经产观察
IT资讯
IT产业动态
业界
网站运营
站长资讯
互联网
国际互联网新闻
国内互联网新闻
通信行业
通信设备
通信运营商
消费电子
数码
家电
站长资讯

从200w到4000w QPS 我选择了这样的DNS应对方式……

作者:habao 来源: 日期:2017-8-18 19:32:32 人气:

  今年以来,DNS事件与日俱增,力和造成的损失都十分很惊人。黑客打垮DNS服务能够间接打垮一家公司的全部业务,甚至打垮一个地区的网络服务,让不少企业厂商都心有余悸。

  不久前,某企业的DNSQuery查询持续两周,期间最大流量从200wQPS 到400wQPS再到4000wQPS,查询数量持续大幅度地提升。针对短期内生长的DNS,此企业做出了一连串的防御措施,帝恩思有幸参与其中,总结了整个过程并分享给广大用户,给大家提供一些参考。

  1月份的时候,我公司的网站突然出现了大量的查询请求数,差不多是200万的QPS。当时我同时购买了阿里云和帝恩思家的域名解析和防护,并借此对比了一下两家的防护效果。

  当查询请求数最大流量达400万QPS的时候,超过了(阿里的)套餐防护值,阿里就直接封掉了我的域名。当涉及到升级更高版本,支付成本也会增多的时候,我就去市面上查看那些知名DNS安全厂商,以便做好下一步选择。

  DNSPOD口碑不错,DNSPOD官网号称域名最高防护量达200万QPS,DNS防护流量是200G。而我所受的早就超过了DNSPOD安全阈值,当时就没选择dnspod做试用防护。

  阿里解析DNS的特点主要在于较多的云 DNS 集群节点,用户可独享多线G防护流量,免受带来的影响,但需要购买较高版本套餐,一旦值超过防护值,阿里就给封了。

  原来的51dns发展来的,官网上说域名解析服务具有500G超强防护能力,当时也是值超过了防护值给封掉了,联系他们客服才给解封,后来他们客服服务态度不错,不管值多高,也没封掉域名,还挺感谢他们帮忙防护的。

  号称云dns集群+高防dns+智能dns服务标准,自主研发的云dns集群技术,无dns服务器数量,能够自动判断线附近服务,精心挑选每个dns服务器,拥有超强的抗查询能力,有效抵御DDOS等各种查询。(没找到用户使用)

  此时网站值与日俱增,已经持续了快2周时间,从后台数据报表看最大的查询请求数达4000万QPS。我们的CTO将 TTL设置为24小时,也就是说可以在缓存中查询到24小时网站的内容,可以暂缓本地用户的正常访问。

  与此同时,我们不得不采取多家高防厂商的dns解析抗D。从目前的状况来看测试了阿里云DNS、帝恩思、360DNS三家,三家,互为灾备。但有个问题存在——当某一家安全厂商攻防不住的时候,但又由于TTL设置成为24小时,就说明缓存的错误内容会持续分发给DNS,还是造成了域名解析错误。黑客达到网站的目的,造成企业的损失。

  还有递归服务器的问题,如果查询请求数特别大的时候,运营商为了缓解他的服务器的压力,还是会把我的域名封掉,这样网站依旧是打不开。

  我们技术团队商讨对比了这三家厂商服务和产品,最终选择了帝恩思。无他,因为这次中,帝恩思这个企业是唯一一家真的用心的企业,因为帝恩思的客服会实时与我们沟通状况和解决方案,以确保我们的网站能够正常访问。

  梳理了上述事件的经过,小编深有,原来对于用户来说,其实需求很简单,只要用心处理用户的问题,最大程度保障用户需求,就能得到他们的认可和信任。 “帝恩思在此次事件中展现的技术的硬实力,一对一的及时有效的服务,专业的解决方案,在同行业中都是首选。”千万句的自吹自擂,不如用户一句中肯的评价来的热泪盈眶。

  不过,作为一家以技术立足的企业,还是要从的角度分析下此类事件的防御原理,整理出一套具有借鉴意义的应对之策——

  升级防御,选择抗能力强的DNS安全厂商,增至三家。当最大查询请求数达400W QPS时,已经达到某些DNS安全厂商的最大阈值,所以审慎考虑。

  TTL 设置24小时,即便网站不运行在缓存中可查询到24小的网站的内容,但三家做灾备涉及防御,当某一家安全厂商攻防不住的时候,网站可以正常运转,但由于TTL设置成为24小时,就说明缓存的错误内容会持续分发给DNS,还是造成了域名解析错误,黑客达到网站的目的,造成了企业的损失。

  企业的安全防护是一段严谨而务实的征程,面对越来越高频的黑客,不仅产品的技术功能面临更严峻的挑战,并且对于一线人员的服务意识与服务能力提出更高的要求。一件切实服务的案例,抵过千万句空口承诺,我们为之保驾护航的客户,会用脚做出他们自己的选择。

  原理:DNS Query Flood就是者大量傀儡机器,对目标发起海量的域名查询请求。为了防止基于ACL的过滤,必须提高数据包的随机性。常用的做法是UDP层随机伪造源IP地址、随机伪造源端口等参数。在DNS协议层,随机伪造查询ID以及待解析域名。随机伪造待解析域名除了防止过滤外,还可以降低命中DNS缓存的可能性,尽可能多地消耗DNS服务器的CPU资源。

  推荐:

  

推荐文章