免费视频淫片aa毛片_日韩高清在线亚洲专区vr_日韩大片免费观看视频播放_亚洲欧美国产精品完整版

中科院之聲

中國科學(xué)院官方賬號(hào)~昨天 14:56

一、讖曰

小白：東哥，你電腦技術(shù)那么厲害，快來幫我看看，很多原本正常的網(wǎng)站變得不穩(wěn)定，時(shí)不時(shí)就打不開，“找不到網(wǎng)頁”，反饋給運(yùn)營商卻找不到什么原因，我的電腦怎么了啊？

大東：我來看看。以你目前電腦的狀況來看，我認(rèn)為是你電腦的DNS出現(xiàn)故障了。

小白：??？DNS故障？DNS是什么??？

大東：DNS是萬維網(wǎng)上作為域名和IP地址相互映射的一個(gè)分布式數(shù)據(jù)庫，能夠使用戶更方便地訪問互聯(lián)網(wǎng)，而不用去記住能夠被機(jī)器直接讀取的IP數(shù)串。通過域名，最終得到該域名對應(yīng)的IP地址的過程叫域名解析。

  圖片來自網(wǎng)絡(luò)

小白：感覺有點(diǎn)復(fù)雜??！東哥，你給我詳細(xì)講講DNS通常會(huì)出現(xiàn)哪些方面的問題呢？

大東：問題有很多哦！比如，針對域名系統(tǒng)的惡意攻擊會(huì)造成域名解析癱瘓，對域名劫持會(huì)修改注冊信息、劫持解析結(jié)果，甚至還會(huì)有國家性質(zhì)的域名系統(tǒng)安全事件：“.ly”域名癱瘓、“.af”域名的域名管理權(quán)變更。

小白：感覺有些嚴(yán)重，可是這些我都沒聽過。

大東：網(wǎng)絡(luò)世界紛繁復(fù)雜，你沒聽過的事情可多了，下面我給你講講相關(guān)經(jīng)典案件吧。

二、話說事件

大東：2009年5月19日21時(shí)50分開始，江蘇、安徽、廣西、海南、甘肅、浙江等6省用戶申告訪問網(wǎng)站速度變慢或無法訪問，主要表現(xiàn)為域名解析(DNS)響應(yīng)緩慢或者無法解析。直至5月22日，事件才漸漸平息，這是一次十分嚴(yán)重的事件哦！

小白：那這次事件的原因是什么啊？東哥，你快給我分析分析吧。

大東：此次事件是一次聯(lián)動(dòng)事件，主要分為兩個(gè)部分：第一是DNSPod站點(diǎn)的DNS服務(wù)器被超過10Gbps流量的DDoS攻擊擊垮，第二是某媒體播放軟件大量頻繁的向電信DNS主服務(wù)器發(fā)起解析，導(dǎo)致各地區(qū)電信主DNS服務(wù)器超負(fù)荷。

小白：為什么站點(diǎn)一下子就這么火了??？

大東：經(jīng)過調(diào)查，疑似因?yàn)榫W(wǎng)絡(luò)游戲私服之間相互爭奪生意，導(dǎo)致一家私服運(yùn)營商利用了上千臺(tái)僵尸主機(jī)，對DNSPod發(fā)動(dòng)了DDoS洪水攻擊，導(dǎo)致DNS服務(wù)器過載以及線路堵塞。

 圖片來自網(wǎng)絡(luò)

小白：原來是打游戲惹的禍??！那那個(gè)媒體播放軟件呢？這第二部分又是為什么?。?/p>

大東：它的事情更嚴(yán)重哦！作為廣泛使用的軟件，不止我們用，有成千上萬的用戶安裝使用，然而它的DNS解析機(jī)制卻存在缺陷。該軟件的公司僅僅在DNSPod站內(nèi)部署了一個(gè)DNS解析站點(diǎn)，同時(shí)該軟件在發(fā)生無法解析域名的時(shí)候會(huì)大量頻繁的向運(yùn)營商的DNS服務(wù)器發(fā)起查詢，運(yùn)營商DNS再向位于DNSPod內(nèi)的該媒體播放軟件公司DNS服務(wù)器查詢。

