在上个月底,桂哥网络的一个棋牌游戏客户监控到棋牌游戏里的在线玩家直线降落,到晚上8点左右,客户的处所性棋牌游戏在线玩家只有平时的10%,客户创造域名无法解析和访问。当客户求助桂哥网络并紧急接入桂哥网络云清洗服务后,我们观测到DNS攻击高达百Gbps级别。
?
下图是客户遭遇DNS DDoS攻击的时分流量图:
经过抓包截图后观测到客户的域名遭遇很多的NX Domain攻击(递归DNS攻击)。桂哥网络技巧团队经过火析创造看到DNS递归攻击是经过查询很多不存在的子域名来完成递归DNS攻击,这种攻击防护难度较高,通常肉鸡不会直接应用NX Domain攻击权威效劳器,而是经过递归效劳器进行NX Domain攻击完成对权威效劳器进行DNS DDoS攻击。
NX Domain攻击经过递归DNS效劳器可以完成如下侵害:
1. 权威DNS效劳器无法经过拦阻查询源头IP地址的措施进行防护;
2. 权威DNS效劳器无法应用普通的DNS Query限速功用进行防护。
所以DNS攻击方面,黑客通常会采用经过递归DNS效劳器完成对权威DNS效劳器的NX Domian攻击,因为防护难度较大。攻击者调用很多肉鸡发起针对多个域名的随机查询攻击,由于本地DNS效劳器上没有相应的记载,需要向外递归查询,极大的耗费了效劳器性能。
桂哥网络经过自研的高性能DNS防护系统完成对DNS攻击完成细粒度和多层次防护。防护措施如下:
1. 经过DNS攻击防护模块对DNS随机子域名查询进行限速,限制每秒查询的随机子域名次数;
2. 经过DNS高性能缓存对已知的域名解析记载进行缓存,被缓存的解析记载每秒能够支撑5亿次DNS查询,有效防护针对DNS权威效劳器的递归攻击;
3. 经过DNS负载均衡模块对DNS清洗集群后的DNS效劳器进行负载均衡,防止DNS效劳器的单点故障和单点过载。
桂哥网络经过上述处理方案处理了该客户面临的DNS大规模攻击困扰,赞助该棋牌游戏公司效劳器正常安稳运转,防止因攻击形成玩家很多流失和宏大经济丧失。
