另一場大規(guī)模的DDoS 互聯(lián)網(wǎng)停電可能即將來臨

根據(jù)哈佛大學(xué)的一項(xiàng)新研究纵朋，盡管采取了相對低成本的對策钢颂，但類似于2016 年Dyn DNS 中斷的大規(guī)拿柩椋互聯(lián)網(wǎng)中斷很容易再次發(fā)生。

對Dyn的DDoS 攻擊使許多主要網(wǎng)站在一天的大部分時(shí)間都處于離線狀態(tài)但惶，包括Twitter女责、PayPal漆枚、Reddit、亞馬遜和 Netflix抵知。數(shù)百萬屬于 Mirai僵尸網(wǎng)絡(luò)的受感染物聯(lián)網(wǎng)設(shè)備以高達(dá)1.2 TBps 的虛假流量淹沒 Dyn 的 DNS 服務(wù)墙基，使其無法響應(yīng)客戶網(wǎng)站的真正 DNS 請求昔榴。

Dyn 攻擊并沒有以任何方式影響 PayPal 或 Twitter 服務(wù)器，但是對于絕大多數(shù)在向騙子匯款或在社交媒體上發(fā)帖時(shí)不喜歡記住 IP 地址的人來說碘橘，這些站點(diǎn)是無法訪問的互订。

襲擊者不是民族國家的行為者，而是拿著斧頭的普通罪犯痘拆。布魯斯·施奈爾當(dāng)時(shí)寫道：“肇事者很可能是黑客仰禽，因?yàn)?Dyn 幫助布萊恩·克雷布斯（Brian Krebs）識別并逮捕了兩名正在運(yùn)行 DDoS 雇傭環(huán)的以色列黑客，這讓他很生氣纺蛆⊥驴”

0 seconds of 39 seconds音量 0%

越來越多的不安全物聯(lián)網(wǎng)設(shè)備——即開箱即用的不安全設(shè)備，通常無法修補(bǔ)——意味著下一次對域名系統(tǒng)的 DDoS 攻擊可能會更加嚴(yán)重桥氏。主要?dú)w咎于 DNS 提供商的集中化温峭。

當(dāng)單點(diǎn)故障失敗時(shí)

作者指出，DNS 被設(shè)計(jì)為分布式的字支，但 DNS 的日益集中化會造成單點(diǎn)故障凤藏。“這次攻擊的毀滅性成功突顯了許多方式堕伪，即集中的 DNS 空間與域管理員相對較少的提供商多元化可能使大型公司也容易受到服務(wù)中斷的影響揖庄。”

你可能會問欠雌，我們是怎么到這里的蹄梢？事實(shí)證明，我們長達(dá)十年的戀情與其他人的計(jì)算機(jī)——我的意思是富俄，云——導(dǎo)致了 DNS 設(shè)計(jì)者從未預(yù)料到的互聯(lián)網(wǎng)基礎(chǔ)設(shè)施的集中禁炒。

在過去，公司在內(nèi)部管理自己的DNS霍比。這需要人類在辦公室管理計(jì)算機(jī)幕袱，否則他們可以構(gòu)建下一個(gè)偉大的事物。你知道桂塞，就像優(yōu)步一樣凹蜂。

雖然較老馍驯、較成熟的公司仍然更有可能托管自己的DNS阁危，但云作為基礎(chǔ)設(shè)施的出現(xiàn)意味著新公司正在將一切外包給云，包括 DNS汰瘫。

“將 DNS 服務(wù)集中到少數(shù)人手中......暴露了單點(diǎn)故障狂打，這些故障在過去更加分布式的 DNS 范式（企業(yè)最常在現(xiàn)場托管自己的 DNS 服務(wù)器的范式）中不存在，”約翰報(bào)告的合著者之一鮑爾斯告訴 CSO混弥∨肯纾“Dyn 攻擊完美地說明了這種風(fēng)險(xiǎn)的集中——一次 DDoS 攻擊針對數(shù)十家知名網(wǎng)站和 CDN [內(nèi)容交付網(wǎng)絡(luò)] 使用的提供商对省，從而摧毀了互聯(lián)網(wǎng)的很大一部分×滥螅”

這份報(bào)告令人震驚的部分是蒿涎，盡管這種集中帶來了明顯的危險(xiǎn)，但很少有企業(yè)愿意實(shí)施任何輔助DNS惦辛。

不從歷史中吸取教訓(xùn)的人注定要重蹈覆轍

Dyn 攻擊得到了大量媒體報(bào)道劳秋，包括 CSO 的報(bào)道。數(shù)字顯示胖齐，Cassandras 鼓吹 DNS 多樣化的必要性玻淑，但聽眾中很少有人愿意傾聽。報(bào)告指出：“似乎 Dyn 攻擊的教訓(xùn)主要是由那些直接受害的人吸取的呀伙〔孤模”

