【阿里云资讯】阿里云首席安全研究员吴翰清解读:如何保护“互联网心脏”DNS
如何保护“互联网心脏”DNS
2016年10月21日北京时间19点11分,美国DNS服务提供商Dyn遭受大规模DDoS攻击,导致诸多网站停止服务,最终影响了包括Twitter丶Spotify丶Netflix丶Airbnb丶Github、Reddit以及纽约时报在内的美国绝大多数网站。
![4f932412faf2580c8d22055d0286117ac5e6ff13](https://yqfile.alicdn.com/4f932412faf2580c8d22055d0286117ac5e6ff13.jpeg)
标红为美东地区无法访问的区域
很多人质疑,一个名不见经传的DNS怎么会掀起如此大浪?阿里云首席安全评论员吴翰清解读:DNS是互联网心脏,也是不少企业安全的短板。这场由DNS引发的瘫痪事件未波及到国内,但敲响了所有企业的安全警钟。试想,一个人心脏有状况会是什么局面?今天我们就来谈谈如何保障DNS的“健康”。
什么是DNS?位于美国新罕布什尔州曼彻斯特市的Dyn是美国主要域名服务器(DNS)供应商。域名,网友访问互联网的起点和入口,也是全球互联网通信的基础。DNS作为承载全球亿万域名正常使用的系统,则是互联网重要的基础设施。
罪魁祸首到底是谁?造成本次大规模网络瘫痪的原因是Dyn公司的服务器遭到了DDoS攻击。DDoS攻击又称为拒绝服务攻击。最基本的DDoS就是黑客利用合理的服务请求去占用尽可能多的服务资源,从而使得用户无法得到服务响应。当DDoS攻击Dyn公司,很多网友正常的DNS查询请求无法完成,用户也就无法通过域名访问Twitter、GitHub等站点了。
![80778ca15bcec589443b149410a56ca130a6a2f4](https://yqfile.alicdn.com/80778ca15bcec589443b149410a56ca130a6a2f4.jpeg)
DNS引发的网络瘫痪离我们有多远?
不止在美国,国内也曾遇到多起DNS瘫痪引发的“惨案”。2014年1月21日大陆境内发生最为严重DNS故障。所有通用顶级域(.com/.net/.org)遭到DNS污染。所有的域名全被指向了位于美国的一个IP地址(65.49.2.178)。有网站报道:当前,国内黑客攻击已经形成产业链。互联网上充斥着大量的攻击工具和木马,给攻击者制造了便利。一些黑客甚至明码标价。比如,打1G的流量到一个网站一小时,网上报价只需50块钱。黑客掌握攻击“武器”之后,通常受利益驱动,或主动或受雇佣,去攻击一些高盈利行业。比如金融、游戏行业。
万物互联安全风险已来?![3ee42944c3652335cf59c71c36b10bcb37511139](https://yqfile.alicdn.com/3ee42944c3652335cf59c71c36b10bcb37511139.jpeg)
国外媒体报道,针对IoT设备的僵尸网络或许是发起本次DDoS攻击的重要来源。互联网骨干服务Level 3 Communications公司首席安全官表示,被Mirai感染的设备中,约有10%参与了本次DDoS攻击。随着万物互联,吴翰清认为,物联网必将引发大量网络安全问题。而刚刚过去这场“黑色星期五”只是未来安全问题的一个缩影。目前互联网感染僵尸木马的iot设备约在60万左右,这些设备如果一起攻击,可以轻松发起接近1T(相当于中国一个省流量)的攻击。“普通企业已经不具备能力与攻击者对抗。”吴翰清说。
如何避免CDN引发的网络瘫痪美国Dyn公司向用户提供了DNS的托管和解析服务,作为互联网的基础设施之一。DNS遭受攻击后的影响非常大。在中国,阿里云为用户也提供DNS的托管服务。
![5f91889446b64becf0630096450ecd1c433c9246](https://yqfile.alicdn.com/5f91889446b64becf0630096450ecd1c433c9246.jpeg)
阿里云将云解析集成进高防业务,利用云计算的弹性扩展特性来提升DNS的解析能力,并在网络访问到网站访问之间建立了全链路安全体系。阿里云DNS服务器集群的峰值防御能力为:300G+,5亿QPS(每秒查询率)。同时,在全球布暑7大BGP(边界网关协议)机房,访问数据秒生效,能保证世界各地不同区域的用户的访问需求。
阿里云:世界级的安全能力每天,阿里云帮助中国大陆37%的网站,成功抵御8亿次攻击。每天,阿里云识别并防御来自35000个恶意IP的攻击,防御2000次DDoS攻击,2亿次密码暴力破解和2000万次Web攻击。在刚刚过去的2016年杭州G20峰会期间,阿里云提供了大量专业的安全护航服务,保障G20官网以及浙江省内政务、民生类网站稳定传递资讯。其中,阿里云云盾DDoS防护系统成功防护DDoS攻击近3万次,防御最高峰值达439.7 Gbps;Web应用防火墙在G20期间成功防御超过1亿次攻击,包括SQL注入、XSS、代码执行等恶意攻。
