2021-12-31另一场大规模的DDoS 互联网停电可能即将来临

另一场大规模的DDoS 互联网停电可能即将来临


根据哈佛大学的一项新研究,尽管采取了相对低成本的对策,但类似于2016 年Dyn DNS 中断的大规模互联网中断很容易再次发生。

对Dyn的DDoS 攻击使许多主要网站在一天的大部分时间都处于离线状态,包括Twitter、PayPal、Reddit、亚马逊和 Netflix。数百万属于 Mirai僵尸网络的受感染物联网设备以高达1.2 TBps 的虚假流量淹没 Dyn 的 DNS 服务,使其无法响应客户网站的真正 DNS 请求。

Dyn 攻击并没有以任何方式影响 PayPal 或 Twitter 服务器,但是对于绝大多数在向骗子汇款或在社交媒体上发帖时不喜欢记住 IP 地址的人来说,这些站点是无法访问的。

袭击者不是民族国家的行为者,而是拿着斧头的普通罪犯。布鲁斯·施奈尔当时写道:“肇事者很可能是黑客,因为 Dyn 帮助布莱恩·克雷布斯(Brian Krebs)识别并逮捕了两名正在运行 DDoS 雇佣环的以色列黑客,这让他很生气。”

越来越多的不安全物联网设备——即开箱即用的不安全设备,通常无法修补——意味着下一次对域名系统的 DDoS 攻击可能会更加严重。主要归咎于 DNS 提供商的集中化。

当单点故障失败时

作者指出,DNS 被设计为分布式的,但 DNS 的日益集中化会造成单点故障。“这次攻击的毁灭性成功突显了许多方式,即集中的 DNS 空间与域管理员相对较少的提供商多元化可能使大型公司也容易受到服务中断的影响。”

你可能会问,我们是怎么到这里的?事实证明,我们长达十年的恋情与其他人的计算机——我的意思是,云——导致了 DNS 设计者从未预料到的互联网基础设施的集中。

在过去,公司在内部管理自己的DNS。这需要人类在办公室管理计算机,否则他们可以构建下一个伟大的事物。你知道,就像优步一样。

虽然较老、较成熟的公司仍然更有可能托管自己的DNS,但云作为基础设施的出现意味着新公司正在将一切外包给云,包括 DNS。

“将 DNS 服务集中到少数人手中......暴露了单点故障,这些故障在过去更加分布式的 DNS 范式(企业最常在现场托管自己的 DNS 服务器的范式)中不存在,”约翰报告的合著者之一鲍尔斯告诉 CSO。“Dyn 攻击完美地说明了这种风险的集中——一次 DDoS 攻击针对数十家知名网站和 CDN [内容交付网络] 使用的提供商,从而摧毁了互联网的很大一部分。”

这份报告令人震惊的部分是,尽管这种集中带来了明显的危险,但很少有企业愿意实施任何辅助DNS。

不从历史中吸取教训的人注定要重蹈覆辙

Dyn 攻击得到了大量媒体报道,包括 CSO 的报道。数字显示,Cassandras 鼓吹 DNS 多样化的必要性,但听众中很少有人愿意倾听。报告指出:“似乎 Dyn 攻击的教训主要是由那些直接受害的人吸取的。”

在2016 年的攻击之前,超过 90% 的研究域仅使用来自一个提供商的名称服务器。攻击发生后,该百分比在六个月后的 2017 年 5 月从 92.2% 下降到 87.3%。其中大多数是经历过中断的 Dyn 客户。

甚至现在由Oracle 拥有的 Dyn 本身也提供辅助DNS 服务并鼓励他们的客户使用它。在一份简短的准备声明中,Dyn 的架构总监 Andrew Sullivan 告诉 CSO,“网站运营商需要整个堆栈的多样性,并选择支持多样性的组件,如 DNS 服务、Web 防火墙和 DDoS 保护。”

报告指出,使外部DNS 提供商多样化的一个困难是外部 DNS 通常与其他服务捆绑在一起,例如 CDN 和 DDoS 保护。CloudFlare 作为所研究域的 DNS 提供商拥有超过 15% 的市场份额,但该公司的 DDoS 保护服务,报告指出,“使域无法注册由其他提供商管理的 DNS 名称服务器。”

该报告指出了新域使用基于云的平台的趋势,其中包括将DNS 作为一套服务产品之一。您可能会想,Amazon AWS 可以抵御任何 DDoS 攻击,但还记得那次Amazon 员工的错误导致 S3 瘫痪吗?事故和对手都威胁着单点故障。

您不会在没有冗余的情况下构建桥梁,为什么要在没有冗余的情况下构建DNS 基础架构?

