高性能網路使DNS DDoS無損防護成為可能

摘要： DNS DDoS是最常見的網路攻擊之一。除了以傳統的Anycast方式減弱DDoS攻擊的影響，阿里云云解析DNS率先採用40G網路，以強大的基礎設施正面對抗DNS DDoS攻擊，使用戶的業務在受攻擊時無損無感知。

DNS DDoS攻擊現狀

常見的DNS攻擊包括域名劫持、緩存投毒、DNS欺騙、DDoS攻擊等。其中DDoS攻擊指針對DNS伺服器本身，從網路上四面八方同時出現很多的DNS請求，耗盡DNS伺服器的資源，堵塞DNS伺服器的帶寬。使DNS伺服器無法區分正常請求和攻擊請求，最終導致正常DNS請求無法被響應。這些請求通常是黑客控制的肉雞發出的。其中最難以抵抗的是DDoS攻擊。

DNS是互聯網基礎設施。由於DDoS攻擊往往採取合法的數據請求技術，再加上眾多的傀儡機器，使得DNS DDoS攻擊成為目前最難防禦的網路攻擊之一。

防禦DNS DDoS攻擊的方法，為什麼要硬扛

DNS行業對DDoS攻擊的應對方法不多，一般有這4種方式：

流量清洗。遭受DNS DDoS攻擊時，將流量牽引到流量清洗設備上。流量清洗設備是一種類似防火牆的網路設備。流量清洗設備根據一些策略，區分出攻擊流量和正常流量，阻斷攻擊流量，將正常流量回注到DNS伺服器。流量清洗技術發展的比較成熟，優點是對DNS伺服器有保護，缺點是清洗策略必然有一定的誤殺率，業界普遍可以把誤殺率降到10%以下。流量清洗設備也有帶寬限制，當攻擊流量超過流量清洗設備的入口帶寬時，只能靠黑洞策略了。

黑洞。黑洞是以IP為維度進行的。當攻擊某個DNS IP的流量太多了，需要在機房入口或運營商網路處執行黑洞操作，將到某個IP的流量全部丟棄。這種方法不區分正常流量和攻擊流量，類似於斷臂求生的思路。由於DNS服務IP有多個，黑洞部分IP不能完全切斷DNS服務。但是用戶的體感非常差，出現大量丟包、超時等現象。

Anycast。黑客控制的肉雞雖然多，但有個特點：肉雞分布地域比較廣。當DNS服務使用Anycast IP時，肉雞的DNS請求會訪問到離自己最近的服務節點。Anycast天然的將攻擊效果分散減弱了。Anycast無法應對肉雞在地理上比較集中，和超大型攻擊的情況。超大型攻擊即使被分散減弱，威力依舊不可小覷。

硬扛。硬扛顧名思義，攻擊請求在外觀上和正常請求沒有兩樣，DNS伺服器就正常應答所有請求，來多少流量就響應多少流量。用戶在受攻擊時無感知，業務無損。這種防禦方法最完美，但對網路基礎設施要求非常高，從機房入口帶寬、到DNS伺服器帶寬、DNS伺服器響應能力，整個鏈條上不能有短板。

Anycast對DNS DDoS攻擊的分散減弱作用

無損防護的必要性

DNS作為所有互聯網應用的基礎服務，是整個互聯網的基石。Local DNS和權威DNS都不可以丟包。Local DNS也就是遞歸DNS的丟包是不可以忍受的。即使DNS客戶端做了丟包重傳等邏輯，會導致瀏覽器網頁遲遲打不開、高並發伺服器卡殼等情況。權威DNS同樣不能丟包。雖然遞歸DNS會重傳請求，但如果使用了流量清洗，在某些策略中，一個遞歸DNS被錯誤的認為是攻擊源，來自這個遞歸DNS的請求都會被丟棄。所以無損防護就成為必要。

DNS廠商提供的防攻擊產品

現在市面沒有提供無損防護的DNS廠商。這是因為無損防護不僅對DNS技術積累提出很高要求，也對廠商的互聯網基礎設施提出很高的要求。DNS DDoS攻擊影響使用同一套網路基礎設施的所有業務。一個機房的網路出口帶寬是一定的，如果DNS攻擊佔用了較大的帶寬，其他業務能用的帶寬就變少了。而無損防護要求機房出口帶寬大於攻擊流量帶寬和其他業務的正常帶寬之和。

DNS DDoS防攻擊有2個指標：QPS和Gbps，分別是攻擊的流量queries per second和gigabits per second。DNS請求包按照80位元組計算，應答包按照128位元組計算，1000萬QPS分別對應6.4Gbps入口帶寬和10Gbps出口帶寬，DNS廠商售賣防攻擊能力時，按照100萬QPS/100Gbps，25萬/200G這樣來售賣。乍一看QPS和Gbps不統一。這是因為攻擊流量不都是DNS請求，還包括SYN flood等。對於非DNS請求的防禦，按照Gbps衡量。對於DNS請求，按照QPS衡量。對於非DNS請求，不使用DNS伺服器進行應答，而是用防禦系統進行防禦，比如防火牆、IPS、UTM、NGFW、流量清洗等等，不消耗DNS伺服器的資源。而現今對於常規DDoS攻擊，防禦系統有成熟的方案，可以毫無壓力的處理這些攻擊。最重要的指標是QPS，這關係到DNS無損防護閾值。在40G網路中，單台40G伺服器具備2-4個網口，可處理80-160Gbps流量。也就是8000萬-1.6億QPS。受限於CPU，單台伺服器無法達到1.6億QPS的DNS伺服器能力，所以使用多台DNS伺服器提供集群解析能力。在以前，如果達到10億QPS的服務能力，需要大量DNS伺服器組成集群，但有了40G網路，需要的伺服器數量大大減少。這不僅是10G到40G的數字提升，40G網卡還提供了很多網路加速功能，利用好這些功能，能大大減輕CPU的計算壓力。

40G網路為阿里云云解析DNS帶來巨大優勢

10G網路已不能滿足互聯網應用日益增長的帶寬需求。大量廠商在40G市場進行角逐與爭奪，促使40G網路的部署成本降低。只有較大的雲服務提供商才有較大的機房出口帶寬，眾多雲產品共享這些帶寬。單一的DNS服務提供商很難承擔這樣巨大的帶寬成本。這成為一種壁壘。雲解析DNS作為阿里雲的核心產品之一，利用了阿里雲強大的網路基礎設施。雲解析DNS使用40G網路提供DNS解析服務。在伺服器和網路兩個領域都採用了40G網路。40G不僅指伺服器和上聯交換機支持40G，IDC出口更要比40G大很多，才有容納40G集群的能力。除此之外，還需要相應的監控、運維繫統的支撐。雲解析DNS很早就在40G網路領域進行技術儲備，積累了較多的經驗。提供5000萬QPS的業界最高水準的DNS DDoS無損防禦能力。保證用戶的業務在遇到DNS DDoS攻擊時，無任何感知。

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！