通过提升DNS安全的方式去限制DDoS攻击

    根据数据显示，2018年里大型分布式拒绝服务（DDoS）攻击的攻击较之前相比略为平静，但这是否意味着2019年还会将这一趋势延续下去呢？谁都知道网络安全并不太容易预测，但还是有专家指出，想要DNS安全的发展，只有改变我们的策略。

    NS1联合创始人兼CEO克里斯Beevers在说：焦点目前市场上没有大规模的DDoS攻击，但从来没有在后面跟着跑。尽管小型高针对性DDoS攻击依然是网络信息安全管理领域比较常见的特性，但在2016年Mirai驱动的大型DDoS攻击之后出现的安全投资与改善已经大幅增加了域名服务器被利用为攻击工具的难度。

    InfoBlox工程执行副总裁兼首席DNS架构师 Cricket Liu 也这么认为：

    增强DNS安全，以使其更难以黑客攻击DNS服务器的DDoS攻击的一个重要方面是实行所谓的RRL（响应速率限制）一个。实现RRL后某IP地址对单个企业域名的解析数据请求只会不断得到DNS服务器管理有限次数的响应，可以通过降低用流量洪水淹没受害者的可能性。

    另一个提升DNS安全的进展是DNSSEC的普及，DNSSEC是防止DNS请求/响应伪造的一套系统，要求服务器经可信证书验证和签名。Cricket Liu表示，DNSSEC通过继续增长，但不同国家和顶级域之间通过不均衡。比如瑞典和比利时的采纳率非常十分之高，但是.net、.com的DNSSEC采纳率就远低于其子域名。

    对于使用公共DNS分析的个人和公司来说，DDoS安全正朝着积极的方向发展。谷歌，打开DNS，Quad9等公共递归DNS服务器托管在使用RRL和DNSSEC技术过程中的所有交易。

    “递归”DNS服务器可以用于向客户端响应分析具体URL的地址，“权威”DNS服务器则提供IP地址数据映射。用于响应于一个查询请求递归DNS服务器。

    Quad9的执行财务总监 John Todd 称：该服务企业目前在全球82个国家发展运营有137个服务器。这些服务器使用多种技术，每天阻止超过1000万起恶意事件和DDos攻击，有时多达4000万起。

    其中所使用的技术一个是通过援引19家合作伙伴的聚合威胁情报馈送来封锁已知恶意URL解析，另一个是增强DNSSEC的DNS查询安全，如已确定载有DDoS、恶意软件或钓鱼网站的链接。

    随着互联网用户越来越关注流量安全，Quad9的采纳率也开始增加，增长率近乎每周25％，安全是核心，DNSSEC、对冗余的需求，还有公共和私有云基础设施技术栈的统一趋势，都是未来将要发生的大事件。

    为了方便查询者了解该响应是否受到合法证书的保护，IETF RFC 6698 中描述的DANE允许将证书信息放入对查询的响应中。从不太道德的证书颁发机构信息获取假证书相对比较容易，DANE可以产生挫败这种方式欺骗手法。这是一种有趣又有用的DNS应用，还有助于驱动DNSSEC的采纳。

版权声明：本文为Yun88网的原创文章，转载请附上原文出处链接及本声明。

 

更多产品了解

欢迎扫码加入云巴巴企业数字化交流服务群

产品交流、问题咨询、专业测评

都在这里！