【云顾问-混沌】当DNS遭受攻击时，阁下当如何应对？

DNS攻击（投毒等）是一种比较常见的网络攻击手段。众所周知，当DNS被恶意篡改或者重定向之后，会导致互联网系统的大规模不可用或者甚至数据泄露。但是，长期以来，DNS 在互联网世界中的重要性却被人们所忽略。恶意的 DNS 污染、劫持，缺少高可用、可扩展等问题使得 DNS 成为攻击的热门目标。但当DNS遭受攻击时，阁下当如何应对？本文将会介绍如何通过腾讯云混沌演练平台进行DNS不可用/DNS篡改的模拟故障攻击，通过混沌实验帮助构建高韧性的系统。

DNS混沌演练原理

DNS是一种分布式系统，用于按名称识别网络资源。它最常用于将 IP 地址映射到人类友好的名称。例如，通过 DNS，您可以通过在浏览器中输入cloud.tencent.com而不是 IP 地址来访问腾讯云网站。这种抽象还允许您将多个系统或资源映射到单个 DNS 名称，以实现负载平衡请求、代理和路由请求，以及为具有动态 IP 地址的系统分配静态名称。

DNS不可用原理是阻止DNS端口(53)上发出的所有DNS请求网络，使得主机无法与上游的DNS服务器通信，获取到DNS解析结果，达到模拟DNS不可用的故障攻击场景。

DNS篡改原理是将主机本地hosts文件中添加域名的错误解析，以将请求重定向。

为何需要进行DNS混沌演练？

在实际的生产环境中，已经有多次因DNS异常导致的业务中断。例如2021 年 Akamai 的中断导致达美航空、美国运通、Airbnb 等网站暂时无法访问。

那么运行 DNS 混沌如何帮助缓解与 DNS 相关的问题？首先，思考🤔️一下 DNS 是如何失败的（这里是对不同类型 DNS 服务器的快速介绍）：

• 递归解析器已关闭，导致 DNS 查询超时或返回错误。
• DNS 提供商的名称服务器已关闭，导致客户无法解析网站地址。
• 网络饱和（或更糟糕的是DDoS 攻击）正在减慢 DNS 查询速度或导致其丢失。
• 服务质量 (QoS) 规则配置错误导致网络取消 DNS 流量的优先级。

有多种方法可以缓解、避免DNS相关问题并从中恢复，例如：

• 使用后备 DNS 服务器配置系统。
• 使用多个 DNS 提供商。
• 将流量重新路由到不同的可用区、区域或 Virtual Private Cloud (VPC)。

进行DNS 混沌可以让您验证这些方法是否能够成功防止DNS遭受攻击异常发生业务中断。经过DNS混沌验证之后，在遭受DNS攻击时，您也可以从容地应对～

快速开始

可前往腾讯云混沌演练平台，选择CVM DNS不可用/域名解析篡改进行主机CVM的的DNS混沌演练。

• DNS不可用
• 域名解析篡改