对 DNS 服务器的威胁是可损害 DNS 服务的可用性、速度和性能的任何类型的攻击。这些攻击包括用资源请求淹没 DNS 服务器的 DNS 泛洪攻击,使得服务器无法满足合法请求。DNS 欺骗或缓存中毒是一种网络攻击,可将流量重定向到欺诈网站。DNS 隧道使用在 DNS 查询和响应中编码的数据来劫持 DNS 服务器,使攻击者能够远程管理它。
确保您的 DNS 服务器的可用性和安全性
域名系统 (DNS) 服务器将人类使用的可读域主机名(比如 www.companywebsite.com)翻译成机器可以读取的 IP 地址。DNS 服务器非常重要,可确保积极的浏览体验,以及快速可靠地通过互联网连接到云中托管的网站、API 和企业应用程序软件。
保护 DNS 服务器是您的 IT 安全团队的关键业务优先事项之一。DNS 让您的用户能够访问 Web 应用程序和 API,如果您的 DNS 服务器面临任何威胁,也会对业务运营、盈利能力以及客户和合作伙伴信任构成威胁。
尽管 DNS 解析对网站和应用程序性能至关重要,但许多企业没有投资部署足够的 DNS 基础架构,往往只依靠两三台 DNS 服务器来连接用户及其要访问的网站和应用程序。这种方法导致 DNS 服务容易受到分布式拒绝服务 (DDoS) 攻击以及数据中心中断的影响。
Akamai Edge DNS 是一种基于云的解决方案,可提供全天候的可用性,增强响应能力,并在防御大规模 DDoS 攻击时提高 DNS 服务器的恢复能力。
Akamai Edge DNS
Akamai 最初打造 Edge DNS 的目的是提供权威 DNS 服务,以支持我们全球内容交付网络 (CDN) 上的解决方案。凭借我们大规模分布的边缘和 云平台,我们设计的 Edge DNS 比目前市场上大多数竞争对手的权威 DNS 服务更具规模。竞争对手的 DNS 服务器和解决方案通常只关注性能,而 Edge DNS 的设计宗旨则是提供高可用性、更强大的抗攻击能力,以及出色的性能。
Edge DNS 采用 IP 任播模式来响应 DNS 查询。这意味着,Akamai 的客户不需要依赖两三台 DNS 服务器,而是可以访问部署在全球 4100 多个入网点的数千台域名服务器。IP 任播将最终用户的查询定向到最近的入网点进行解析,从而实现更快的性能、更大的规模和更多样化的分布。利用 IP 任播的功能并非 Akamai 独有,但我们还将域名服务器和入网点划分为多个 IP 任播云,使 Edge DNS 在可用性、规模和分布方面等同于多个独立的 DNS 提供商。
使用 Akamai Edge DNS 服务器,您可以:
- 依赖于有保障、不间断的 DNS 可用性。 借助 100% 正常运行时间 SLA 和具有恢复能力的架构,交付关键任务 DNS 服务。
- 管理 DNS 成本。可预测的、基于区域的计费方式让您可以避免因 DNS 使用量较大而产生意外费用。
- 使用辅助 DNS 服务器确保访问能力。 通过使用 Edge DNS 面向互联网的辅助区域,增强您的主 DNS 服务器的可用性。
Edge DNS 是一个应用程序和 API 安全解决方案套件的一部分,该套件使企业能够抵御广泛的多媒介攻击。Akamai App & API Protector 提供一站式的应用程序安全防护,可防御 Web 应用程序和 API 攻击。Prolexic 为大规模阻止 DDoS 攻击提供有效的防御。Client-side Protection & Compliance 能够发现和阻止恶意活动,从而帮助网站抵御客户端威胁。
域监测和下架
除了为您的域提供 DNS 冗余,域安全还要求监测互联网上的相似域名,并干扰虚假网站(假冒品牌,窃取流量和用户凭据等个人信息)使用那些对品牌产生负面影响的域名。通过区域保护和域下架相关功能,您可以主动了解带有不良企图的第三方域,并干扰互联网上对这些域的使用。对于每个受监测的域,它都会提供一个相关域的列表,其中包含一组属性,比如它的风险等级。对于每个域,都提供了一套行动,包括:[a] 跟踪域的变化,比如新的 MX(邮件交换)记录,[b] 标记域进行跟踪,[c] 设置排序的优先级,以及 [d] 下架。
Edge DNS 的优势
保证 DNS 服务器的全天候可用性。 通过利用 Akamai 可扩展的全球分布式平台,您可以确保您的客户、员工和合作伙伴能够快速访问您的 Web 应用程序和 API。
