如何缓解DNS Flood 攻击？

什么是DNS 泛洪？

域名系统(DNS ) 服务器是 Internet 的“电话簿”；它们是 Internet 设备能够查找特定 Web 服务器以访问 Internet 内容的路径。DNS 泛洪是一种分布式拒绝服务攻击(DDoS)，攻击者可以泛洪特定域的DNS 服务器，试图破坏该域的DNS 解析 如果用户无法找到电话簿，则无法通过查找地址来调用特定资源。通过中断 DNS 解析，DNS 洪水攻击将危及网站、API 或 Web 应用程序对合法流量的响应能力。DNS 洪水攻击可能难以与正常的大量流量区分开来，因为大量流量通常来自多个独特的位置，查询域上的真实记录，模仿合法流量。
DNS 泛洪攻击是如何工作的？

域名系统的功能是在容易记住的名称（例如examplecom）和难以记住的网站服务器地址（例如19216801）之间进行转换，因此成功攻击DNS 基础设施使大多数人无法使用Internet。DNS Flood攻击构成了一个相对较新的类型的基于DNS的攻击已经与高带宽的崛起增殖物联网（IOT）的互联网 僵尸网络就像未来。DNS Flood 攻击利用 IP 摄像机、DVR 盒和其他物联网设备的高带宽连接，直接淹没主要提供商的 DNS 服务器。来自物联网设备的大量请求使 DNS 提供商的服务不堪重负，并阻止合法用户访问提供商的 DNS 服务器。

DNS 泛洪攻击不同于DNS 放大攻击。与DNS 泛洪不同，DNS 放大攻击会反射和放大来自不安全 DNS 服务器的流量，以隐藏攻击源并提高其有效性。DNS 放大攻击使用连接带宽较小的设备向不安全的DNS 服务器发出大量请求。这些设备对非常大的DNS 记录发出许多小请求，但是在发出请求时，攻击者将返回地址伪造为目标受害者的返回地址。放大允许攻击者仅用有限的攻击资源就可以消灭更大的目标。

如何缓解DNS Flood 攻击？

DNS 泛洪代表了传统基于放大的攻击方法的变化。借助易于访问的高带宽僵尸网络，攻击者现在可以瞄准大型组织。在可以更新或更换受感染的物联网设备之前，抵御这些类型攻击的唯一方法是使用非常庞大且高度分布式的 DNS 系统，该系统可以实时监控、吸收和阻止攻击流量。

