当 DNS 遭受攻击时，阁下当如何应对？

DNS 攻击（投毒等）是一种比较常见的网络攻击手段。众所周知，当 DNS 被恶意篡改或者重定向之后，会导致互联网系统的大规模不可用或者甚至数据泄露。但是，长期以来，DNS 在互联网世界中的重要性却被人们所忽略。恶意的 DNS 污染、劫持，缺少高可用、可扩展等问题使得 DNS 成为攻击的热门目标。但当 DNS 遭受攻击时，阁下当如何应对？本文将会介绍如何通过腾讯云混沌演练平台进行 DNS 不可用/DNS 篡改的模拟故障攻击，通过混沌实验帮助构建高韧性的系统。

DNS 混沌原理

DNS 是一种分布式系统，用于按名称识别网络资源。它最常用于将 IP 地址映射到人类友好的名称。例如，通过 DNS，您可以通过在浏览器中输入 cloud.tencent.com 而不是 IP 地址来访问腾讯云网站。这种抽象还允许您将多个系统或资源映射到单个 DNS 名称，以实现负载平衡请求、代理和路由请求，以及为具有动态 IP 地址的系统分配静态名称。

DNS 不可用原理是阻止 DNS 端口(53)上发出的所有 DNS 请求网络，使得主机无法与上游的 DNS 服务器通信，获取到 DNS 解析结果，达到模拟 DNS 不可用的故障攻击场景。

DNS 篡改原理是将主机本地 hosts 文件中添加域名的错误解析，以将请求重定向。

为何需要进行 DNS 混沌？

在实际的生产环境中，已经有多次因 DNS 异常导致的业务中断。例如2021 年 Akamai 的中断导致达美航空、美国运通、Airbnb 等网站暂时无法访问。

那么运行 DNS 混沌如何帮助缓解与 DNS 相关的问题？首先，思考🤔️一下 DNS 是如何失败的（这里是对不同类型 DNS 服务器的快速介绍）：

• 递归解析器已关闭，导致 DNS 查询超时或返回错误。

• DNS 提供商的名称服务器已关闭，导致客户无法解析网站地址。

• 网络饱和（或更糟糕的是DDoS 攻击）正在减慢 DNS 查询速度或导致其丢失。

• 服务质量 (QoS) 规则配置错误导致网络取消 DNS 流量的优先级。

有多种方法可以缓解、避免 DNS 相关问题并从中恢复，例如：

• 使用后备 DNS 服务器配置系统。

• 使用多个 DNS 提供商。

• 将流量重新路由到不同的可用区、区域或 Virtual Private Cloud (VPC)。

进行 DNS 混沌可以让您验证这些方法是否能够成功防止 DNS 遭受攻击异常发生业务中断。经过 DNS 混沌验证之后，在遭受 DNS 攻击时，您也可以从容地应对～

快速开始

可前往腾讯云混沌演练平台，选择 CVM DNS 不可用/域名解析篡改进行主机 CVM 的的 DNS 混沌演练。

• DNS不可用
  

• 域名解析篡改