《云端架构之道》:DNS缓存污染与“域名无忧”服务
· 01 · DNS缓存污染
· 02 ·DNS缓存生存期
TTL(Time-To-Live),指域名解析记录在DNS服务器中的存留时间,目前超过六成的顶级域名的 TTL 值被设定在24小时以上。
在生存期内,虚假的域名解析结果保存在缓存中,除非经过了大于一个TTL的时间,或者经手工刷新DNS缓存,虚假的记录会一直存在下去,并且受污染的DNS服务器,还具有传染性。
· 03 ·DNS安全形势
域名解析是互联网的基石,一旦解析错误,造成的后果极其严重。
案例1:2009年巴西最大银行Bandesco,曾遭受DNS缓存病毒攻击,成为震惊全球的“银行劫持案”,1%用户被***;
案例2:2010年1月,百度被自称是伊朗网军Iranian Cyber Army的黑客组织入侵,导致网民无法正常登陆百度网站达8小时;
案例3:2015年4月,联想集团海外网站DNS解析异常,导致海外业务访问受阻长达5小时;
· 04 ·DNS缓存污染解决方案
名称 | DNS 服务器 IP 地址 | |
OpenerDNS | 42.120.21.30 | |
阿里 AliDNS | 223.5.5.5 | 223.6.6.6 |
V2EX DNS | 199.91.73.222 | 178.79.131.110 |
CNNIC SDNS | 1.2.4.8 | 210.2.4.8 |
114 DNS | 114.114.114.114 | 114.114.115.115 |
Google DNS | 8.8.8.8 | 8.8.4.4 |
OpenDNS | 208.67.222.222 | 208.67.220.220 |
比如像中国电信构建的分布式的DNS网络,在全国各个城市都有DNS服务器,而且一般都是采用高可用,多DNS服务器的方式。其安全性和性能要高于普通的公共DNS服务器。基于电信的DNS网络,天翼云提供了“域名无忧”的云服务。主要是解决DNS缓存污染带来的安全问题。其特点如下:
1、快速实现电信全网DNS与源站权威DNS的数据同步;
2、探针主动监测,覆盖电信31省,一旦发现域名异常,快速告警(短信、微信、自服务等);
3、秒级修复,不受限于TTL, DNS缓存秒级刷新,不过目前只能针对电信的DNS服务器。
作者:老刘论道
标签:二十年IT从业经验,资深培训师/项目管理师/云计算架构师/数据库达人
作者微信号 公众号:云计算那点事儿
- 点赞
- 收藏
- 关注作者
评论(0)