另一场大规模的DDoS 互联网停电可能即将来临
根据哈佛大学的一项新研究,尽管采取了相对低成本的对策,但类似于2016 年Dyn DNS 中断的大规模互联网中断很容易再次发生。
对Dyn的DDoS 攻击使许多主要网站在一天的大部分时间都处于离线状态,包括Twitter、PayPal、Reddit、亚马逊和 Netflix。数百万属于 Mirai僵尸网络的受感染物联网设备以高达1.2 TBps 的虚假流量淹没 Dyn 的 DNS 服务,使其无法响应客户网站的真正 DNS 请求。
Dyn 攻击并没有以任何方式影响 PayPal 或 Twitter 服务器,但是对于绝大多数在向骗子汇款或在社交媒体上发帖时不喜欢记住 IP 地址的人来说,这些站点是无法访问的。
袭击者不是民族国家的行为者,而是拿着斧头的普通罪犯。布鲁斯·施奈尔当时写道:“肇事者很可能是黑客,因为 Dyn 帮助布莱恩·克雷布斯(Brian Krebs)识别并逮捕了两名正在运行 DDoS 雇佣环的以色列黑客,这让他很生气。”
0 seconds of 39 seconds音量 0%
越来越多的不安全物联网设备——即开箱即用的不安全设备,通常无法修补——意味着下一次对域名系统的 DDoS 攻击可能会更加严重。主要归咎于 DNS 提供商的集中化。
当单点故障失败时
作者指出,DNS 被设计为分布式的,但 DNS 的日益集中化会造成单点故障。“这次攻击的毁灭性成功突显了许多方式,即集中的 DNS 空间与域管理员相对较少的提供商多元化可能使大型公司也容易受到服务中断的影响。”
你可能会问,我们是怎么到这里的?事实证明,我们长达十年的恋情与其他人的计算机——我的意思是,云——导致了 DNS 设计者从未预料到的互联网基础设施的集中。
在过去,公司在内部管理自己的DNS。这需要人类在办公室管理计算机,否则他们可以构建下一个伟大的事物。你知道,就像优步一样。
虽然较老、较成熟的公司仍然更有可能托管自己的DNS,但云作为基础设施的出现意味着新公司正在将一切外包给云,包括 DNS。
“将 DNS 服务集中到少数人手中......暴露了单点故障,这些故障在过去更加分布式的 DNS 范式(企业最常在现场托管自己的 DNS 服务器的范式)中不存在,”约翰报告的合著者之一鲍尔斯告诉 CSO。“Dyn 攻击完美地说明了这种风险的集中——一次 DDoS 攻击针对数十家知名网站和 CDN [内容交付网络] 使用的提供商,从而摧毁了互联网的很大一部分。”
这份报告令人震惊的部分是,尽管这种集中带来了明显的危险,但很少有企业愿意实施任何辅助DNS。
不从历史中吸取教训的人注定要重蹈覆辙
Dyn 攻击得到了大量媒体报道,包括 CSO 的报道。数字显示,Cassandras 鼓吹 DNS 多样化的必要性,但听众中很少有人愿意倾听。报告指出:“似乎 Dyn 攻击的教训主要是由那些直接受害的人吸取的。”
在2016 年的攻击之前,超过 90% 的研究域仅使用来自一个提供商的名称服务器。攻击发生后,该百分比在六个月后的 2017 年 5 月从 92.2% 下降到 87.3%。其中大多数是经历过中断的 Dyn 客户。
甚至现在由Oracle 拥有的 Dyn 本身也提供辅助DNS 服务并鼓励他们的客户使用它。在一份简短的准备声明中,Dyn 的架构总监 Andrew Sullivan 告诉 CSO,“网站运营商需要整个堆栈的多样性,并选择支持多样性的组件,如 DNS 服务、Web 防火墙和 DDoS 保护。”
报告指出,使外部DNS 提供商多样化的一个困难是外部 DNS 通常与其他服务捆绑在一起,例如 CDN 和 DDoS 保护。CloudFlare 作为所研究域的 DNS 提供商拥有超过 15% 的市场份额,但该公司的 DDoS 保护服务,报告指出,“使域无法注册由其他提供商管理的 DNS 名称服务器。”
该报告指出了新域使用基于云的平台的趋势,其中包括将DNS 作为一套服务产品之一。您可能会想,Amazon AWS 可以抵御任何 DDoS 攻击,但还记得那次Amazon 员工的错误导致 S3 瘫痪吗?事故和对手都威胁着单点故障。
您不会在没有冗余的情况下构建桥梁,为什么要在没有冗余的情况下构建DNS 基础架构?
如何使您的DNS 变得多余
如果您还不知道,您应该做的第一件事就是弄清楚您当前的设置是什么。检查您的名称服务器:
CDN 提供商 Akamai 的 CSO Andy Ellis 告诉 CSO:“如果返回的名称在您自己的域中,则意味着您是自己做的。” “您应该考虑这是否是正确的选择,对于大多数公司而言并非如此。如果您已经拥有 CDN 提供商,则很有可能通过您现有的合同或作为附加服务提供 DNS 服务;这是一种快捷方式添加或切换提供商。”
虽然低流量站点通常只列出两个名称服务器,但DNS 最多允许八个。Ellis 建议,以 6:2 的配置使用它们。需要额外冗余的组织可以在 5:2:1 配置中自行托管。
这个问题的惊人之处在于它并不新鲜。报告指出,RFC 2182于1997 年制定了关于二级 DNS 最佳实践的法律。“为每个区域设置多台服务器的一个主要原因,”RFC 2182 告诉我们,“是为了让来自区域的信息能够广泛可靠地提供给整个 Internet 上的客户端,即全世界的客户端,即使只有一台服务器不可用或无法访问。”
虽然RFC 的一些建议现在已经过时——与另一个组织交换二级区域现在似乎有点过时——但避免中心故障点和确保冗余的基本原则没有改变。“供应商冗余既可以为您提供规模,又可以确保单一供应商的问题不会使您的业务脱机,”埃利斯说。
多元化,多元化,多元化
互联网上的中心故障点是一个很大的禁忌,尤其是当任何租用僵尸网络的白痴都可以使主要网站脱机一天的大部分时间时。如今,通过使您的DNS 多样化来减轻这种风险,这听起来很像尽职调查。
哈佛商学院教授谢恩·格林斯坦 (Shane Greenstein) 说:“这并不难,而且成本也不高,这是一种很好的做法。” “可以肯定的是,这对一家非常大的公司来说是一件麻烦事,但这不是借口。所有网络安全都是一件麻烦事,与其他预防措施相比,这件事微不足道。”