云計算的不斷深入，讓安全成為了云計算服務的重要組成部分。目前業(yè)界提到的云安全主要有兩種模式，一種是網站云安全，使用遍布全國各地的代理網絡節(jié)點來提供網站前置的安全防護服務，比如安全寶、360、加速樂等等，另一種是殺毒云安全，使用殺毒軟件上傳病毒樣本到云中心，提供安全服務，比如瑞星、金山、趨勢科技、賽門鐵克、邁克菲、諾頓等等。從性質即可看出前者更偏向企業(yè)級市場，尤其是對于初創(chuàng)企業(yè)和中小企業(yè)，并且隨著互聯(lián)網的發(fā)展，網站安全會變得越來越重要，也將是大勢所趨。

DNS成為云安全關鍵

提到互聯(lián)網，就避免不了DNS(域名解析服務)，又由于近期兩大安全事件成為當紅安全熱點。今年3月，反垃圾郵件組織Spamhaus遭受互聯(lián)網歷史上最大規(guī)模DDoS攻擊，這高達300Gbps的DDoS攻擊，正是由于DNS服務器漏洞導致被利用來做了DNS反射放大攻擊，使得只有幾百兆初始攻擊流量經過兩次反射后達到了300G的峰值，不僅讓攻擊目標頓感無力，甚至拖慢了全球互聯(lián)網的速度。不久前，在“臺菲”黑客大戰(zhàn)中，菲律賓多家網站被臺灣黑客通過DNS劫持入侵。

然而，對于云安全模式來說，DNS又能起到怎樣的作用呢?又為何DNS頻遭“黑手”?這一連串的問題浮現(xiàn)于筆者的腦海中。為此筆者專程采訪了安全寶CEO馬杰、安全寶聯(lián)合產品副總裁吳翰清，以及DNSPod創(chuàng)始人、CEO、網絡安全專家吳洪聲。在采訪中，馬杰表示，“在云安全體系中，DNS安全處于非常重要的地位。DNS服務承擔著從域名到IP地址的解析工作。如果沒有DNS服務，所用的網站訪問請求將不能傳遞到網站服務器。正因為DNS的重要性，DNS服務的健康程度直接決定網絡訪問體驗。”吳洪聲也表示，“云計算特別看重業(yè)務持續(xù)性和在不同負載情況下的擴展能力，智能DNS能為用戶帶來更穩(wěn)定的運行環(huán)境和更強的業(yè)務承載能力。特別是分區(qū)域解析、分IP段解析等服務，讓用戶在分布式、多節(jié)點的環(huán)境中有很大的靈活性，更能發(fā)揮云架構的優(yōu)勢?！?

既然DNS在安全中的地位如此重要，就很容易理解為什么DNS會頻遭毒手了。吳洪聲談道：“DNS系統(tǒng)的三個特點讓它成為攻擊者首選的攻擊目標。首先是服務角色決定的穩(wěn)定性和公開性。不論是哪種DNS，由于緩存影響導致地址不能經常變化。也就是說在被攻擊時，DNS服務器不能更換和隱藏IP地址。另外一點是匿名性，DNS服務使用UDP協(xié)議，使得攻擊者可以很好地隱藏自己，不被追溯。最后便是集中性，通常情況下DNS服務器都會給多個網站或者用戶服務，攻破一個服務器影響范圍非常大，也使得攻擊效率大大提高?！?

據了解，由于DNS的匿名性導致流量攻擊數量大大增加，這種攻擊可以造成DNS系統(tǒng)拒絕服務，致使所有使用該DNS系統(tǒng)的用戶都會感到網絡緩慢，甚至不能使用。據吳翰清介紹，DDoS攻擊目前最常見的仍然是SYN flood攻擊約占25-30%，其次是Http Get Flood(俗稱的CC攻擊)約為20-25%，DNS QueryFlood約為15-20%排第三。并且近期針對網站DNS解析的DNS QueryFlood攻擊和利用DNS服務攻擊第三方的DNS反射攻擊都將會是DNS相關的主流攻擊方式，而攻擊次數和攻擊規(guī)模，等整體趨勢都會比較平穩(wěn)，不會有太大的變化。

