解密DNSPOD应对DDoS攻击招式！

      近期，安全专家Incapsula在最新版《DDoS威胁环境报告》指出，如今实施DDoS攻击的人只有两类：一类是专业网络黑客，而另一类就是所谓的botter。简言之，booter就是僵尸网络出租服务（botnet-for-hire serviceonline），几乎40%的网络攻击是由这些僵尸网络造成的。

 

      DDoS攻击现状越发严重

      根据Verisign iDefense的最新安全调查报告，在2015年第一季度，DDoS攻击变得更加猖獗，相比2014年同比增长达7%。

      由Akamai发布的《2015年第一季度互联网发展状况安全报告》显示，2015年第一季度，游戏行业遭受的DDoS攻击再次高于其他任何行业，占DDoS攻击总量的35%。软件与技术行业则是第二大易遭受攻击的行业，占攻击总量的25%。

 

      DDoS攻击成本日渐低廉    

      Incapsula粗略给出了僵尸网络租用服务的增长趋势，这意味着任何人都可以通过执行标准脚本，以最小的代价发起DDoS攻击。

      DDoS出租服务平均每小时只花费38美元，却能为受害者带来高达每小时4万美元的损失。

 

      DNSPOD应对DDoS攻击招式

      通过DNSPod多年的解析性能优化技术积累，并辅以强大Intel 82599EB 10GE网卡和DPDK开发套件，开发的第六代解析程序DKDNS，单机测试最高性能达到了1820万QPS，线上性能1100万QPS。并以8台服务器为一组组成了多个四层负载均衡集群，专制各种DDoS。

 

招式一   常规DDoS攻击

 

流行时间：2013年以前

攻击类型：DNS FLOOD,SYN FLOOD等

攻击源头：IDC、IDC伪造随机源IP、肉鸡

攻击目标：授权DNS

防护难度： ★ ★ ★

首选策略：CNAME防护（主动探测）或IP重传（被动探测）

防护位置：腾讯宙斯盾防护设备、dkdns解析程序、内核防护模块

防护效果： ★ ★ ★ ★ ★

备选策略：IP限速、域名限速、黑名单等

实际案列：2009年5.19断网

 

招式二   DNS反射放大攻击

 

流行时间：2012年-2013年

攻击类型：ANY/TXT/MX等记录类型放大

攻击源头：IDC伪造IP

攻击目标：伪造的固定源IP、授权DNS、递归DNS

防护难度： ★ ★

首选策略：源端口过滤、源IP过滤/限速

防护位置：机房防火墙、dkdns解析程序、内核防护模块

防护效果： ★ ★ ★ ★ ★

备选策略：禁止any查询、黑名单等

实际案例：2013.3.19 欧洲反垃圾邮件组织Spamhaus攻击

 

招式三   递归DNS反射放大攻击

 

流行时间：2014年初以后

攻击类型：随机子域名方式

攻击源头：IDC伪造IP、肉鸡（包含各种家用智能设备)

攻击目标：授权DNS、递归DNS

防护难度： ★ ★ ★ ★ ★

首选策略：域名响应限速、域名请求限速

防护位置：腾讯宙斯盾防护设备、dkdns解析程序、内核防护模块

防护效果： ★ ★ ★

备选策略：机器学习过滤随机域名、停止泛解析、源IP限速等

实际案例：2014.12.10 国内递归DNS被大规模攻击