小白：這就是它“太火”的苦惱咯。

大東：哈哈，是的，因?yàn)樗疤稹?，?dǎo)致了大量的查詢，客觀上構(gòu)成了對電信DNS服務(wù)器的DDoS攻擊。由于該軟件使用用戶非常多，其攻擊能力高出僵尸網(wǎng)絡(luò)幾個(gè)數(shù)量級(jí)，導(dǎo)致多個(gè)省市電信DNS主服務(wù)器過載，它的影響也極大，最終造成了多省斷網(wǎng)。

三、大話始末

小白：像這么嚴(yán)重的事件，我們應(yīng)該如何解決呀？東哥！

大東：DNS服務(wù)器作為互聯(lián)網(wǎng)的一個(gè)核心部分，容易遭受到攻擊。要徹底解決這個(gè)問題，只有不斷地完善Internet安全架構(gòu)本身，比如檢測和清除僵尸網(wǎng)絡(luò)、保障每一臺(tái)接入到Internet的PC的安全性、建立快速DoS溯源機(jī)制等。然而，安全的Internet架構(gòu)不是一朝一夕能夠建立起來的，因此對DNS的攻擊防護(hù)就成為一項(xiàng)重要的安全措施。

小白：東哥，你給我具體講講吧。第一個(gè)問題怎么解決呢？這個(gè)應(yīng)該比較簡單一點(diǎn)吧。

大東：對于以上兩部分的原因，F(xiàn)ortiGate IPS分別有不同的對策，但是都不簡單哦！對于沒有規(guī)律的大規(guī)模DDoS攻擊，F(xiàn)ortiGate IPS具有硬件級(jí)的防御能力。它采用專用加速芯片對DDoS攻擊進(jìn)行識(shí)別，可以判斷出哪些是攻擊包，那些是正常訪問流量，從而將正常訪問流量放過而阻擋住攻擊數(shù)據(jù)包。這樣DNS服務(wù)器不會(huì)因受到攻擊而過載。

FortiGate 抗DDoS配置（ 圖片來源：腳本之家）

小白：那比較麻煩的媒體播放軟件該怎么解決呢？

大東：對于有規(guī)律的大規(guī)模DDoS攻擊，比如由該媒體播放軟件發(fā)起的對其官網(wǎng)地址的大量DNS查詢，F(xiàn)ortiGate可以制定相應(yīng)檢測規(guī)則，暫時(shí)阻擋含有其官網(wǎng)域名的查詢，使得DNS服務(wù)器不會(huì)過載。FortiGate IPS有超過每秒10萬pps的抗DDoS攻擊能力。

小白：哇，這么厲害，那這個(gè)FortiGate IPS又是什么呢？

大東：我給你簡單說說FortiGate IPS的特點(diǎn)吧。它可以防御混合攻擊、入侵企圖、病毒、木馬、蠕蟲、間諜軟件、灰色軟件、廣告軟件和拒絕式攻擊等種類廣泛的攻擊和惡意行為。Fortinet采用基于網(wǎng)絡(luò)的ASIC加速的硬件平臺(tái)，以及一系列的高級(jí)的動(dòng)態(tài)入侵檢測引擎，可以以更低的總體擁有成本，實(shí)現(xiàn)針對多種攻擊的更高級(jí)別的安全性能。

小白：有了這么強(qiáng)大的防御系統(tǒng)，我們這些普通小網(wǎng)民就安心了。對了，東哥，2009年的這次“斷網(wǎng)”事件，算是我國最大的DNS攻擊事件了吧？那國外有什么類似的事件發(fā)生嗎？

大東：當(dāng)然有??！2016年10月22日早晨，大半個(gè)美國的用戶就遭遇了一次集體“斷網(wǎng)”事件，讓很多人都陷入混亂當(dāng)中。據(jù)外媒報(bào)道，各大美國熱門網(wǎng)站都出現(xiàn)了無法訪問的情況。

