解密DNSPOD应对DDoS攻击招式!

近期,安全专家Incapsula在最新版《DDoS威胁环境报告》指出,如今实施DDoS攻击的人只有两类:一类是专业网络黑客,而另一类就是所谓的botter。简言之,booter就是僵尸网络出租服务(botnet-for-hire serviceonline),几乎40%的网络攻击是由这些僵尸网络造成的。

DDoS攻击现状越发严重

根据Verisign iDefense的最新安全调查报告,在2015年第一季度,DDoS攻击变得更加猖獗,相比2014年同比增长达7%。

由Akamai发布的《2015年第一季度互联网发展状况安全报告》显示,2015年第一季度,游戏行业遭受的DDoS攻击再次高于其他任何行业,占DDoS攻击总量的35%。软件与技术行业则是第二大易遭受攻击的行业,占攻击总量的25%。

DDoS攻击成本日渐低廉

Incapsula粗略给出了僵尸网络租用服务的增长趋势,这意味着任何人都可以通过执行标准脚本,以最小的代价发起DDoS攻击。

DDoS出租服务平均每小时只花费38美元,却能为受害者带来高达每小时4万美元的损失。

DNSPOD应对DDoS攻击招式

通过DNSPod多年的解析性能优化技术积累,并辅以强大Intel 82599EB 10GE网卡和DPDK开发套件,开发的第六代解析程序DKDNS,单机测试最高性能达到了1820万QPS,线上性能1100万QPS。并以8台服务器为一组组成了多个四层负载均衡集群,专制各种DDoS。

招式一   常规DDoS攻击

流行时间:2013年以前

攻击类型:DNS FLOOD,SYN FLOOD等

攻击源头:IDC、IDC伪造随机源IP、肉鸡

攻击目标:授权DNS

防护难度: ★ ★ ★

首选策略:CNAME防护(主动探测)或IP重传(被动探测)

防护位置:腾讯宙斯盾防护设备、dkdns解析程序、内核防护模块

防护效果: ★ ★ ★ ★ ★

备选策略:IP限速、域名限速、黑名单等

实际案列:2009年5.19断网

招式二   DNS反射放大攻击

流行时间:2012年-2013年

攻击类型:ANY/TXT/MX等记录类型放大

攻击源头:IDC伪造IP

攻击目标:伪造的固定源IP、授权DNS、递归DNS

防护难度: ★ ★

首选策略:源端口过滤、源IP过滤/限速

防护位置:机房防火墙、dkdns解析程序、内核防护模块

防护效果: ★ ★ ★ ★ ★

备选策略:禁止any查询、黑名单等

实际案例:2013.3.19 欧洲反垃圾邮件组织Spamhaus攻击

招式三   递归DNS反射放大攻击

流行时间:2014年初以后

攻击类型:随机子域名方式

攻击源头:IDC伪造IP、肉鸡(包含各种家用智能设备)

攻击目标:授权DNS、递归DNS

防护难度: ★ ★ ★ ★ ★

首选策略:域名响应限速、域名请求限速

防护位置:腾讯宙斯盾防护设备、dkdns解析程序、内核防护模块

防护效果: ★ ★ ★

备选策略:机器学习过滤随机域名、停止泛解析、源IP限速等

实际案例:2014.12.10 国内递归DNS被大规模攻击

时间: 2024-09-30 05:41:54

解密DNSPOD应对DDoS攻击招式!的相关文章

高防CDN防御百万级DDoS攻击

企业了解DDoS的攻击方式,他们就必须决定如何应付这种攻击,这是现在几乎不可避免的状况.第一个方法是与一些DDoS防御供应商合作,如集群盾.WAFCDN.高防盾.高防云盾等,这是应对最严重攻击的一个可行方法.这些公司专门研究如何防御和应付可能的恶意流量.然而,如果一个组织没有足够资源购买第三方产品和服务,那么聪明的安全管理员也会采取下面这些步骤,尽量减小DDoS攻击的危害.      首先,安全管理员应该先了解他们组织的互联网连接.正如前提所提到的,一般组织的平均连接带宽为10Gbps,所以管理

CNware防DDOS攻击介绍

近年来随着互联网带宽的不断增加,加上越来越多的DDOS黑客工具的发布,DDOS攻击的发起难度越来越低,DDOS攻击事件也处于上升趋势,这给互联网安全带来巨大的威胁.为了应对DDOS攻击,网络服务商非常注重防御来自外部的DDOS流量,包括购置防火墙,提高网络带宽等,投入了巨大的成本.这种属于"被动安全",即防止被他人从外部攻击.但在防御的过程中,有一个地方却一直被大多数服务商所忽略,那就是从IDC机房内部发起的DDOS攻击.如何主动抑制从内部发起的攻击,是"主动安全"