攻擊門檻低 防護難度高

黑客攻擊從過去個人炫耀技術發(fā)展成了利益驅動的有組織的行為，這些人擁有足夠的技術、大量的資源和明確的目標，自從DNSPod成立以來，就不斷地與這些攻擊者做對抗。隨著技術的發(fā)展，計算機性能越來越高、網絡帶寬越來越大，使得攻擊者的門檻不斷降低。在投入相同成本的情況下，攻擊者可以組織起比過去更加頻繁、流量更大的攻擊。這對我們的防護能力提出了新的挑戰(zhàn)。

對于DNS攻擊的防護，需要做到系統(tǒng)化、集中化，只有多種防護手段綜合運用，才能達到良好的防護效果。包括解析應用、服務器、防護設備、網絡帶寬甚至與鏈路上游運營商的合作，都是DNS攻擊的主要防護手段。然而，在這樣多類別的防護背后，考驗的不僅僅是技術研發(fā)實力，更是綜合化運營能力。

“DNS攻擊業(yè)常見的手法為發(fā)送大量的DNS查詢請求，耗盡DNS服務器查詢資源，從而導致DNS服務器不能響應正常查詢請求。針對這種攻擊，常見防御手法就是限制域名查詢速率，以及UDP查詢請求TCP轉換等等一系列手段。除此之外，增加DNS服務器的數，增大DNS服務的并發(fā)響應，也是有效的解決之道?！眳呛睬逭f道。

那么，對于DNS服務提供商來說，在攻擊防護方面還有什么可以做的呢?吳洪聲講道：“提高服務器的性能和優(yōu)化架構是一定要做的。比如現(xiàn)在用戶看到我們一組DNS服務器域名通常有兩個，后面托管的IP平均有8個左右。為了簡化，我們把這8個IP稱作8臺服務器，但在后端的實現(xiàn)中，其實它是一個服務器的負載集群，而我們在后面向集群中增加服務器時對用戶是完全透明的。提高服務器的性能和負載集群主要是為了巨大壓力環(huán)境下的服務質量，保證這一點之后，網絡就成了服務解析時間中的重點。因為即使服務器性能再好，假如距離非常遠也會導致解析時間延長，所以我們現(xiàn)在已經在全國各個地區(qū)，以及歐洲美洲部署了服務節(jié)點，大大提高了服務質量?！?

雖然在如此眾多的攻擊手段面前，DNS服務器貌似很難保證安全。但是有句俗話叫“堡壘都是從內部攻破的”，因此DNS服務器的安全管理也應被重點關注。在史上最大規(guī)模DDoS攻擊發(fā)生之后，有安全公司層對全球幾乎所有的DNS服務器進行漏洞掃描，發(fā)現(xiàn)超過四分之三的DNS服務器存在安全漏洞，而其中四、五十萬主機采用弱口令的情況也不禁讓人倒吸一口冷氣，一旦這些主機被攻破并且利用進行網絡攻擊的話，后果將不堪設想。

初創(chuàng)公司和中小企業(yè)很難在基礎設施建設之上，再保障自己網站的安全以免遭掛馬、XSS、SQL注入和DNS攻擊的侵擾。以云為基礎的安全服務(Security as a Service)很重要的一項功能就是解決這類問題。提供此類服務的廠商讓中小微企業(yè)用低廉的價格購買到相對專業(yè)的安全服務，這其實也是國內外以云為基礎的服務提供商能夠生存的重要原因。

河南億恩科技股份有限公司(1tcdy.com)始創(chuàng)于2000年，專注服務器托管租用，是國家工信部認定的綜合電信服務運營商。億恩為近五十萬的用戶提供服務器托管、服務器租用、機柜租用、云服務器、網站建設、網站托管等網絡基礎服務，另有網總管、名片俠網絡推廣服務，使得客戶不斷的獲得更大的收益。
服務器/云主機 24小時售后服務電話：0371-60135900
虛擬主機/智能建站 24小時售后服務電話：0371-55621053
網絡版權侵權舉報電話：0371-60135995
服務熱線：0371-60135900