阻止大规模 DDoS 攻击。 Akamai Connected Cloud 出色的规模和容量可确保 Edge DNS 能够吸收大规模 DDoS 攻击,与此同时仍然为用户提供访问。内置的恢复能力控制措施不但能抵御广泛 DNS 攻击类型,同时还能提供持久的可用性。
确保更快、更可靠的解决方案。 区域顶点映射和全球数以千计的 DNS 服务器提供可靠、快速的 DNS 性能。
更容易管理成本。 通过基于区域数量(而不是请求数量)的定价,您可以更精确地控制您的 DNS 成本。
防止 DNS 伪造。 使用域名系统安全扩展 (DNSSEC),抵御 DNS 数据伪造造成的攻击。
简化管理。 Akamai Control Center、Edge DNS API 和 Terraform 等集成系统可精简 DNS 基础架构的管理。
以代码的形式管理 DNS。允许开发人员使用 API 和现有的管理工具来实现 Edge DNS 工作流程的自动化。
域监测和下架。 跟踪互联网上相似的域名,并干扰那些假冒和侵犯您的品牌的域。
Edge DNS 的 DDoS 控制措施
Edge DNS 的架构设计、规模和容量在 DDoS 攻击期间提供了更出色的恢复能力,而我们的 DNS 服务器也提供安全控制措施,可以帮助抵御 DNS 泛洪攻击(一种特殊类型的 DDoS 攻击)的影响。DNS 泛洪攻击利用大量合法的 DNS 请求来消耗物理域名服务器上的大量计算和内存资源。因此,这些遭到攻击的 DNS 服务器无法响应合法最终用户的查询。
为了防御 DNS 泛洪攻击,Edge DNS 提供了几个基本功能:
- 扩展能力。 我们的权威 DNS 服务器的规模是竞争对手解决方案的数倍之多。利用部署在全球 1000 多个入网点的数千台域名服务器,Edge DNS 提供了计算和内存资源,以充分吸收来自 DNS 泛洪攻击的大量峰值请求。
- 速率限制。 可以配置 Edge DNS 设置,以便在来自可疑解析器的请求数量超过既定的阈值后,自动丢弃这些请求。速率限制可以防止峰值 DNS 请求过度消耗计算内存资源,在处理产生大量请求但带宽消耗量相对较低的攻击时,此功能很有帮助。
- DNS 允许列表。Akamai Intelligent Connected Cloud 凭借出色的规模和容量,为我们的威胁研究人员提供了独特的监测能力,让他们可以了解递归解析器(这些解析器负责处理大约 95% 的合法 DNS 查询)的行为。必要时,Edge DNS 可以部署一个正安全模型,仅允许一组已知良性的 DNS 解析器运行活动。
Global Traffic Management
与 Edge DNS 相结合时, Global Traffic Management (GTM) 提供了一套完整的 DNS 控制措施,比如从地理上将用户映射到世界特定地区的资源,或将流量均匀地分配到多个地理位置,并倾向于让每个用户利用与其地理位置较为接近的边缘服务器。
GTM 是一个基于 DNS 的云端服务器负载平衡器,它利用 Akamai Connected Cloud 的情报和规模,为 Web 和 API 流量提供具有容错能力、性能出色且不间断的可用性。GTM 使用一套广泛的规则和变量,利用标准 DNS 工作流程将最终用户的请求路由到最有能力向该用户交付内容的数据中心。由于 Akamai Connected Cloud 是一个大规模分布的边缘和云平台,GTM 能比其他同类服务更好地完成自身的任务。多个行业的全球知名大型企业都在使用 GTM,这种产品结合 Akamai Control Center、强大的 API 和强大的 DevOps 集成,出色兼顾了功能和可用性。
常见问题
IP 任播是一种网络路由技术,其中,会在分布式网络中部署多个相同的网络节点,以提供一个共同的 IP 地址。所有节点都响应相同的 IP 地址,流量根据路由协议路由到最近的节点,从而为用户提供低延迟和高可用性。
负载平衡器是一种将网络或应用程序流量分配到多台服务器上的设备。负载平衡器用于增加应用程序的容量(并发用户数)和可靠性。它们可减少与管理和维护应用程序和网络会话有关的服务器上的负担,以及执行特定应用程序任务,从而提高应用程序的整体性能。
客户为什么选择 Akamai
Akamai 是一家专注于网络安全和云计算的公司,致力于支持并保护在线商业活动。我们卓越的安全解决方案、出色的威胁情报和全球运营团队可提供深度防御,保护各地的企业数据和应用程序。Akamai 的全栈云计算解决方案可在全球分布广泛的平台上提供高性能和经济实惠的服务。全球多家企业坚信,Akamai 能够提供卓越的可靠性、规模和专业知识,帮助企业满怀信心地实现业务增长。