实战分享:如何成功防护1.2T国内已知最大流量DDoS攻击

作者:腾讯云宙斯盾安全团队&腾讯安全平台部 引言: DDoS攻击势头愈演愈烈,除了攻击手法的多样化发展之外,最直接的还是攻击流量的成倍增长.3月份国内的最大规模DDoS攻击纪录还停留在数百G规模,4月,这个数据已经突破T级,未来不可期,我们唯有保持警惕之心,技术上稳打稳扎,以应对DDoS攻击卷起的血雨腥风.4月8日,腾讯云宙斯盾成功防御了1.2Tbps的超大流量攻击,也是目前国内已知的最大攻击流量,这篇文章就此次攻防事件简单地为大家做一个梳理和分析. 国内已知最大攻击流量来袭 4月8日,清明节后

nginx通过配置防止DDoS攻击

什么是DDoS攻击 DDoS攻击是Distributed Denial of Service的缩写,翻译成中文就是分布式拒绝服务.即不法黑客组织通过控制服务器等资源,发动对包括国家骨干网络.重要网络设施.政企或个人网站在内的互联网上任一目标的攻击,致使目标服务器断网,最终停止提供服务. 举个栗子,我开了一家店生意很好,隔壁邻居看不下去了叫他的七大姑八大姨每天都到我的店里来占着位置却不买东西,这样我的生意自然就不行了.也就是攻击者利用“肉鸡”对目标网站在较短的时间内发起大量请求,大规模消耗目标网站

F5 DDoS防御小妙招:减轻DDoS攻击危害的六大最佳方法

成功减轻DDoS攻击的基础包括:知道监视什么.全天候地监视这些征兆.有技术和能力来确认和减轻DDoS攻击,同时又允许合法的通信到达目的地,并拥有实时的正确解决问题的技能和经验.下面讨论的最佳方法就反映了这些原则. 最佳方法一:实现数据收集集中化,并理解其趋势 1.集中化监视 运用集中化监视功能,实现在一个位置就可以监视整个网络及通信模式:将通信的监管限制由一个小团队负责,以保持监管的连续性. 2.理解正常网络的通信模式 为建立进入企业的正常通信的基准,企业应当定期收集来自交换机.路由器及其它设备

怎样预防Ddos攻击

在服务器遭遇的攻击中,DDoS(DistributedDenialofService,分布式拒绝服务)攻击是一种非常可伯的黑客行为,它可以让一个大型服务器群也能很快地出现访问故障. DdoS攻击是利用一批受控制的机器向一台机器发起攻击,这样来势迅猛的攻击令人难以防备,因此具有较大的破坏性.如果说 以前网络管理员对抗Dos可以采取过滤IP地址方法的话,那么面对当前ddos众多伪造出来的地址则显得没有办法. 方法和步骤: 随着Internet互联网络带宽的增加和多种DDOS黑客工具的不断发布,DDO

转载-浅谈Ddos攻击攻击与防御

EMail: jianxin#80sec.comSite: http://www.80sec.comDate: 2011-2-10From: http://www.80sec.com/ [ 目录 ]一 背景二 应急响应三 常见ddos攻击及防御四 根源及反击五 总结 一 背景 在前几天,我们运营的某网站遭受了一次ddos攻击,我们的网站是一个公益性质的网站,为各个厂商和白帽子之间搭建一个平台以传递安全问题等信息,我们并不清楚因为什么原因会遭遇这种无耻的攻击.因为我们本身并不从事这种类型的攻击,这

未来的DDoS 攻击战

一.未来的网络战 未来的网络战会同时表现出两种趋势:更广泛的打击和更精确的打击.更广泛的打击是指将敌对国家整体作为打击目标,通过制造社会混乱来降低对手的抵抗.战争爆发的同时,金融系统数据会突然出现混乱,各种交易无法进行:智能电网瘫痪,电力供应中断导致生产停滞:交通调度系统也陷入失控状态,城里的人无法出去,城外的物资无法进入:电话和网络中断,电视广播只能收到敌对台的宣传.这里描述的场景非幻想,其中的每种现象都是攻击者当前就可以通过网络攻击来实现的.例如,2008年俄罗斯和格鲁吉亚的战争中,格鲁吉亚

记一次DDOS攻击防御实录

前言 ????笔者所在单位是一家小型创业公司,目前产品正在成长阶段,日活跃用户只有区区几万人次,并发只有日均 85/QPS,自建机房,带宽 100MB.在这样的背景下,完全没想过一个小产品会招来黑客的光顾,而且一来就是好几天. 起因 ????事情的起因来源于某个惬意的下午,从市场接收到客户反馈,部分地区客户无法打开产品页面,由于是周末且之前也发生过机房网络故障,运维并未引起重视,以为是网络问题,放置不管.但是到傍晚19点左右,情况突然变得很严重,90%的客户都在反馈无法打开产品页面: 这一下子就