騰訊云DNSPod：美國互聯(lián)網(wǎng)癱瘓背后，基礎(chǔ)平臺安全能力至關(guān)重要

 　　當?shù)貢r間10月21日，美國東部的大規(guī)�；ヂ�(lián)網(wǎng)癱瘓席卷全美，包括Twitter、GitHub、PayPal、BBC、華爾街日報、Xbox官網(wǎng)、CNN、HBO Now、星巴克、紐約時報、The Verge、金融時報在內(nèi)的眾多站點無法訪問。

　　據(jù)了解，本次大規(guī)�；ヂ�(lián)網(wǎng)癱瘓的原因，是美國主要域名服務器(DNS)提供商Dyn(Dynamic Network Service)遭受到了嚴重的DDoS攻擊，大量機器在同一時間對Dyn發(fā)起流量攻擊，網(wǎng)絡帶寬被瞬間占滿。DNS服務商的主要職責是將域名解析為IP地址，從而將用戶引入正確的網(wǎng)站，一旦被攻擊癱瘓，將導致大量網(wǎng)站用戶訪問失敗。

　　(大規(guī)�；ヂ�(lián)網(wǎng)癱瘓席卷全美)

　　攻擊源超過千萬IP，物聯(lián)設(shè)備或為主要攻擊工具

　　Dyn表示，這是一次有組織有預謀的網(wǎng)絡攻擊行為，來自超過千萬IP來源。“第一波黑客攻擊發(fā)生在美東時間上午7點10分左右，工作人員進行了搶修，在當日上午9點半左右恢復了運營。但是，上午11點52分，又發(fā)生了第二波攻擊。第三次攻擊則出現(xiàn)在下午5點。”美國國土安全局、FBI也已經(jīng)對事件開展了調(diào)查。

　　國外媒體報道稱，針對物聯(lián)設(shè)備的僵尸網(wǎng)絡或許是發(fā)起本次DDoS攻擊的重要來源。Dyn首席策略師約克也提到，隨著智能產(chǎn)品的廣泛使用，黑客可以在用戶不知情的情況下，利用軟件去控制成千上萬聯(lián)網(wǎng)的設(shè)備，比如相機、家庭路由器等，通過海量的互聯(lián)網(wǎng)流量去沖擊一個目標。

　　自建DNS服務不能避免安全問題，關(guān)鍵還在DNS平臺安全能力

　　部分企業(yè)為了避免類似的大規(guī)模DNS攻擊事件，選擇了自建DNS服務并承擔著背后的巨大成本。然而，就在近期，目前世界上應用最為廣泛的開放源碼DNS服務器軟件BIND便被曝光存在嚴重漏洞，將導致遠程拒絕式服務(Dos：Denial of Service)攻擊。事實說明，自建DNS并不能避免安全問題，黑客如果采取針對性攻擊或許還能更輕松得手。

　　作為互聯(lián)網(wǎng)基礎(chǔ)設(shè)施的一部分，DNS服務商需要擁有更突出的安全防護能力。DNS服務商成為越來越多DDoS的攻擊目標，不僅遭受攻擊數(shù)量和種類大增，而且攻擊時長以及遭受攻擊的復雜性也都在增加。國內(nèi)最大的DNS服務商騰訊云DNSPod曾經(jīng)提到，2015年DNSPod受到的攻擊，在攻擊次數(shù)和攻擊流量上，都達到了過去兩年之和。

　　目前，騰訊云DNSPod為近125萬用戶、1100萬域名提供域名解析服務，日處理DNS請求超過350億次。在不斷提高解析性能，積累起大量域名解析技術(shù)優(yōu)勢的同時，騰訊云DNSPod對服務的穩(wěn)定安全也極為重視。

　　“被攻擊是DNS服務的日常，針對DNS服務的攻擊方式非常多，但黑客越來越向傳統(tǒng)的大流量攻擊方式回歸。”談及本次事件，騰訊云DNSPod團隊認為充足的抵御能力十分重要。據(jù)了解，為應對DDoS攻擊，騰訊云DNSPod已建立包括大帶寬、大規(guī)模分布式部署、專用防護設(shè)備、多種針對性防護策略、高性能DNS服務處理程序在內(nèi)的防護體系，針對域名攻擊的DDoS防護能力便已超過1T帶寬。

　　目前，DDoS攻擊早已形成一條高度成熟的黑色產(chǎn)業(yè)鏈，黑客作案的成本非常低，只需要5美元便可以雇傭?qū)Ｈ诉M行DDoS攻擊。隨著攻擊手段的層出不窮，越來越多的物聯(lián)設(shè)備被控制利用，未來的網(wǎng)絡安全環(huán)境將更加嚴峻。普通用戶將更多地依賴著互聯(lián)網(wǎng)基礎(chǔ)平臺，借助平臺領(lǐng)先的安全防護能力，保障服務的穩(wěn)定安全。