如何使您的DNS 变得多余

如果您还不知道,您应该做的第一件事就是弄清楚您当前的设置是什么。检查您的名称服务器:

CDN 提供商 Akamai 的 CSO Andy Ellis 告诉 CSO:“如果返回的名称在您自己的域中,则意味着您是自己做的。” “您应该考虑这是否是正确的选择,对于大多数公司而言并非如此。如果您已经拥有 CDN 提供商,则很有可能通过您现有的合同或作为附加服务提供 DNS 服务;这是一种快捷方式添加或切换提供商。”

虽然低流量站点通常只列出两个名称服务器,但DNS 最多允许八个。Ellis 建议,以 6:2 的配置使用它们。需要额外冗余的组织可以在 5:2:1 配置中自行托管。

这个问题的惊人之处在于它并不新鲜。报告指出,RFC 2182于1997 年制定了关于二级 DNS 最佳实践的法律。“为每个区域设置多台服务器的一个主要原因,”RFC 2182 告诉我们,“是为了让来自区域的信息能够广泛可靠地提供给整个 Internet 上的客户端,即全世界的客户端,即使只有一台服务器不可用或无法访问。”

虽然RFC 的一些建议现在已经过时——与另一个组织交换二级区域现在似乎有点过时——但避免中心故障点和确保冗余的基本原则没有改变。“供应商冗余既可以为您提供规模,又可以确保单一供应商的问题不会使您的业务脱机,”埃利斯说。

多元化,多元化,多元化

互联网上的中心故障点是一个很大的禁忌,尤其是当任何租用僵尸网络的白痴都可以使主要网站脱机一天的大部分时间时。如今,通过使您的DNS 多样化来减轻这种风险,这听起来很像尽职调查。

哈佛商学院教授谢恩·格林斯坦 (Shane Greenstein) 说:“这并不难,而且成本也不高,这是一种很好的做法。” “可以肯定的是,这对一家非常大的公司来说是一件麻烦事,但这不是借口。所有网络安全都是一件麻烦事,与其他预防措施相比,这件事微不足道。”

©著作权归作者所有,转载或内容合作请联系作者
  • 序言:七十年代末,一起剥皮案震惊了整个滨河市,随后出现的几起案子,更是在滨河造成了极大的恐慌,老刑警刘岩,带你破解...
    沈念sama阅读 206,602评论 6 481
  • 序言:滨河连续发生了三起死亡事件,死亡现场离奇诡异,居然都是意外死亡,警方通过查阅死者的电脑和手机,发现死者居然都...
    沈念sama阅读 88,442评论 2 382
  • 文/潘晓璐 我一进店门,熙熙楼的掌柜王于贵愁眉苦脸地迎上来,“玉大人,你说我怎么就摊上这事。” “怎么了?”我有些...
    开封第一讲书人阅读 152,878评论 0 344
  • 文/不坏的土叔 我叫张陵,是天一观的道长。 经常有香客问我,道长,这世上最难降的妖魔是什么? 我笑而不...
    开封第一讲书人阅读 55,306评论 1 279
  • 正文 为了忘掉前任,我火速办了婚礼,结果婚礼上,老公的妹妹穿的比我还像新娘。我一直安慰自己,他们只是感情好,可当我...
    茶点故事阅读 64,330评论 5 373
  • 文/花漫 我一把揭开白布。 她就那样静静地躺着,像睡着了一般。 火红的嫁衣衬着肌肤如雪。 梳的纹丝不乱的头发上,一...
    开封第一讲书人阅读 49,071评论 1 285
  • 那天,我揣着相机与录音,去河边找鬼。 笑死,一个胖子当着我的面吹牛,可吹牛的内容都是我干的。 我是一名探鬼主播,决...
    沈念sama阅读 38,382评论 3 400
  • 文/苍兰香墨 我猛地睁开眼,长吁一口气:“原来是场噩梦啊……” “哼!你这毒妇竟也来了?” 一声冷哼从身侧响起,我...
    开封第一讲书人阅读 37,006评论 0 259
  • 序言:老挝万荣一对情侣失踪,失踪者是张志新(化名)和其女友刘颖,没想到半个月后,有当地人在树林里发现了一具尸体,经...
    沈念sama阅读 43,512评论 1 300
  • 正文 独居荒郊野岭守林人离奇死亡,尸身上长有42处带血的脓包…… 初始之章·张勋 以下内容为张勋视角 年9月15日...
    茶点故事阅读 35,965评论 2 325
  • 正文 我和宋清朗相恋三年,在试婚纱的时候发现自己被绿了。 大学时的朋友给我发了我未婚夫和他白月光在一起吃饭的照片。...
    茶点故事阅读 38,094评论 1 333
  • 序言:一个原本活蹦乱跳的男人离奇死亡,死状恐怖,灵堂内的尸体忽然破棺而出,到底是诈尸还是另有隐情,我是刑警宁泽,带...
    沈念sama阅读 33,732评论 4 323
  • 正文 年R本政府宣布,位于F岛的核电站,受9级特大地震影响,放射性物质发生泄漏。R本人自食恶果不足惜,却给世界环境...
    茶点故事阅读 39,283评论 3 307
  • 文/蒙蒙 一、第九天 我趴在偏房一处隐蔽的房顶上张望。 院中可真热闹,春花似锦、人声如沸。这庄子的主人今日做“春日...
    开封第一讲书人阅读 30,286评论 0 19
  • 文/苍兰香墨 我抬头看了看天上的太阳。三九已至,却和暖如春,着一层夹袄步出监牢的瞬间,已是汗流浃背。 一阵脚步声响...
    开封第一讲书人阅读 31,512评论 1 262
  • 我被黑心中介骗来泰国打工, 没想到刚下飞机就差点儿被人妖公主榨干…… 1. 我叫王不留,地道东北人。 一个月前我还...
    沈念sama阅读 45,536评论 2 354
  • 正文 我出身青楼,却偏偏与公主长得像,于是被迫代替她去往敌国和亲。 传闻我的和亲对象是个残疾皇子,可洞房花烛夜当晚...
    茶点故事阅读 42,828评论 2 345

推荐阅读更多精彩内容