近期,安全專家Incapsula在最新版《DDoS威脅環境報告》指出,如今實施DDoS攻擊的人只有兩類:一類是專業網絡黑客,而另一類就是所謂的botter。簡言之,booter就是殭屍網絡出租服務(botnet-for-hire serviceonline),幾乎40%的網絡攻擊是由這些殭屍網絡造成的。
DDoS攻擊現狀越發嚴重
根據Verisign iDefense的最新安全調查報告,在2015年第一季度,DDoS攻擊變得更加猖獗,相比2014年同比增長達7%。
由Akamai發佈的《2015年第一季度互聯網發展狀況安全報告》顯示,2015年第一季度,遊戲行業遭受的DDoS攻擊再次高於其他任何行業,佔DDoS攻擊總量的35%。軟件與技術行業則是第二大易遭受攻擊的行業,佔攻擊總量的25%。
DDoS攻擊成本日漸低廉
Incapsula粗略給出了殭屍網絡租用服務的增長趨勢,這意味着任何人都可以通過執行標準腳本,以最小的代價發起DDoS攻擊。
DDoS出租服務平均每小時只花費38美元,卻能爲受害者帶來高達每小時4萬美元的損失。
DNSPOD應對DDoS攻擊招式
通過DNSPod多年的解析性能優化技術積累,並輔以強大Intel 82599EB 10GE網卡和DPDK開發套件,開發的第六代解析程序DKDNS,單機測試最高性能達到了1820萬QPS,線上性能1100萬QPS。並以8臺服務器爲一組組成了多個四層負載均衡集羣,專制各種DDoS。
招式一 常規DDoS攻擊
流行時間:2013年以前
攻擊類型:DNS FLOOD,SYN FLOOD等
攻擊源頭:IDC、IDC僞造隨機源IP、肉雞
攻擊目標:授權DNS
防護難度: ★ ★ ★
首選策略:CNAME防護(主動探測)或IP重傳(被動探測)
防護位置:騰訊宙斯盾防護設備、dkdns解析程序、內核防護模塊
防護效果: ★ ★ ★ ★ ★
備選策略:IP限速、域名限速、黑名單等
實際案列:2009年5.19斷網
招式二 DNS反射放大攻擊
流行時間:2012年-2013年
攻擊類型:ANY/TXT/MX等記錄類型放大
攻擊源頭:IDC僞造IP
攻擊目標:僞造的固定源IP、授權DNS、遞歸DNS
防護難度: ★ ★
首選策略:源端口過濾、源IP過濾/限速
防護位置:機房防火牆、dkdns解析程序、內核防護模塊
防護效果: ★ ★ ★ ★ ★
備選策略:禁止any查詢、黑名單等
實際案例:2013.3.19 歐洲反垃圾郵件組織Spamhaus攻擊
招式三 遞歸DNS反射放大攻擊
流行時間:2014年初以後
攻擊類型:隨機子域名方式
攻擊源頭:IDC僞造IP、肉雞(包含各種家用智能設備)
攻擊目標:授權DNS、遞歸DNS
防護難度: ★ ★ ★ ★ ★
首選策略:域名響應限速、域名請求限速
防護位置:騰訊宙斯盾防護設備、dkdns解析程序、內核防護模塊
防護效果: ★ ★ ★
備選策略:機器學習過濾隨機域名、停止泛解析、源IP限速等
實際案例:2014.12.10 國內遞歸DNS被大規模攻擊