小白：這個(gè)聽起來更嚴(yán)重哦！那這次事件的原因是什么呢？

大東：這次事件的確更嚴(yán)重，此次“斷網(wǎng)”事件是由于美國最主要DNS服務(wù)商Dyn遭遇了大規(guī)模DDoS攻擊所致。媒體將此次事件形容為“史上最嚴(yán)重DDoS攻擊”，不僅規(guī)模驚人，而且對人們生活產(chǎn)生了嚴(yán)重影響。

FortiGate IPS特征（ 圖片來源：腳本之家）

小白：咦？東哥，你能給我解釋一下DDoS攻擊是什么嗎？

大東：簡單來說，DDoS攻擊，也叫拒絕式服務(wù)攻擊，其攻擊方式相當(dāng)?shù)暮唵未直ㄟ^堆砌大量的垃圾數(shù)據(jù)，使得用戶的正常登錄被“堵塞”。

小白：再等等……東哥，這個(gè)Dyn又是干什么的??？

大東：Dyn主要職責(zé)就是將域名解析為IP地址，從而準(zhǔn)確跳轉(zhuǎn)到用戶想要訪問的網(wǎng)站。所以當(dāng)其遭受攻擊，就意味著來自用戶的網(wǎng)頁訪問請求無法被正確接收解析，從而導(dǎo)致訪問錯(cuò)誤。可以肯定，這是一次有組織有預(yù)謀的網(wǎng)絡(luò)攻擊行為，攻擊行為來自超過一千萬IP來源。

小白：東哥，聽你這么通俗易懂地解說，我這“門外漢”也明白了呢！

四、小白內(nèi)心說

小白：DNS發(fā)生故障對我們的影響真是太大了。

大東：是啊，而且和高昂的防護(hù)成本來說，黑客DDOS攻擊的成本卻微不足道。相比起域名服務(wù)商和IDC服務(wù)提供商來說，大多數(shù)個(gè)人、商業(yè)或者政府網(wǎng)站對DDOS防護(hù)能力是十分微弱的，在目前動(dòng)輒10G甚至數(shù)十GB的攻擊面前，根本不堪一擊。網(wǎng)絡(luò)安全環(huán)境是越來越讓我們擔(dān)心，而與日俱增的安全成本，更使得不少企業(yè)不堪重負(fù)。

 圖片來自網(wǎng)絡(luò)

小白：網(wǎng)絡(luò)安全的重要性越來越突顯，真的希望從個(gè)人到國家都可以把網(wǎng)安重視起來，我們一起營造一個(gè)安全健康的網(wǎng)絡(luò)環(huán)境。

大東：是啊。雖然這次事故是偶然事件，但也是必然會(huì)發(fā)生的。雖然DNS是一個(gè)最基礎(chǔ)的服務(wù)，但是大家對它的關(guān)注卻不是很多。目前，Web防范措施已經(jīng)比較完善，但基于DNS的防范依然很弱，“如果對方要再次有預(yù)謀地進(jìn)攻，現(xiàn)在的條件未必能防得住”。

小白：如果再次遭到攻擊，那后果真是難以想象??！

大東：小白，不太要擔(dān)心哦！DNS從業(yè)者已經(jīng)在努力啦！事實(shí)上，DNS協(xié)議自身已包含了分布式對抗攻擊的設(shè)計(jì)思路，權(quán)威服務(wù)系統(tǒng)并不需要向全球用戶提供域名查詢服務(wù)，大量的終端查詢應(yīng)該由本地的遞歸服務(wù)系統(tǒng)解決。小白，對于DNS的防護(hù)，我們一定要重視起來呀！

小白：好的，東哥，我一定多多閱讀相關(guān)文章，更加留心DNS的防護(hù)。

來源：中國科學(xué)院計(jì)算技術(shù)研究所