在2016 年的攻擊之前，超過 90% 的研究域僅使用來自一個(gè)提供商的名稱服務(wù)器剿另。攻擊發(fā)生后箫锤，該百分比在六個(gè)月后的 2017 年 5 月從 92.2% 下降到 87.3%。其中大多數(shù)是經(jīng)歷過中斷的 Dyn 客戶雨女。

甚至現(xiàn)在由Oracle 擁有的 Dyn 本身也提供輔助DNS 服務(wù)并鼓勵(lì)他們的客戶使用它麻汰。在一份簡短的準(zhǔn)備聲明中，Dyn 的架構(gòu)總監(jiān) Andrew Sullivan 告訴 CSO戚篙，“網(wǎng)站運(yùn)營商需要整個(gè)堆棧的多樣性五鲫，并選擇支持多樣性的組件，如 DNS 服務(wù)岔擂、Web 防火墻和 DDoS 保護(hù)位喂。”

報(bào)告指出乱灵，使外部DNS 提供商多樣化的一個(gè)困難是外部 DNS 通常與其他服務(wù)捆綁在一起塑崖，例如 CDN 和 DDoS 保護(hù)。CloudFlare 作為所研究域的 DNS 提供商擁有超過 15% 的市場份額痛倚，但該公司的 DDoS 保護(hù)服務(wù)规婆，報(bào)告指出，“使域無法注冊由其他提供商管理的 DNS 名稱服務(wù)器蝉稳∈阊粒”

該報(bào)告指出了新域使用基于云的平臺的趨勢，其中包括將DNS 作為一套服務(wù)產(chǎn)品之一耘戚。您可能會想嗡髓，Amazon AWS 可以抵御任何 DDoS 攻擊，但還記得那次Amazon 員工的錯(cuò)誤導(dǎo)致 S3 癱瘓嗎收津？事故和對手都威脅著單點(diǎn)故障饿这。

您不會在沒有冗余的情況下構(gòu)建橋梁浊伙，為什么要在沒有冗余的情況下構(gòu)建DNS 基礎(chǔ)架構(gòu)？

如何使您的DNS 變得多余

如果您還不知道长捧，您應(yīng)該做的第一件事就是弄清楚您當(dāng)前的設(shè)置是什么嚣鄙。檢查您的名稱服務(wù)器：

CDN 提供商 Akamai 的 CSO Andy Ellis 告訴 CSO：“如果返回的名稱在您自己的域中，則意味著您是自己做的串结∞挚”?“您應(yīng)該考慮這是否是正確的選擇，對于大多數(shù)公司而言并非如此奉芦。如果您已經(jīng)擁有 CDN 提供商赵抢，則很有可能通過您現(xiàn)有的合同或作為附加服務(wù)提供 DNS 服務(wù)；這是一種快捷方式添加或切換提供商声功》橙矗”

雖然低流量站點(diǎn)通常只列出兩個(gè)名稱服務(wù)器，但DNS 最多允許八個(gè)先巴。Ellis 建議其爵，以 6:2 的配置使用它們。需要額外冗余的組織可以在 5:2:1 配置中自行托管伸蚯。

這個(gè)問題的驚人之處在于它并不新鮮摩渺。報(bào)告指出，RFC 2182于1997 年制定了關(guān)于二級 DNS 最佳實(shí)踐的法律剂邮∫』茫“為每個(gè)區(qū)域設(shè)置多臺服務(wù)器的一個(gè)主要原因，”RFC 2182 告訴我們挥萌，“是為了讓來自區(qū)域的信息能夠廣泛可靠地提供給整個(gè) Internet 上的客戶端绰姻，即全世界的客戶端，即使只有一臺服務(wù)器不可用或無法訪問引瀑】裼螅”

雖然RFC 的一些建議現(xiàn)在已經(jīng)過時(shí)——與另一個(gè)組織交換二級區(qū)域現(xiàn)在似乎有點(diǎn)過時(shí)——但避免中心故障點(diǎn)和確保冗余的基本原則沒有改變『┰裕“供應(yīng)商冗余既可以為您提供規(guī)模帜矾，又可以確保單一供應(yīng)商的問題不會使您的業(yè)務(wù)脫機(jī)，”埃利斯說屑柔。

多元化屡萤，多元化，多元化

互聯(lián)網(wǎng)上的中心故障點(diǎn)是一個(gè)很大的禁忌锯蛀，尤其是當(dāng)任何租用僵尸網(wǎng)絡(luò)的白癡都可以使主要網(wǎng)站脫機(jī)一天的大部分時(shí)間時(shí)灭衷。如今次慢，通過使您的DNS 多樣化來減輕這種風(fēng)險(xiǎn)旁涤，這聽起來很像盡職調(diào)查翔曲。

哈佛商學(xué)院教授謝恩·格林斯坦 (Shane Greenstein) 說：“這并不難，而且成本也不高劈愚，這是一種很好的做法瞳遍。”?“可以肯定的是菌羽，這對一家非常大的公司來說是一件麻煩事掠械，但這不是借口。所有網(wǎng)絡(luò)安全都是一件麻煩事注祖，與其他預(yù)防措施相比猾蒂，這件事微不足道∈浅浚”