淘先锋技术网

首页 1 2 3 4 5 6 7

DNS域名解析服务作为现在互联网结构中最基础的一环,同时也是最脆弱的一环。被大众的重视度不是很高,所以很多黑客针对DNS这个模块攻击,或者利用其来攻击,如最近暴风影音的DNS服务商DOSpod被攻击,导致南方六省份的用户无法上网,就是典型的DNS脆弱的表现。当暴风影音事件发生后,陆续有各地媒体传来,在此之前类似的攻击也很多,如新浪和谷歌由于DNS故障,在中国区出现访问不可达的问题。

 

目前国内的DNS解析服务大多是域名注册服务商或ISP所提供的,但同时也有数家提供智能DNS解析服务的,大多是免费的。而DNSpod是其中最大的一家提供免费智能DNS服务的公司是智能DNS服务呢,因为国内分电信跟网通,电信跟网通之间互访是非常慢的,而以前当大家打开一个网站都会发现,上面有电信入口从此进入或者网通用户从此进入。使用了智能DNS服务后,用户不用再进行选择,它会直接让电信用户访问电信的服务器,网通的用户访问网通的服务器,达到互联互通的效目。

 

DNSpod的这次事件就暴露了DNS的脆弱性,由于DNSpod服务器受到黑客每小时10G流量的DDOS攻击,服务器不堪重负,造成无法提供域名解析服务,而同时因为暴风客户端的设计,造成大量用户不断的向当地ISP发送域名解析请求,最后造成电信堵塞网络瘫痪,使用户无法正常上网。

 

归根结底,问题还是出在DNS解析服务这一环节上,目前大多数服务商都采用BIND软件来做DNS服务,由于其作为开源软件,所以存在着大量的安全漏洞,并被国内的安全媒体评为十大安全漏洞之首。黑客针对BIND,或者说是DNS服务器,采用各种攻击手段,如DNS欺骗,DNS缓存篡改,拒绝服务攻击,甚至分布式拒绝服务攻击,使得DNS服务器无法提供正常服务,如DNSpod就是因为被DDos攻击,从而停止服务,不仅仅造成使用其服务的网址不可达,甚至从而变相的使得各地ISP的递归服务器流量增大,超出其负载,对正常的请求都无法回应,造成用户不能上网!

 

问题是严峻的,那么有满意一种可靠的解决方案呢?

 

目前国内的DNS服务商有没有可以值得信赖的呢?据统计,国内大的DNS服务商如万网、新网都采用BIND结构,限于其软件自身的问题,所以存在很多安全隐患,在灾难恢复,站点备份,负载均衡等方面都很薄弱,而针对DDOS攻击,也没有行之有效的防护方法,所以其DNS服务器都有因DDOS攻击而宕机的先例。在国内无法解决,那么我们只能将目光放眼全球了:来自美国的NeuStar公司拥有全球最大的、最广泛部署的DNS网络,拥有30个顶级域名并管理着全球超过3千万个域名,接近25% 的全球域名市场,每个月响应2500亿个DNS请求。用户来自各行各业。其耗资4千万美金建立的全球DNS网络,数十台DNS服务器托管于5大洲的数据中心,并通过私有网络,及强壮的DNS盾牌保护,完全限制公共访问,提供了进一步的安全和冗余层次的保障,加上采用了先进的IP任播,可以非常有效防范和抵御互联网泛滥的DDoS攻击。