1、服务拒绝攻击
服务拒绝攻击企图通过使你的服务计算机崩溃或把它压跨来阻止你提供服务，服务拒绝攻击是最容易实施的攻击行为，主要包括：
死亡之ping (ping of death)
概览：由于在早期的阶段，路由器对包的最大尺寸都有限制，许多 *** 作系统对TCP/IP栈的实现在ICMP包上都是规定64KB，并且在对包的标题头进行读取之后，要根据该标题头里包含的信息来为有效载荷生成缓冲区，当产生畸形的，声称自己的尺寸超过ICMP上限的包也就是加载的尺寸超过64K上限时，就会出现内存分配错误，导致TCP/IP堆栈崩溃，致使接受方当机。
防御：现在所有的标准TCP/IP实现都已实现对付超大尺寸的包，并且大多数防火墙能够自动过滤这些攻击，包括：从windows98之后的windows,NT(service pack 3之后)，linux、Solaris、和Mac OS都具有抵抗一般ping ofdeath攻击的能力。此外，对防火墙进行配置，阻断ICMP以及任何未知协议，都讲防止此类攻击。
泪滴(teardrop)
概览：泪滴攻击利用那些在TCP/IP堆栈实现中信任IP碎片中的包的标题头所包含的信息来实现自己的攻击。IP分段含有指示该分段所包含的是原包的哪一段的信息，某些TCP/IP(包括servicepack 4以前的NT)在收到含有重叠偏移的伪造分段时将崩溃。
防御：服务器应用最新的服务包，或者在设置防火墙时对分段进行重组，而不是转发它们。
UDP洪水(UDP flood)
概览：各种各样的假冒攻击利用简单的TCP/IP服务，如Chargen和Echo来传送毫无用处的占满带宽的数据。通过伪造与某一主机的Chargen服务之间的一次的UDP连接，回复地址指向开着Echo服务的一台主机，这样就生成在两台主机之间的足够多的无用数据流，如果足够多的数据流就会导致带宽的服务攻击。
防御：关掉不必要的TCP/IP服务，或者对防火墙进行配置阻断来自Internet的请求这些服务的UDP请求。
SYN洪水(SYN flood)
概览：一些TCP/IP栈的实现只能等待从有限数量的计算机发来的ACK消息，因为他们只有有限的内存缓冲区用于创建连接，如果这一缓冲区充满了虚假连接的初始信息，该服务器就会对接下来的连接停止响应，直到缓冲区里的连接企图超时。在一些创建连接不受限制的实现里，SYN洪水具有类似的影响。
防御：在防火墙上过滤来自同一主机的后续连接。
未来的SYN洪水令人担忧，由于释放洪水的并不寻求响应，所以无法从一个简单高容量的传输中鉴别出来。
Land攻击
概览：在Land攻击中，一个特别打造的SYN包它的原地址和目标地址都被设置成某一个服务器地址，此举将导致接受服务器向它自己的地址发送SYN-ACK消息，结果这个地址又发回ACK消息并创建一个空连接，每一个这样的连接都将保留直到超时掉，对Land攻击反应不同，许多UNIX实现将崩溃，NT变的极其缓慢(大约持续五分钟)。
防御：打最新的补丁，或者在防火墙进行配置，将那些在外部接口上入站的含有内部源地址滤掉。(包括10域、127域、192168域、17216到17231域)
Smurf攻击
概览：一个简单的smurf攻击通过使用将回复地址设置成受害网络的广播地址的ICMP应答请求 (ping)数据包来淹没受害主机的方式进行，最终导致该网络的所有主机都对此ICMP应答请求作出答复，导致网络阻塞，比pingof death洪水的流量高出一或两个数量级。更加复杂的Smurf将源地址改为第三方的受害者，最终导致第三方雪崩。
防御：为了防止黑客利用你的网络攻击他人，关闭外部路由器或防火墙的广播地址特性。为防止被攻击，在防火墙上设置规则，丢弃掉ICMP包。
Fraggle攻击
概览：Fraggle攻击对Smurf攻击作了简单的修改，使用的是UDP应答消息而非ICMP
防御：在防火墙上过滤掉UDP应答消息
电子邮件炸d
概览：电子邮件炸d是最古老的匿名攻击之一，通过设置一台机器不断的大量的向同一地址发送电子邮件，攻击者能够耗尽接受者网络的带宽。
防御：对邮件地址进行配置，自动删除来自同一主机的过量或重复的消息。
畸形消息攻击
概览：各类 *** 作系统上的许多服务都存在此类问题，由于这些服务在处理信息之前没有进行适当正确的错误校验，在收到畸形的信息可能会崩溃。
防御：打最新的服务补丁。

2、利用型攻击
利用型攻击是一类试图直接对你的机器进行控制的攻击，最常见的有三种：
口令猜测
概览：一旦黑客识别了一台主机而且发现了基于NetBIOS、Telnet或NFS这样的服务的可利用的用户帐号，成功的口令猜测能提供对机器控制。
防御：要选用难以猜测的口令，比如词和标点符号的组合。确保像NFS、NetBIOS和Telnet这样可利用的服务不暴露在公共范围。如果该服务支持锁定策略，就进行锁定。
特洛伊木马
概览：特洛伊木马是一种或是直接由一个黑客，或是通过一个不令人起疑的用户秘密安装到目标系统的程序。一旦安装成功并取得管理员权限，安装此程序的人就可以直接远程控制目标系统。
最有效的一种叫做后门程序，恶意程序包括：NetBus、BackOrifice和BO2k,用于控制系统的良性程序如：netcat、VNC、pcAnywhere。理想的后门程序透明运行。
防御：避免下载可疑程序并拒绝执行，运用网络扫描软件定期监视内部主机上的监听TCP服务。
缓冲区溢出
概览：由于在很多的服务程序中大意的程序员使用象strcpy(),strcat()类似的不进行有效位检查的函数，最终可能导致恶意用户编写一小段利用程序来进一步打开安全豁口然后将该代码缀在缓冲区有效载荷末尾，这样当发生缓冲区溢出时，返回指针指向恶意代码，这样系统的控制权就会被夺取。
防御：利用SafeLib、tripwire这样的程序保护系统，或者浏览最新的安全公告不断更新 *** 作系统。

