DDoS-атаки — это хроническая проблема, которая терзает Интернет уже почти 20 лет, и, хотя провайдеры и компании смогли подстроить под нее свои защитные меры, злоумышленники также не сидят сложа руки, постоянно совершенствуя свою тактику. Одним из самых эффективных инструментов в арсенале злоумышленников являются ботнеты, используемые для генерации огромного числа DNS-запросов к целевому сайту, и от этой техники весьма сложно защититься.

CloudFlare, один из крупнейших DNS-провайдеров, представил новый сервис Virtual DNS, созданный для защиты от этих новых атак и для ускорения работы сетевых инфраструктур организаций. Эта служба позволяет DNS-серверам компаний функционировать через инфраструктуру CloudFlare, обеспечивающую должный уровень защиты и ускорения трафика. При этом не нужно перемещать записи DNS, они остаются на DNS-серверах компаний.

Мэттью Принс (Matthew Prince), гендиректор и сооснователь CloudFlare, заявил, что при наблюдаемом росте мощности и частоты DNS-атак традиционные методы защиты, такие как фильтрация трафика, стали малоэффективными.

«Мы почти ежедневно наблюдаем атаки с частотой 200 млн или 300 млн DNS-запросов в секунду, — отметил Принс. — Да, мы можем применить фильтрацию, но если против нас ботнет с сотнями тысяч узлов, направляющих мусорный поток через резолверы вышестоящего провайдера, которые, по сути, отмывают для них трафик, то становится слишком тяжело организовать защиту подобным методом».

«Virtual DNS, по сути, гигантский DNS-прокси, распределенный по всему миру. Это позволяет добиться более высоких скоростей, а также защитить DNS-сервера наших клиентов», — добавил Принс.

То, как организован Virtual DNS, позволяет остановить мусорный трафик на границе сети CloudFlare, так что он никогда не взаимодействует с DNS-серверами или же сетевой инфраструктурой клиентов. Новая система CloudFlare обладает пропускной способностью почти в 4 терабита, что, по словам Принса, не только является ценным качеством, но и вынуждает атакующих искать новые техники.

«Так как защитные меры от DDoS весьма просты и дешевы, атакующим не составило труда под них подстроиться, — отметил он. — Но наша система — это совершенно другой уровень, и для злоумышленников это станет существенным препятствием».

Принс также добавил, что сервис Virtual DNS может ускорить освоение стандарта DNSSEC, позволяя CloudFlare подписывать записи DNS, которые она создает.

«Мы планируем еще больше укрепить данную инфраструктуру», — заявил в заключение эксперт.

Категории: DoS-атаки