攻击从200w到4000w QPS， 我选择了这样的DNS应对方式…….

今年以来，DNS攻击事件与日俱增，攻击力和造成的损失都十分很惊人。黑客打垮DNS服务能够间接打垮一家公司的全部业务，甚至打垮一个地区的网络服务，让不少企业厂商都心有余悸。

不久前，某企业的DNSQuery查询攻击持续两周，期间最大流量从200wQPS 到400wQPS再到4000wQPS，查询攻击数量持续大幅度地提升。针对短期内野蛮生长的DNS攻击，此企业做出了一连串的防御措施，帝恩思有幸参与其中，总结了整个过程并分享给广大用户，给大家提供一些参考。

（以下为语音实录整理）

1月份的时候，我公司的网站突然出现了大量的查询请求数，差不多是200万的QPS。当时我同时购买了阿里云和帝恩思家的域名解析和防护，并借此对比了一下两家的防护效果。

当查询请求数最大流量达 400万QPS的时候，超过了（阿里的）套餐防护值，阿里就直接封掉了我的域名。当涉及到升级更高版本，支付成本也会增多的时候，我就去市面上查看那些知名DNS安全厂商，以便做好下一步选择。

l  DNSPOD

DNSPOD口碑不错，DNSPOD官网号称域名攻击最高防护量达200万QPS，DNS防护流量是200G。而我所受的攻击早就超过了DNSPOD安全阈值，当时就没选择dnspod做试用防护。

l  阿里云DNS      

阿里云云解析DNS的特点主要在于较多的云 DNS 集群节点，用户可独享多线BGP，其提供的最高100G防护流量，免受攻击带来的影响，但需要购买较高版本套餐，一旦攻击值超过防护值，阿里就给封了。

l  帝恩思

原来的51dns发展来的，官网上说域名解析服务具有500G超强防护能力，当时也是攻击值超过了防护值给封掉了，联系他们客服才给解封，后来他们客服服务态度不错，不管攻击值多高，也没封掉域名，还挺感谢他们帮忙防护的。

l  360DNS

号称云dns集群+高防dns+智能dns服务标准，自主研发的云dns集群技术，无限制dns服务器数量，能够自动判断线路附近服务，精心挑选每个dns服务器，拥有超强的抗查询攻击能力，有效抵御DDOS攻击等各种查询攻击。（没找到用户使用心得）

此时网站攻击值与日俱增，已经持续了快2周时间，从后台数据报表看最大的查询请求数达 4000万QPS。我们的CTO将 TTL设置为24小时，也就是说可以在缓存中查询到24小时网站的内容,可以暂缓本地用户的正常访问。

与此同时，我们不得不采取多家高防厂商的dns解析抗D。从目前的状况来看测试了阿里云DNS、帝恩思、360DNS三家，三家轮转，互为灾备。但有个问题存在——当某一家安全厂商攻防不住的时候，但又由于TTL设置成为24小时，就说明缓存的错误内容会持续分发给DNS，还是造成了域名解析错误。黑客达到搞垮网站的目的，造成企业的损失。

还有递归服务器的问题，如果查询请求数特别大的时候，运营商为了缓解他的服务器的压力，还是会把我的域名封掉，这样网站依旧是打不开。

所以唯一的办法是，全部切换到一家DNS安全厂商上去。

我们技术团队商讨对比了这三家厂商服务和产品，最终选择了帝恩思。无他，因为这次攻击中，帝恩思这个企业是唯一一家真的用心的企业，因为帝恩思的客服会实时与我们沟通攻击状况和解决方案，以确保我们的网站能够正常访问。

鉴别一家好的安全厂商，就只有一条标准，就是能确保我的网站能够稳定访问。

梳理了上述事件的经过，小编深有感悟，原来对于用户来说，其实需求很简单，只要用心处理用户的问题，最大程度保障用户需求，就能得到他们的认可和信任。 “帝恩思在此次事件中展现的技术的硬实力，一对一的及时有效的服务，专业的解决方案，在同行业中都是首选。”千万句的自吹自擂，不如用户一句中肯的评价来的热泪盈眶。

不过，作为一家以技术立足的企业，还是要从理性的角度分析下此类攻击事件的防御原理，整理出一套具有借鉴意义的应对之策——

最大查询请求数达 200W QPS时，应对方案：

选择两家技术过硬，排名靠前的DNS安全厂商，这样可以选择一家作为灾备。

此次客户选择的是 帝恩思和阿里云。

最大查询请求数达400W QPS时，应对方案：

升级防御，选择抗攻击能力强的DNS安全厂商，增至三家。当最大查询请求数达400W QPS时，已经达到某些DNS安全厂商的最大阈值，所以审慎考虑。

此次客户选择的是 帝恩思、阿里云、360。

最大查询请求数 4000W QPS时，应对方案：

TTL 设置24小时，切换到一家最好的DNS安全厂商（从技术、服务和解决方案角度考虑）

TTL 设置24小时，即便网站不运行在缓存中可查询到24小的网站的内容，但三家做灾备涉及防御轮转，当某一家安全厂商攻防不住的时候，网站可以正常运转，但由于TTL设置成为24小时，就说明缓存的错误内容会持续分发给DNS，还是造成了域名解析错误，黑客达到搞垮网站的目的，造成了企业的损失。

 此次客户选择的是 帝恩思！

企业的安全防护是一段严谨而务实的征程，面对越来越高频的黑客攻击，不仅产品的技术功能面临更严峻的挑战，并且对于一线人员的服务意识与服务能力提出更高的要求。一件切实服务的案例，抵过千万句空口承诺，我们为之保驾护航的客户，会用脚做出他们自己的选择。

原理：DNS Query Flood就是攻击者操纵大量傀儡机器，对目标发起海量的域名查询请求。为了防止基于ACL的过滤，必须提高数据包的随机性。常用的做法是UDP层随机伪造源IP地址、随机伪造源端口等参数。在DNS协议层，随机伪造查询ID以及待解析域名。随机伪造待解析域名除了防止过滤外，还可以降低命中DNS缓存的可能性，尽可能多地消耗DNS服务器的CPU资源。

声明：本文仅为传递更多网络信息，不代表站长之家观点和意见，仅供参考了解，更不能作为投资使用依据。

（编辑：源码网）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!