3、信息收集型攻击
信息收集型攻击并不对目标本身造成危害，如名所示这类攻击被用来为进一步入侵提供有用的信息。主要包括：扫描技术、体系结构刺探、利用信息服务
扫描技术
地址扫描
概览：运用ping这样的程序探测目标地址，对此作出响应的表示其存在。
防御：在防火墙上过滤掉ICMP应答消息。
端口扫描
概览：通常使用一些软件，向大范围的主机连接一系列的TCP端口，扫描软件报告它成功的建立了连接的主机所开的端口。
防御：许多防火墙能检测到是否被扫描，并自动阻断扫描企图。
反响映射
概览：黑客向主机发送虚假消息，然后根据返回“hostunreachable”这一消息特征判断出哪些主机是存在的。目前由于正常的扫描活动容易被防火墙侦测到，黑客转而使用不会触发防火墙规则的常见消息类型，这些类型包括：RESET消息、SYN-ACK消息、DNS响应包。
防御：NAT和非路由代理服务器能够自动抵御此类攻击，也可以在防火墙上过滤“hostunreachable”ICMP应答。
慢速扫描
概览：由于一般扫描侦测器的实现是通过监视某个时间桢里一台特定主机发起的连接的数目(例如每秒10次)来决定是否在被扫描，这样黑客可以通过使用扫描速度慢一些的扫描软件进行扫描。
防御：通过引诱服务来对慢速扫描进行侦测。
体系结构探测
概览：黑客使用具有已知响应类型的数据库的自动工具，对来自目标主机的、对坏数据包传送所作出的响应进行检查。由于每种 *** 作系统都有其独特的响应方法(例NT和Solaris的TCP/IP堆栈具体实现有所不同)，通过将此独特的响应与数据库中的已知响应进行对比，黑客经常能够确定出目标主机所运行的 *** 作系统。
防御：去掉或修改各种Banner，包括 *** 作系统和各种应用服务的，阻断用于识别的端口扰乱对方的攻击计划。
利用信息服务
DNS域转换
概览：DNS协议不对转换或信息性的更新进行身份认证，这使得该协议被人以一些不同的方式加以利用。如果你维护着一台公共的DNS服务器，黑客只需实施一次域转换 *** 作就能得到你所有主机的名称以及内部IP地址。
防御：在防火墙处过滤掉域转换请求。
Finger服务
概览：黑客使用finger命令来刺探一台finger服务器以获取关于该系统的用户的信息。
防御：关闭finger服务并记录尝试连接该服务的对方IP地址，或者在防火墙上进行过滤。
LDAP服务
概览：黑客使用LDAP协议窥探网络内部的系统和它们的用户的信息。
防御：对于刺探内部网络的LDAP进行阻断并记录，如果在公共机器上提供LDAP服务，那么应把LDAP服务器放入DMZ。

4、假消息攻击
用于攻击目标配置不正确的消息，主要包括：DNS高速缓存污染、伪造电子邮件。
DNS高速缓存污染
概览：由于DNS服务器与其他名称服务器交换信息的时候并不进行身份验证，这就使得黑客可以将不正确的信息掺进来并把用户引向黑客自己的主机。
防御：在防火墙上过滤入站的DNS更新，外部DNS服务器不应能更改你的内部服务器对内部机器的认识。
伪造电子邮件
概览：由于SMTP并不对邮件的发送者的身份进行鉴定，因此黑客可以对你的内部客户伪造电子邮件，声称是来自某个客户认识并相信的人，并附带上可安装的特洛伊木马程序，或者是一个引向恶意网站的连接。
防御：使用PGP等安全工具并安装电子邮件证书

谢邀！刚好最近看到了关于这方面的资料，也得知5月13号到15号在重庆将举办2019年的中国云计算和物联网大会，下面是我收集到的资料：
新一代物联网（以下简称“物联网”）是全球第二套计算机通讯网络系统，能全球兼容运行互联网，是由我国多个机构历时20多年潜心研发和实用化而来。我国已经自主建成物联网1条母根，13条主根（N-Z根），开始向全球提供IP地址，并能全面寻址、域名解析，实现跨国界、跨语言、跨系统的通信。
2014年12月4日，经过世界各国多年竞争博弈后，ISO/IEC国际标准组织在其发布的未来网络国际标准中（国标委外函[2014]46号）正式确认：由中国主导未来网络的《命名与寻址》、《安全》等核心标准的制定，并由中国拥有核心知识产权。目前，中国新一代物联网是唯一符合“国际未来网络标准”的计算机通讯网络，代表着新一代互联网的发展方向。值得注意的是，由于英文只有26个字母，分别被中美各13条根服务器占用(首字母索引)，导致世界上难以产生第三套计算机通讯网络系统。
新一代物联网抛弃了传统互联网的底层架构及缺陷，其网址基本长度为256位（预留至1024位），其中保留128位用于兼容互联网，实际新增2^128个有效网址，能满足未来700年发展的网址需求。未来太空移民时，再启用预留的网址。物联网采用先认证再通讯、地址可加密等新技术，有效解决互联网的安全架构缺陷。
（新一代物联网应用场景图）
新一代物联网真正实现了万物互联（Internet of Things 简称IoT），其能为带电的物分配一个专属静态IP地址，可通过网络进行解析和联结；也能给不带电的物分配一个专属的物联网编码（RFID电子标签），可通过网络进行解码和查询。我们可以把物联网编码理解为一个简单的IP地址，其对应的是一串简单文本构成的信息链。例如一个苹果，消费者扫一扫其物联网编码，就能显示这个苹果相关的种植、施肥、采摘、包装、售价、发货、运输、签收、购买者、相关日期等信息链。一些厂家宣称已研发出不用IP地址的IoT，这些都是伪IoT，原理无非是构建一个类似聊天群的通讯系统，为每个设备分配一个号，通过添加好友的模式进行物物联结。这些伪IoT只能在自己的软件系统内运行，一旦跨系统，就无法互联。
我国建设和使用物联网，不仅可以节约巨额的互联网使用费，还可以向全球输出更具性价比的物联网服务，进入互联网最具价值的领域，获取巨大的经济利益。随着物联网的建设和使用，我国将能对网络进行大幅度提速、降费，惠及广大人民和企业，极大促进我国网络应用市场和相关产业的蓬勃发展。
由于互联网是虚拟的，极其容易被利用进行违法犯罪活动和网络攻击。近年来，利用互联网虚拟特性进行诈骗的事件层出不穷。另根据中国国家互联网应急中心抽样检测显示： 2011年，有近5万个境外IP网址作为木马或僵尸网络控制服务器，参与控制了我国境内近890万台主机，其中有超过994%的被控主机，源头在美国。新一代物联网通过先认证再通讯、网络地址加密等新技术，可以有效打击电信诈骗和抵御网络攻击。未来基于区块链技术的数字经济（如国家数字货币）的关键应用，目前还只有新一代物联网具备支撑能力。
截止目前，新一代物联网在系统技术、知识产权、国际标准、国家政策、软硬件、服务能力等方面都已充分准备就绪。新一代物联网商用平台已经落地，开始为商用物联网提供根服务、IP地址发放、域名解析等底层网络服务。

