在DDoS攻击下若何保护DNS的安全[网络技术]

之所以撰写这篇文章,也是因为我阅历了一场真实的DdoS攻击.当时的受害者是位于北美的一个小办公室,拥有一个DSL路由器和一个静态IP地址.办公室的服务器对外开启了DNS.被攻击的早期征象有两点,一是接纳到的电子邮件数目比平常有所下降,二是Web浏览速度下降.在经过几天的不良症状后,该办公室再也收不到来自外界的电子邮件了,同时也无法举行网络浏览了.利用最简单的ping号令到互联网大型网站地址,得到的后果要末是失利,要末就是超越1000ms的呼应时间,这也基本算是无法衔接了.
 
很明显此时有某个网络进程充斥在DSL衔接中.办公室中的每台电脑都关机重启了,并没有办理问题.重启DSL也没有办理问题.但是在重启DNS服务器后,会有短暂的时间恢复到正常的互联网衔接状况,几分钟后,这种正常的衔接速度再次变得不正常,并很快无法衔接任何网站.考虑到大概是电子邮件系统或基于Web的进程呈现弊端,便先后将服务器中的Exchange服务和Web服务关停,但是没有效果.在接下来的逐项尝试中,我们发现关闭DNS服务会产生明显的效果,于是我们终究将问题锁定在DNS服务上.
 
但是DNS服务的日记中并没有任何告诫事件,并且服务器本身也安装了最新的补钉,包含DNS服务补钉和DoS溢出补钉.另一个找寻线索的位置就是防火墙的日记文件.固然这个办公室的防火墙没有历史日记文件,但是我们可以查看选定网络协议的及时日记.从及时的防火墙日记可以察看到,有两个互联网上的IP地址在不断向办公室的服务器发送DNS恳求数据.这两个IP地址所代表的服务器都位于欧洲,辨别属于两个差别的国家,但是它们都在向这个相同的DNS服务地址发送大量的数据.假若有两个或两个以上的远程地址在举行DoS攻击,便可以将其归类为DDoS攻击,即分布式DoS攻击..
 
在DDoS攻击下保护DNS
 
一旦你知道了攻击方的IP地址,便可以简单在防火墙中设置一个IP法则,禁止来自该IP地址的任何数据通过防火墙.在我们禁止了一个IP地址后,ping主流网站的后果已经到达300ms了.当我们将第二个IP地址拦阻后,ping主流网站的后果已经恢复到正常水平,大约30ms,并且全部网络功效恢复了正常.这个办公室很幸运,所蒙受的DDoS攻击只有两个攻击源,两个固定IP地址.假如攻击源有几十乃至上百个(大概攻击源IP地址是改变的),该办公室的处境就艰难的多了,同时对平常业务的打击也会更大.
 
正如我前面提到的,避免DNS服务器遭受DDoS攻击的最佳筹划是将DNS服务交给DNS服务供应商去实现,比方你的ISP或出名的DNS注册机构,大概坚固的托管机构.固然这种做法无法从根本上根绝黑客关于供应商展开DoS攻击的威胁,但是最少可以避免在发生DoS攻击时,你企业的各种网络功效会不受影响.
 
假如出于某种缘由,你必必要在企业内部成立DNS服务,那么一定要拟定一个针对DNSDoS攻击的应对战略.比方在差别地址成立多个DNS服务器,利用强化或专用的DNS服务器或利用程序并采取独立的互联网衔接线路.Verisign在2011年5月公布了一份DNS可用性状况报告,确认就算是最顶级的电子商务网站,其DNS的可用性也面对潜在风险,特别是那些自己成立和管理DNS服务的企业.