抵御DNS攻击 从构建现代DNS系统架构开始

51CTO 发表于:13年05月20日 11:47 [转载] 51CTO

  • 分享:
[导读]今天,DNS系统早已超出了最初设定的“地址本”功能,随着互联网络的普及,也出现了越来越多的恶意入侵、DDoS攻击等。一个现代的DNS系统从设计之初就应该考虑到这些问题,以及给最终的用户提供一个快速、易用的界面。

今天,DNS系统早已超出了最初设定的“地址本”功能,随着互联网络的普及,也出现了越来越多的恶意入侵、DDoS攻击等。一个现代的DNS系统从设计之初就应该考虑到这些问题,以及给最终的用户提供一个快速、易用的界面。

DNS系统的使用入口是站长添加删除记录等,这部分的要求是简单易用,快速生效,所以需要一个强大的队列系统迅速分发数据并保持各个服务器的同步。系统出口则是提供查询服务的53端口。一方面要很好地满足各个不同递归服务器的兼容要求,另一方面,也要防止抵御各式各样的入侵及攻击。中间的核心模块则是提供基本的解析功能,需要尽可能地兼容各种RFC协议同时最大化地提升性能。比如,DNSPod web前端使用MySQL数据库存储用户记录,但后端的队列系统并没有使用其主从同步的功能,而是自行从MySQL数据库中读取数据进行分发。这样可以做到10秒内在各个服务器之间生效,一般情况下用户在网站在添加完记录,关闭网页再去服务器请求时,数据已经完成更新。

DNS服务器之前有黑洞集群防护设备,主要用于检测一些常见的攻击形式,同时也可以接受后端的实时命令,及时封禁域名,修改策略。实现部分智能的攻击防护。而在DNS服务器上,则在内核态运行着攻击检测及相应的保护程序。保护程序实时统计检测本机数据流量,确保不会超过机器最高负荷。攻击检测程序探测数据包特征,实时分析,发现有特征收敛时立即通知前方的黑洞设备,即可在最前方抵御攻击,减少正常服务的压力。

最终提供服务的标准DNS服务器则可以使用高效的网络编程模式,内存数据库等提升性能,同时及时实现最新的RFC协议,确保跟各大递归服务器之间的无缝连接。

由此可以看到,DNS系统的构架早已经不是最初的运行特定的服务器软件这么简单,而是成为一个链条,一个大的系统,需要各方面密切配合才能做好。

[责任编辑:袁家驹]
在这个大数据的时代,数据库软件需要应对当前企业里不同来源的海量数据,并将这些不同结构的数据进行整合,进一步实时进行数据挖掘和分析。所以主打ERP软件的SAP公司肯定也会做出应对高性能的大数据分析软件来满足这一巨大的市场需要。
官方微信
weixin
精彩专题更多
存储风云榜”是由DOIT传媒主办的年度大型活动。回顾2014年,存储作为IT系统架构中最基础的元素,已经成为了推动信息产业发展的核心动力,存储产业的发展迈向成熟,数据经济的概念顺势而为的提出。
华为OceanStor V3系列存储系统是面向企业级应用的新一代统一存储产品。在功能、性能、效率、可靠性和易用性上都达到业界领先水平,很好的满足了大型数据库OLTP/OLAP、文件共享、云计算等各种应用下的数据存储需求。
联想携ThinkServer+System+七大行业解决方案惊艳第十六届高交会
 

公司简介 | 媒体优势 | 广告服务 | 客户寄语 | DOIT历程 | 诚聘英才 | 联系我们 | 会员注册 | 订阅中心

Copyright © 2013 DOIT Media, All rights Reserved. 北京楚科信息技术有限公司 版权所有.