2021阿里云峰会,阿里云智能研究员丁险峰解读Cloud AIoT Native如何引领设备智能创新 相比智能电子消费品,物联网设备智能化的进展相对缓慢,在过去20年里,只有1%的设备完成智能化。5月29日,阿里云峰会“AIoT云端一体加速设备智能”分论坛,阿里云智联网首席科学家丁险峰,全面解读阿里云Cloud AIoT Native架构,如何大幅降低设备智能化开发门槛,引领设备智能化新方向。
阿里云研究员叔同:云原生是企业数字创新的最短路径 6.23 阿里巴巴研发效能峰会,报名正在进行中,近30位国内外技术大咖和你一起探索研发效能技术趋势、分享研发效能实践经验,共享研发效能新成果,帮助企业管理者和开发者掌握用好云的理念、工具、方法、实践,真正实现In Cloud,Be Agile。6.23 阿里巴巴研发效能峰会,报名正在进行中http://developer.aliyun.com/topic/n2021?channer=yy_other
阿里云研究员叔同:云原生是企业数字创新的最短路径 今天,数字化成为企业的核心竞争力,千行百业都在拥抱云计算,拥抱云原生。2020年我们认为是云原生的落地元年,那么2021年将是云原生加速推动企业数字创新的关键节点。
攻坚、变革、创新 | 阿里研究员千字细说阿里云的十年“计算”重构史 听阿里巴巴集团研究员、阿里云智能弹性计算负责人张献涛,阿里云智能资深技术专家、阿里云容器技术负责人易立,还原阿里云十年“计算”重构史。
阿里云研究员叔同:Serverless 正当时! Serverless 将开发人员从繁重的手动资源管理和性能优化中解放出来,就像数十年前汇编语言演变到高级语言的过程一样,云计算生产力再一次发生变革。
阿里云研究员叔同:Serverless 正当时! Serverless 将开发人员从繁重的手动资源管理和性能优化中解放出来,就像数十年前汇编语言演变到高级语言的过程一样,云计算生产力再一次发生变革。Serverless 的核心价值是什么?阿里云发布了哪些 Serverless 生态产品,各有什么特别之处?阿里云函数计算的表现如何?阿里云研究员叔同将通过本文分享阿里布局 Serverless 的历程和决心。
【行业应用】阿里云实时计算 Flink 版内容资讯解决方案 在日益激烈的行业竞争态势下,各个主流内容资讯提供商都在探索 AI+大数据的解决方案,来进行精细化运营,助力业务发展新模式
【云栖号案例 | 教育与科研机构】上学帮上云 阿里云助力教育资讯平台防爬虫 上学帮短信接口存在被盗刷情况、平台没有成熟的爬虫情报,担心影响正常的搜索访问。上云后在实现防爬的同时,没有影响业务平台正常使用和搜索排名。
阿里云研究员金戈:视频云新“三网一云”,驱动行业应用创新 新“三网一云”是视频云基于飞天十年的技术沉淀和过去三年视频领域的深耕,将领先的视频和网络技术、阿里云达摩院的AI技术与阿里巴巴商业场景实践深度融合,锻造出的一个智能、融合、高效、经济、稳定可靠的视频IT基础设施服务平台。
相关文章
- 【Java】eclipse如何设置成保护眼的背景色
- python 里面的单下划线与双下划线的区别(私有和保护)
- 进程隐藏与进程保护(SSDT Hook 实现)(一)
- http auth basic认证保护后台admin
- 大数据时代个人隐私权保护机制构建与完善
- 大数据时代个人隐私权保护机制构建与完善
- STM32的Flash读写保护,SWD引脚锁的各种解决办法汇总(2020-03-10)
- 数据保护条例框架与wik解读 第一章 GDPR 个人数据的控制者和处理者必须采取适当的技术和组织措施以实施数据保护原则。在设计和构建处理个人数据的业务流程时,必须考虑到这些原则,并提供保护数据的
- Atitit uke plnsy安全隐私保护法案 目录 第一章 一般规定2 第1节 主题与目标2 第二章 常见安全原则3 第1节 隔离 保密 shell3 第2节 隐藏 保密 不出头3
- 保护客户代码和应用安全,CodeArts有7招
- DevSecOps“内置安全保护”,让软件研发“天生健康”
- 数据脱敏:数仓安全隐私保护见真招儿
- SEAndroid安全机制对Binder IPC的保护分析
- Win11本地安全机构保护无法正常开启解决方法
- Win10 如何把MP4格式视频制作成屏幕保护
- LyScript 验证PE程序开启的保护
- FineReport帆软报错:很抱歉,数据集行数过多触发保护机制,请减少查询数据量。若您是管理员,可于智能运维-内存管理-模板限制中更改此项限制。
- 如何保护你的账户和财产不被Cookie劫持和HTML注入攻击?
- 广域网技术——SR-MPLS隧道保护技术