如果您拥有自己的网站或一直在在线半球工作,您可能以前曾多次听说过 DNS 这个术语。但什么是 DNS 以及 DNS 是如何工作的?简而言之:DNS 代表域名系统,用于将人类有意义的名称(如您的域名)转换为计算机有意义的名称(IP 地址)。但还有更多!我们在这里分解什么是 DNS,它的不同类型,以及每个可以访问 Internet 的人每天如何使用它。,,DNS 服务器将域名转换为 IP 地址,以便浏览器可以轻松连接到您要查找的网站。类似于手机将联系人姓名转换为电话号码的方式。当您通过导航到 URL 在浏览器上打开网站时,您的计算机将开始启动与该网站 IP 地址的连接。但是,如果这是您第一次访问该网站,您的浏览器如何知道 IP 地址是什么?这就是 DNS 服务器的用武之地。DNS 服务器会查找您刚刚搜索的域名的 IP 地址,并将您连接到他们的服务器。类似于黄页或任何其他电话簿,但适用于网站。,域名系统 (DNS) 于 1983 年发明,因为记住 IP 地址使得使用互联网变得不切实际。通过将 IP 地址与名称联系起来,DNS 使浏览互联网变得更加容易。,DNS 历史的快速概述:,70 年代,世界上使用的计算机数量迅速增长。IP 地址是手动分配的,因为当时计算机只能使用数字进行通信。这是第一个3 网络系统——分组无线电、ARPANET 和 SATNET——被引入的时候。,技术进步太快,人们在记账数字和 IP 地址方面遇到了问题,因此需要一个统一的解决方案。这个任务落到了DNS 的发明者 Paul Mockapetris的手中。他设计了一个自动将 IP 地址映射到域名的系统,使互联网更易于使用。所有这一切导致了 DNS 在 1983 年的诞生,此后同一系统一直在全球范围内使用。,,域名系统将主机名或网址转换为计算机友好的 IP 地址。域名及其匹配的 IP 地址称为 DNS 资源记录。DNS 服务器有一组域名及其各自的 IP 地址,就像电话簿一样,这是完成翻译的地方。因此,您不再需要记住 IP 地址,只需输入网站名称即可。然后, DNS递归解析器将找到连接到您输入的网站的 IP 地址,并将您定向到正确的网站。,有两种类型的 DNS 服务是 DNS 基础设施不可或缺的一部分。这些服务中的每一个都执行不同的角色,我们将在下面分享。, 递归 DNS 解析器,递归 DNS 解析器执行跟踪正确 DNS 记录的重复性任务。当您输入网站地址时,递归解析器会通过发出一系列请求找到正确的 DNS 名称服务器。如果它找不到正确的 IP 地址,因为拼写错误或网站根本不存在,DNS 解析器将继续发出请求,直到超时。这就是缓存的用武之地。,缓存用作临时存储位置,为递归解析器提供快捷方式。如果它存储了记录,它可以很容易地提供递归解析器需要的信息。您可以将其视为您的本地 DNS 服务器。每当您输入网站的域名时,您的本地 DNS 都会尽力为您找到您要查找的网站。如果是您经常访问的网站,递归 DNS 解析器会保留该网站的域名和 IP 地址的副本。这使您的 DNS 更快,因为它已经知道您要去哪里而无需发出一系列请求。, 权威DNS服务器,权威的 DNS 服务器负责 DNS 资源记录。它存储网站名称和 IP 地址列表,并响应递归 DNS 解析器的请求。该服务器为这些请求提供结果,而无需从不同的来源询问或搜索。这些 DNS 服务器是 DNS 请求的专用停止区。每当您访问一个新网站时,您很可能会从这里获取您的 IP 地址。,,简而言之,递归 DNS 解析器提出问题并尝试提供可以在缓存中找到的答案。权威的 DNS 服务器已经有了答案,可以很容易地提供答案。如果递归 DNS 解析器无法在缓存中找到所请求网站的 IP 地址,它只会将请求传递给权威 DNS 服务器。这就是为什么权威服务器被认为是整个DNS查询过程的尾端,而递归服务器被认为是中间人。,递归 DNS 解析器比权威 DNS...
