时间:2022-08-13 12:51:55
2010年以来,包括百度在内的多家知名网站访问出现故障,其事故原因都是因为网站域名在域名注册商处被非法篡改,导致全球多处用户不能正常访问。
DNS(域名服务)解析是互联网访问中不可或缺的一个环节。网民在访问网络资源的时候,需要标识服务器的IP地址。为了记忆的方便,业内一般用域名的形式访问特定的服务器。任何域名的访问都要翻译成特定的IP地址,网民才能得以访问网页、登录即时聊天工具,从而享受到互联网给我们带来的信息便捷性。
从网络安全的角度来说,DNS解析有其天然的脆弱性,因为每一台DNS服务器上记录的IP地址都是以NS记录的形式呈现,这就使得黑客们的攻击目标非常明确。在今年百度断网事件中,黑客所使用的攻击方式就是DNS劫持。DNS劫持是业界常见的一个名词,指劫持DNS服务器,意思是通过某些手段取得某域名的解析记录控制权,进而修改此域名的解析结果,导致用户对该域名的访问由原IP地址转入到修改后的指定IP,其结果就是用户对特定的网址不能访问或访问错误网址,从而实现窃取资料或者破坏原有正常服务的目的。
百度是我国目前有代表性的互联网企业之一,不久前发生的被黑事件,也从侧面折射出国内一些互联网企业对安全技术投入和应急准备明显不足。因为DNS服务是互联网的基础服务,所以DNS被劫持再次说明国内的基础服务安全防范意识不高。
DNS服务的脆弱根源在于互联网络底层协议本身的设计缺乏安全性考虑。那么是否有一种网络架构可以克服上述问题,最大限度地降低网站的安全隐患呢?答案就是CDN技术及其加速平台。
CDN是一种新型的网络构建方式,它代表了一种基于质量与秩序的网络服务模式。CDN内容服务提供的基础是缓存服务器,它位于网络的边缘,距用户仅有“一步之遥”。这样的模式使得CDN服务提供商能够代表他们的客户,向最终用户提供更好的访问体验。
与传统网络访问模式相比,CDN加速平台可以在用户与源站点之间建立一个屏障。任何用户访问都会直接指向CDN边缘节点服务器,或者通过CDN边缘节点向源站发送数据,而不是传统模式中与源站点直接交互数据。这就是说,CDN网络的访问模式很好地对源站点进行了“隐藏”,从网络结构上避免了源站点受到攻击的可能。
对于专业的CDN服务供应商来说,需要维护上万台设备的域名解析指向,每天承担着上亿次的解析任务,其解析系统不仅起到了域名翻译的作用,更是保证CDN业务稳定运行的基础。以蓝讯公司的SSR域名解析系统为例,该系统每秒能准确无延迟地处理120,000次解析请求,并且其解析记录完全符合标准的DNS解析规范。除了强大的解析处理能力,系统还为所有的域名解析服务器增加了硬件保护机制。系统能灵活地设置允许通过的UDP包,也可以阻止不允许通过的UDP报文,从而保障正常的DNS解析请求。
除了网络结构上的优势,很多CDN服务商还开发应用了解析验证系统,能够自动绕过全球LDNS的缓存,实时直接监控DNS解析的正确性。一旦发生解析异常,将自动给出错误诊断报告,以便采取应急措施。CDN服务商通常和电信运营商保持紧密合作关系,在出现域名污染时,能够及时联系故障发生当地的电信运行商,及早消除故障的负面影响。