解密DNSPOD應對DDoS攻擊招式！

      近期，安全專家Incapsula在最新版《DDoS威脅環境報告》指出，現在實施DDoS攻擊的人只有兩類：一類是專業網絡黑客，而另外一類就是所謂的botter。簡言之，booter就是僵屍網絡出租服務（botnet-for-hire serviceonline），幾乎40%的網絡攻擊是由這些僵屍網絡形成的。

      DDoS攻擊現狀愈加嚴重

      根據Verisign iDefense的最新安全調查報告，在2015年第一季度，DDoS攻擊變得更加猖獗，相比2014年同比增加達7%。

      由Akamai發佈的《2015年第一季度互聯網發展情況安全報告》顯示，2015年第一季度，遊戲行業遭受的DDoS攻擊再次高於其餘任何行業，佔DDoS攻擊總量的35%。軟件與技術行業則是第二大易遭受攻擊的行業，佔攻擊總量的25%。

      DDoS攻擊成本日漸低廉

     

      Incapsula粗略給出了僵屍網絡租用服務的增加趨勢，這意味着任何人均可以經過執行標準腳本，以最小的代價發起DDoS攻擊。

      DDoS出租服務平均每小時只花費38美圓，卻能爲受害者帶來高達每小時4萬美圓的損失。

      DNSPOD應對DDoS攻擊招式

      經過DNSPod多年的解析性能優化技術積累，並輔以強大Intel 82599EB 10GE網卡和DPDK開發套件，開發的第六代解析程序DKDNS，單機測試最高性能達到了1820萬QPS，線上性能1100萬QPS。並以8臺服務器爲一組組成了多個四層負載均衡集羣，專制各類DDoS。

招式一   常規DDoS攻擊

流行時間：2013年之前

攻擊類型：DNS FLOOD,SYN FLOOD等

攻擊源頭：IDC、IDC僞造隨機源IP、肉雞

攻擊目標：受權DNS

防禦難度： ★ ★ ★

首選策略：CNAME防禦（主動探測）或IP重傳（被動探測）

防禦位置：騰訊宙斯盾防禦設備、dkdns解析程序、內核防禦模塊

防禦效果： ★ ★ ★ ★ ★

備選策略：IP限速、域名限速、黑名單等

實際案列：2009年5.19斷網

招式二   DNS反射放大攻擊

流行時間：2012年-2013年

攻擊類型：ANY/TXT/MX等記錄類型放大

攻擊源頭：IDC僞造IP

攻擊目標：僞造的固定源IP、受權DNS、遞歸DNS

防禦難度： ★ ★

首選策略：源端口過濾、源IP過濾/限速

防禦位置：機房防火牆、dkdns解析程序、內核防禦模塊

防禦效果： ★ ★ ★ ★ ★

備選策略：禁止any查詢、黑名單等

實際案例：2013.3.19 歐洲反垃圾郵件組織Spamhaus攻擊

招式三   遞歸DNS反射放大攻擊

流行時間：2014年初之後

攻擊類型：隨機子域名方式

攻擊源頭：IDC僞造IP、肉雞（包含各類家用智能設備)

攻擊目標：受權DNS、遞歸DNS

防禦難度： ★ ★ ★ ★ ★

首選策略：域名響應限速、域名請求限速

防禦位置：騰訊宙斯盾防禦設備、dkdns解析程序、內核防禦模塊

防禦效果： ★ ★ ★

備選策略：機器學習過濾隨機域名、中止泛解析、源IP限速等

實際案例：2014.12.10 國內遞歸DNS被大規模攻擊