• 解密DNSPOD应对DDoS攻击招式!


          最近,安全专家Incapsula在最新版《DDoS威胁环境报告》指出。现在实施DDoS攻击的人仅仅有两类:一类是专业网络黑客。而还有一类就是所谓的botter。

    简言之,booter就是僵尸网络出租服务(botnet-for-hire serviceonline),差点儿40%的网络攻击是由这些僵尸网络造成的。


          DDoS攻击现状越发严重


          依据Verisign iDefense的最新安全调查报告。在2015年第一季度,DDoS攻击变得更加猖獗,相比2014年同比增长达7%。


          由Akamai公布的《2015年第一季度互联网发展状况安全报告》显示,2015年第一季度,游戏行业遭受的DDoS攻击再次高于其它不论什么行业,占DDoS攻击总量的35%。软件与技术行业则是第二大易遭受攻击的行业,占攻击总量的25%。


          DDoS攻击成本日渐低廉

         

          Incapsula粗略给出了僵尸网络租用服务的增长趋势,这意味着不论什么人都能够通过运行标准脚本,以最小的代价发起DDoS攻击。


          DDoS出租服务平均每小时仅仅花费38美元,却能为受害者带来高达每小时4万美元的损失。


          DNSPOD应对DDoS攻击招式


          通过DNSPod多年的解析性能优化技术积累。并辅以强大Intel 82599EB 10GE网卡和DPDK开发套件,开发的第六代解析程序DKDNS,单机測试最高性能达到了1820万QPS,线上性能1100万QPS。并以8台server为一组组成了多个四层负载均衡集群,专制各种DDoS。


    招式一   常规DDoS攻击


    流行时间:2013年曾经

    攻击类型:DNS FLOOD,SYN FLOOD等

    攻击源头:IDC、IDC伪造随机源IP、肉鸡

    攻击目标:授权DNS

    防护难度: ★ ★ ★

    首选策略:CNAME防护(主动探測)或IP重传(被动探測)

    防护位置:腾讯宙斯盾防护设备、dkdns解析程序、内核防护模块

    防护效果: ★ ★ ★ ★ ★

    备选策略:IP限速、域名限速、黑名单等

    实际案列:2009年5.19断网


    招式二   DNS反射放大攻击


    流行时间:2012年-2013年

    攻击类型:ANY/TXT/MX等记录类型放大

    攻击源头:IDC伪造IP

    攻击目标:伪造的固定源IP、授权DNS、递归DNS

    防护难度: ★ ★

    首选策略:源port过滤、源IP过滤/限速

    防护位置:机房防火墙、dkdns解析程序、内核防护模块

    防护效果: ★ ★ ★ ★ ★

    备选策略:禁止any查询、黑名单等

    实际案例:2013.3.19 欧洲反垃圾邮件组织Spamhaus攻击


    招式三   递归DNS反射放大攻击


    流行时间:2014年初以后

    攻击类型:随机子域名方式

    攻击源头:IDC伪造IP、肉鸡(包括各种家用智能设备)

    攻击目标:授权DNS、递归DNS

    防护难度: ★ ★ ★ ★ ★

    首选策略:域名响应限速、域名请求限速

    防护位置:腾讯宙斯盾防护设备、dkdns解析程序、内核防护模块

    防护效果: ★ ★ ★

    备选策略:机器学习过滤随机域名、停止泛解析、源IP限速等

    实际案例:2014.12.10 国内递归DNS被大规模攻击

  • 相关阅读:
    自定义控件小结进阶篇
    SQL注入语句 (很全)
    C# winform DataGridView 属性说明 [C# .NET]
    MDI窗体程序中防止子窗体被多次实例化——Singleton的C#实现
    精妙SQL语句大全
    sql语句
    注销时关闭当前窗体,返回登入界面
    C#中DataGridView的使用 [C# .NET]
    C#开发 WinForm中窗体显示和窗体传值相关知识
    HDU2553 (N皇后)
  • 原文地址:https://www.cnblogs.com/slgkaifa/p/7360241.html
Copyright © 2020-2023  润新知