2020 年 7 月, FBI 发表声明 警告美国的域名系统 (DNS) 放大攻击有所增加。具体而言,该报告指出,自 2020 年 2 月以来,FBI 发现这些威胁的部署明显增加。其中一次此类攻击(被记录为历史上最大的 DDoS 攻击)甚至影响了亚马逊的网络服务,峰值达到每秒 2.3 TB .,,不幸的是,DNS 放大攻击似乎不会很快消失。因此,所有组织和企业主都应针对这种网络威胁采取额外的预防措施,以降低成为网络威胁受害者的风险。, DNS 放大攻击的工作原理,具体来说,DNS 放大攻击是一种 分布式拒绝服务 (DDoS) 攻击 ,它利用域名系统 (DNS) 服务器中的已知漏洞来放大其影响。通过操纵这些公共域名系统,攻击者有可能使用虚假 IP 地址向受害者发起大量请求。黑客利用僵尸网络最大限度地发挥对目标的影响并 使其更难识别攻击源的情况也并不少见 。, 如何保护自己免受 DNS 放大攻击,不幸的是,没有万无一失的方法可以避免成为此类网络威胁的受害者。从针对亚马逊的成功 DNS 放大攻击中可以看出,如果攻击足够大,即使是网络上一些最大和最安全的服务也可以被删除。,,尽管如此,您仍然可以采取一些措施来降低风险并使您的网站成为不太理想的目标。首先是最大限度地提高 DNS 服务器的安全性并阻止特定的 DNS 服务器以保护它们免受这些放大攻击。一些组织还成功地将其本地 DNS 服务器配置为 仅 处理来自组织内部的流量请求。,但是,在更改 DNS 设置时,重要的是要避免进行可能干扰合法流量的更改。这是网站所有者在试图保护自己免受 DNS 放大攻击时面临的最大挑战之一。, ,2020 年 7 月, FBI 发表声明 警告美国的域名系统 (DNS) 放大攻击有所增加。具体而言,该报告指出,自 2020 年 2 月以来,FBI 发现这些威胁的部署明显增加。其中一次此类攻击(被记录为历史上最大的 DDoS 攻击)甚至影响了亚马逊的网络服务,峰值达到每秒 2.3 TB ., 如何保护自己免受 DNS 放大攻击,
域名系统(DNS)服务器是互联网的“电话簿“;互联网设备通过这些服务器来查找特定 Web 服务器以便访问互联网内容。DNS 洪水攻击是一种分布式拒绝服务(DDoS)攻击,攻击者用大量流量淹没某个域的 DNS 服务器,以尝试中断该域的 DNS 解析。如果用户无法找到电话簿,就无法查找到用于调用特定资源的地址。通过中断 DNS 解析,DNS 洪水攻击将破坏网站、API 或 Web 应用程序响应合法流量的能力。很难将 DNS 洪水攻击与正常的大流量区分开来,因为这些大规模流量往往来自多个唯一地址,查询该域的真实记录,模仿合法流量。, DNS洪水攻击的工作原理,,域名系统的功能是将易于记忆的名称转换成难以记住的网站服务器地址,因此成功攻击 DNS 基础设施将导致大多数人无法使用互联网。DNS 洪水攻击是一种相对较新的基于 DNS 的攻击,这种攻击是在高带宽物联网(IoT)僵尸网络(如 Mirai)兴起后激增的。DNS 洪水攻击使用 IP 摄像头、DVR 盒和其他 IoT 设备的高带宽连接直接淹没主要提供商的 DNS 服务器。来自 IoT 设备的大量请求淹没 DNS 提供商的服务,阻止合法用户访问提供商的 DNS 服务器。,DNS 洪水攻击不同于 DNS 放大攻击。与 DNS 洪水攻击不同,DNS 放大攻击反射并放大不安全 DNS 服务器的流量,以便隐藏攻击的源头并提高攻击的有效性。DNS 放大攻击使用连接带宽较小的设备向不安全的 DNS 服务器发送无数请求。这些设备对非常大的 DNS 记录发出小型请求,但在发出请求时,攻击者伪造返回地址为目标受害者。这种放大效果让攻击者能借助有限的攻击资源来破坏较大的目标。,, 如何防护 DNS 洪水攻击?,DNS 洪水对传统上基于放大的攻击方法做出了改变。借助轻易获得的高带宽僵尸网络,攻击者现能针对大型组织发动攻击。除非被破坏的 IoT 设备得以更新或替换,否则抵御这些攻击的唯一方法是使用一个超大型、高度分布式的 DNS 系统,以便实时监测、吸收和阻止攻击流量。, ,域名系统(DNS)服务器是互联网的“电话簿“;互联网设备通过这些服务器来查找特定 Web 服务器以便访问互联网内容。DNS 洪水攻击是一种分布式拒绝服务(DDoS)攻击,攻击者用大量流量淹没某个域的 DNS 服务器,以尝试中断该域的 DNS 解析。如果用户无法找到电话簿,就无法查找到用于调用特定资源的地址。通过中断 DNS 解析,DNS 洪水攻击将破坏网站、API 或 Web 应用程序响应合法流量的能力。很难将 DNS 洪水攻击与正常的大流量区分开来,因为这些大规模流量往往来自多个唯一地址,查询该域的真实记录,模仿合法流量。,,