高性能网络使DNS DDoS无损防护成为可能

摘要: DNS DDoS是最常见的网络攻击之一。除了以传统的Anycast方式减弱DDoS攻击的影响,阿里云云解析DNS率先采用40G网络,以强大的基础设施正面对抗DNS DDoS攻击,使用户的业务在受攻击时无损无感知。

DNS DDoS攻击现状

常见的DNS攻击包括域名劫持、缓存投毒、DNS欺骗、DDoS攻击等。其中DDoS攻击指针对DNS服务器本身,从网络上四面八方同时出现很多的DNS请求,耗尽DNS服务器的资源,堵塞DNS服务器的带宽。使DNS服务器无法区分正常请求和攻击请求,最终导致正常DNS请求无法被响应。这些请求通常是黑客控制的肉鸡发出的。其中最难以抵抗的是DDoS攻击。

DNS是互联网基础设施。由于DDoS攻击往往采取合法的数据请求技术,再加上众多的傀儡机器,使得DNS DDoS攻击成为目前最难防御的网络攻击之一。

防御DNS DDoS攻击的方法,为什么要硬扛

DNS行业对DDoS攻击的应对方法不多,一般有这4种方式:

流量清洗。遭受DNS DDoS攻击时,将流量牵引到流量清洗设备上。流量清洗设备是一种类似防火墙的网络设备。流量清洗设备根据一些策略,区分出攻击流量和正常流量,阻断攻击流量,将正常流量回注到DNS服务器。流量清洗技术发展的比较成熟,优点是对DNS服务器有保护,缺点是清洗策略必然有一定的误杀率,业界普遍可以把误杀率降到10%以下。流量清洗设备也有带宽限制,当攻击流量超过流量清洗设备的入口带宽时,只能靠黑洞策略了。

黑洞。黑洞是以IP为维度进行的。当攻击某个DNS IP的流量太多了,需要在机房入口或运营商网络处执行黑洞操作,将到某个IP的流量全部丢弃。这种方法不区分正常流量和攻击流量,类似于断臂求生的思路。由于DNS服务IP有多个,黑洞部分IP不能完全切断DNS服务。但是用户的体感非常差,出现大量丢包、超时等现象。

Anycast。黑客控制的肉鸡虽然多,但有个特点:肉鸡分布地域比较广。当DNS服务使用Anycast IP时,肉鸡的DNS请求会访问到离自己最近的服务节点。Anycast天然的将攻击效果分散减弱了。Anycast无法应对肉鸡在地理上比较集中,和超大型攻击的情况。超大型攻击即使被分散减弱,威力依旧不可小觑。

硬扛。硬扛顾名思义,攻击请求在外观上和正常请求没有两样,DNS服务器就正常应答所有请求,来多少流量就响应多少流量。用户在受攻击时无感知,业务无损。这种防御方法最完美,但对网络基础设施要求非常高,从机房入口带宽、到DNS服务器带宽、DNS服务器响应能力,整个链条上不能有短板。

Anycast对DNS DDoS攻击的分散减弱作用

高性能网络使DNS DDoS无损防护成为可能

无损防护的必要性

DNS作为所有互联网应用的基础服务,是整个互联网的基石。Local DNS和权威DNS都不可以丢包。Local DNS也就是递归DNS的丢包是不可以忍受的。即使DNS客户端做了丢包重传等逻辑,会导致浏览器网页迟迟打不开、高并发服务器卡壳等情况。权威DNS同样不能丢包。虽然递归DNS会重传请求,但如果使用了流量清洗,在某些策略中,一个递归DNS被错误的认为是攻击源,来自这个递归DNS的请求都会被丢弃。所以无损防护就成为必要。

DNS厂商提供的防攻击产品

现在市面没有提供无损防护的DNS厂商。这是因为无损防护不仅对DNS技术积累提出很高要求,也对厂商的互联网基础设施提出很高的要求。DNS DDoS攻击影响使用同一套网络基础设施的所有业务。一个机房的网络出口带宽是一定的,如果DNS攻击占用了较大的带宽,其他业务能用的带宽就变少了。而无损防护要求机房出口带宽大于攻击流量带宽和其他业务的正常带宽之和。

DNS DDoS防攻击有2个指标:QPS和Gbps,分别是攻击的流量queries per second和gigabits per second。DNS请求包按照80字节计算,应答包按照128字节计算,1000万QPS分别对应6.4Gbps入口带宽和10Gbps出口带宽,DNS厂商售卖防攻击能力时,按照100万QPS/100Gbps,25万/200G这样来售卖。乍一看QPS和Gbps不统一。这是因为攻击流量不都是DNS请求,还包括SYN flood等。对于非DNS请求的防御,按照Gbps衡量。对于DNS请求,按照QPS衡量。对于非DNS请求,不使用DNS服务器进行应答,而是用防御系统进行防御,比如防火墙、IPS、UTM、NGFW、流量清洗等等,不消耗DNS服务器的资源。而现今对于常规DDoS攻击,防御系统有成熟的方案,可以毫无压力的处理这些攻击。最重要的指标是QPS,这关系到DNS无损防护阈值。在40G网络中,单台40G服务器具备2-4个网口,可处理80-160Gbps流量。也就是8000万-1.6亿QPS。受限于CPU,单台服务器无法达到1.6亿QPS的DNS服务器能力,所以使用多台DNS服务器提供集群解析能力。在以前,如果达到10亿QPS的服务能力,需要大量DNS服务器组成集群,但有了40G网络,需要的服务器数量大大减少。这不仅是10G到40G的数字提升,40G网卡还提供了很多网络加速功能,利用好这些功能,能大大减轻CPU的计算压力。

40G网络为阿里云云解析DNS带来巨大优势

10G网络已不能满足互联网应用日益增长的带宽需求。大量厂商在40G市场进行角逐与争夺,促使40G网络的部署成本降低。只有较大的云服务提供商才有较大的机房出口带宽,众多云产品共享这些带宽。单一的DNS服务提供商很难承担这样巨大的带宽成本。这成为一种壁垒。云解析DNS作为阿里云的核心产品之一,利用了阿里云强大的网络基础设施。云解析DNS使用40G网络提供DNS解析服务。在服务器和网络两个领域都采用了40G网络。40G不仅指服务器和上联交换机支持40G,IDC出口更要比40G大很多,才有容纳40G集群的能力。除此之外,还需要相应的监控、运维系统的支撑。云解析DNS很早就在40G网络领域进行技术储备,积累了较多的经验。提供5000万QPS的业界最高水准的DNS DDoS无损防御能力。保证用户的业务在遇到DNS DDoS攻击时,无任何感知。

相关推荐