DNS作為互聯(lián)網(wǎng)運行的核心基礎(chǔ)資源，承擔(dān)著將域名指向IP的重要尋址功能，是保障網(wǎng)絡(luò)互聯(lián)互通的基礎(chǔ)和前提。DNS安全無法得到保障，導(dǎo)航系統(tǒng)失效，整個網(wǎng)絡(luò)空間就會陷入混亂無序的狀態(tài)。

正是由于其在網(wǎng)絡(luò)中的特殊位置和作用，DNS長期以來都是網(wǎng)絡(luò)攻擊的重點對象。隨著網(wǎng)絡(luò)技術(shù)的快速更新迭代以及國際形勢的復(fù)雜化演進，DNS安全問題日益凸顯，對網(wǎng)絡(luò)環(huán)境的安全穩(wěn)定造成了嚴(yán)重威脅。而在眾多DNS攻擊中，對DNS安全危害最大的無疑是DDoS攻擊。

什么是DNS DDoS攻擊

DDoS攻擊是DoS攻擊的升級版，與DoS攻擊不同，DDoS攻擊將處于不同位置的多個計算機聯(lián)合起來作為攻擊平臺，對一個或多個目標(biāo)發(fā)動DDoS攻擊，從而成倍提高攻擊威力，在短時間內(nèi)通過超大流量攻擊耗盡被攻擊目標(biāo)的服務(wù)器帶寬資源，淹沒系統(tǒng)，造成服務(wù)器無法響應(yīng)正常請求甚至宕機。

需要說明的是DDoS攻擊的目標(biāo)不僅限于web服務(wù)器，DNS解析服務(wù)器同樣會成為DDoS攻擊的對象。DNS系統(tǒng)是開放不間斷的系統(tǒng)，任何人都可以對DNS系統(tǒng)發(fā)起域名請求，且DNS采用的是無連接、不可靠UDP協(xié)議，攻擊者可以很好地隱藏自己不被追溯，這就使得針對DNS系統(tǒng)發(fā)動攻擊變得更加容易，也更難防范。

DNS DDoS攻擊的危害

DNS遭受DDoS攻擊所造成的危害是巨大的，DDoS攻擊嚴(yán)重消耗DNS服務(wù)器帶寬，導(dǎo)致正常的解析請求得不到響應(yīng)，其所管轄的所有域名的解析訪問都會受到嚴(yán)重影響，所造成的破壞力是驚人的。2016年美國的“黑色星期五”事件，導(dǎo)致大半個美國“斷網(wǎng)”，就是由于美國的DNS服務(wù)商Dyn遭遇大規(guī)模DDoS攻擊所造成的。

傳統(tǒng)解析技術(shù)在面對DDoS攻擊時，并沒有有效的應(yīng)對手段，往往僅憑自身帶寬去硬扛，很容易造成服務(wù)器資源被消耗一空，使得其他正常的域名解析請求得不到響應(yīng)。在網(wǎng)絡(luò)環(huán)境日益復(fù)雜，DNS攻擊頻發(fā)的背景下，傳統(tǒng)解析技術(shù)已經(jīng)無法滿足廣大政府機關(guān)和企業(yè)對DNS安全的迫切需求。

云解析DNS如何應(yīng)對DDoS攻擊

采用具備高防DNS的新一代云解析，通過健康監(jiān)測、彈性帶寬、流量清洗等技術(shù)手段實現(xiàn)對DDoS攻擊的主動監(jiān)測和防御，是一種比被動挨打和遭受攻擊后再反擊更有效的保障措施。

彈性帶寬

雖然DDoS攻擊時有發(fā)生，但長時間購買超大帶寬并不現(xiàn)實，因此彈性帶寬被廣泛采用。當(dāng)服務(wù)器未遭受攻擊時，帶寬設(shè)定為保障客戶可以正常請求的資源量，一旦監(jiān)測到服務(wù)器遭受DDoS攻擊，帶寬瞬間放大，保證足夠的流量冗余，確保解析線路不會擁堵，能夠快速響應(yīng)正常的解析請求。

流量清洗

在面對DDoS攻擊時，云解析DNS不再像傳統(tǒng)解析一樣對惡意流量聽之任之，僅憑自身帶寬去硬扛，而是會通過特定的網(wǎng)絡(luò)流量算法，對發(fā)起解析請求的IP做出精準(zhǔn)判斷，智能識別正常請求和惡意攻擊，并對惡意流量做出及時清洗和過濾。當(dāng)再次檢測到相同地址的惡意請求時，會直接交由緩存系統(tǒng)應(yīng)答，緩解DNS服務(wù)器所承受的攻擊壓力。

DDoS防火墻

云解析配備專業(yè)的DDoS防火墻，可有效抵御DDoS、UDP Flood、ICMP、GMP、SYN Flood、ARP攻擊、非TCP/IP協(xié)議層攻擊等其他多種的未知攻擊，DDoS防火墻獨特的抗攻擊算法，可實現(xiàn)使用極少資源防御大量攻擊的效果。DDoS防火墻還具備監(jiān)控功能，一旦發(fā)現(xiàn)服務(wù)器遭受攻擊，客戶端和服務(wù)器端將同時收到警告信息。

健康監(jiān)測/宕機切換

云解析在國內(nèi)和海外設(shè)置多個解析監(jiān)測節(jié)點，可以通過ping命令、TCP/UDP探測和http（s）協(xié)議等方式對網(wǎng)站健康程度進行實時監(jiān)測。當(dāng)遭受DDoS攻擊時，云解析系統(tǒng)會根據(jù)負載均衡策略，將流量分攤至不同服務(wù)器，保障各條線路都有一定的流量冗余。如果監(jiān)測到服務(wù)器宕機現(xiàn)象發(fā)生時，云解析系統(tǒng)會立即將解析切換至備用服務(wù)器上，以維持業(yè)務(wù)系統(tǒng)的高可用性。

… …

DDoS攻擊作為最常見和破壞性最強的攻擊手段，對DNS的安全造成了嚴(yán)重威脅。云解析作為替代傳統(tǒng)解析的新一代解析技術(shù)，其所具備的高防DNS功能，在應(yīng)對頻發(fā)的DDoS攻擊時，一改以往被動挨打的局面，表現(xiàn)得更為智能、更為主動，通過彈性帶寬、流量清洗、DDoS防火墻構(gòu)建起堅實的DDoS防護盾，形成對DDoS攻擊的有效監(jiān)測和防御，是抵御DNS DDoS攻擊最有效的技術(shù)手段之一。