結構的重要組成部分，而加強伺服器抗攻擊能力正是目前抵擋DDOS攻擊的最有效方法。 由南昌邦騰科技推出全國領先高防DNSDUN，利用其高防機房的超強硬件設備，為DNS的安全築上一面安全的保護牆，目前至少能防禦200Gbps的攻擊，能防禦目前絕大多數的DDOS攻擊。

及時發現攻擊告警機制

DNS放大式攻擊的一個特點就是開始的流量請求很小，很容易被忽略，到最終被發現的時候已經一發不可收拾了。 因此及時發現攻擊的存在並採取有效措施才是最佳的抵禦手段。 DNSDUN所屬的高防機房，高防技術全國領先，對於網路攻擊有全面的應急機制，並且安排高級技術人員24小時值班，緊盯網路狀況，一旦出現網路異常即啟動告警機制，全網進入防禦狀態，保障網路的正常運行。 因此DNSDUN的防禦能力是非常值得信賴的。