本文探讨了在不安全物联网设备增加背景下,针对DNS供应商的DDoS攻击日益严重的问题。通过2016年针对Dyn的DDoS攻击案例,解释了单一DNS供应商可能带来的风险。文章建议使用多个DNS供应商和冗余策略来减轻潜在影响,并提到了Anycast等其他增强DNS可靠性的方法。QCon全球技术大会也关注此类话题,促进不同团队之间的协作以应对安全挑战。
作者 | Hrishikesh Barua
译者 | Alina
随着不安全物联网(IoT)设备的激增,针对域名系统(DNS)供应商的分布式拒绝服务(DDoS)攻击在数量和规模上正在不断增加。这些攻击随之影响依赖于这些供应商进行域名解析的网站。虽然DNS供应商采取了各种方法来保护自己免受此类攻击,但网站保护自身的方法之一是使用多个DNS供应商。
2016年发生了史上最大规模之一的DDoS攻击,这一攻击是针对DNS供应商Dyn的。此次攻击前后有三波,它通过已感染Mirai恶意软件的物联网设备组成的僵尸网络进行攻击。许多公司都受到此次攻击的影响,比如Amazon、Paypal、Reddit和Github。该攻击导致Dyn无法响应由其域名服务器解析的域名的有效DNS查询,以至于终端用户无法访问相关域名。
据Dyn技术副总裁Phil Stanhope所说,此次Dyn攻击事件还包括一个基于TCP SYN cookie的攻击,该攻击利用了Linux内核的一个错误。SYN cookie是一种用于缓解SYN flood攻击的方法,SYN flood攻击通过连续发送TCP SYN请求来耗尽目标系统的资源。然而,SYN cookie也有自己的问题,在Linux 3.x版本中,一个系统级别的锁用于生成SYN cookie。由于这个级别的锁定,无论内核实际数量多少,系
最低0.47元/天 解锁文章
扫一扫
402
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
