提升DNS安全 限制DDoS攻击

数据显示，2020年里大型分布式拒绝服务(DDoS)攻击受新冠病毒疫情的影响也带来了严重的危害。尽管谁都知道网络安全预测不易，还是有专家指出，DNS安全的发展令网络罪犯只有改变策略才能苟延残喘。
NS1共同创始人兼首席执行官 Kris Beevers 称：当前市场的关注重点不在大型DDoS攻击上，但背后的暗战从来没缺席。虽然小型高针对性DDoS攻击是网络安全领域常见特征，但2016年Mirai驱动的大型DDoS攻击之后出现的安全投资与改善已经大幅增加了域名服务器被利用为攻击工具的难度。

InfoBlox工程执行副总裁兼首席DNS架构师 Cricket Liu 也这么认为：

提升DNS安全，让黑客更难以利用DNS服务器进行DDoS攻击的一个重要方面是所谓RRL(响应速率限制)的实现。实现RRL后某IP地址对单个域名的解析请求只会得到DNS服务器有限次数的响应，可以降低用流量洪水淹没受害者的可能性。

另一个提升DNS安全的进展是DNSSEC的普及。DNSSEC是防止DNS请求/响应伪造的一套系统，要求服务器经可信证书验证和签名。Liu表示，DNSSEC的采纳持续增长，但不同国家和顶级域名间的采纳并不均衡。比如说，.com和.net的DNSSEC采纳率就远低于其子域名，而瑞典和比利时的采纳率非常之高。

对使用公共DNS解析的个人和公司企业而言，安全消息不断向好。谷歌、Open DNS和Quad9等托管的公共递归DNS服务器就采用了RRL和DNSSEC技术处理所有交易。

注：“递归”DNS服务器用于向客户端响应具体URL的地址。“权威”DNS服务器则提供IP地址映射，供递归DNS服务器用于响应查询请求。

Quad9是由供应商联盟运营的非盈利服务，其执行总监 John Todd 称：该服务目前在全球82个国家运营有137个服务器。这些服务器采用各种各样的技术，每天封堵的恶意事件超过1000万起，有些天甚至高达4000万起之多。

所用技术之一就是增强DNS查询安全的DNSSEC，另一个是通过援引19家合作伙伴的聚合威胁情报馈送来封锁已知恶意URL解析，例如已确知装载了恶意软件或网络钓鱼链接的网站。

随着互联网用户越来越关注流量安全，Quad9的采纳率也开始增加，增长率近乎每周25%。安全是核心，DNSSEC、对冗余的需求，还有公共和私有云基础设施技术栈的统一趋势，都是未来将要发生的大事件。
    墨者安全致力于安全防护、服务器高防、网络高防、ddos防护、cc防护、dns防护、防劫持、高防服务器、高防dns、网站防护等方面的服务，全网第一款指纹识别技术防火墙，自研的WAF指纹识别架构，提供任意CC和DDoS攻击防御。