光明网天津9月16日电 （记者 李政葳）在2019年国家网络安全宣传周期间，国家计算机病毒应急处理中心发布的“第十八次计算机病毒和移动终端病毒疫情调查报告”显示，2018年我国计算机病毒感染率和移动终端病毒感染率均呈上升态势。其中，网络安全问题呈易变性、不确定性、规模性和模糊性等特点，网络安全事件发生成为大概率事件，信息泄漏、勒索病毒等重大网络安全事件时有发生。

报告显示，云主机成为挖取门罗币、以利币等数字货币的主要利用对象，“云挖矿”悄然兴起。恶意挖矿技术提升明显，产业也趋于成熟，恶意挖矿家族通过相互之间的合作使受害计算机和网络设备价值被更大程度压榨，给安全从业者带来更大挑战；同时，越来越多的恶意挖矿软件被安装在网络和物联网设备上，影响设备性能的同时，也易形成僵尸网络，对整个互联网的安全构成威胁。

报告还提到，数据的重要价值越发凸显，信息泄露事件呈常态化，企业对数据的流向和使用权限监管薄弱，导致目前数据被第三方插件滥用的情况严重。随着移动互联网发展，万物互联的未来逐渐清晰，智能设备的生产过程中通常有大量第三方参与，而这些第三方由于发展迅速导致能力缺失，往往存在开发质量存疑、安全性能无法保障等问题。

另外，报告显示，移动互联网应用形态更加丰富，各类App已全面融入所有互联网业态，移动互联网生态环境日益复杂，与移动互联网相关的新型网络违法犯罪日益突出。在公安部的指导下，国家计算机病毒应急处理中心将进一步加强对移动App与SDK的检验检测，健全完善举报与企业自律工作机制，对发现的问题及时予以曝光，有效净化行业环境。

随着智能家居走入普通老百姓的生活，关于智能家居所带来的影视风险，也是大家所担心的。而智能家居与个人隐私两者之间的问题，也是仍然无法解决。

全方位使用智能家居，无异于你的隐私正在裸奔。这是我看到的关于智能家居和隐私两者之间最让人不寒而栗的话。

因为如果你想要使用智能家居的话，首先你需要录入自己的一些信息的。而这些信息之所以能够被智能家居所引用，是因为他已经被共享了，而在这种情况下，想要保护住你的隐私是非常困难的，甚至连其运营公司都没有办法保障。

像羊女士这样，在民宿里面发现了别人的隐私的情况，其实不在少数。很多数据战力使用它之后，都会留下痕迹，但一般情况下，大家也不会非常注重的去消除。凡是过往必有痕迹，这句话不是没有道理的。

让我想起了前两天我向我的同事推荐了一个综艺节目，在我们聊天之前，他从来都没有刷到过关于这个综艺节目的视频之类的。可我们只是聊了天之后，他的短视频平台就经常刷到了这个综艺节目。其对于我们生活的智能推荐已经如此强大，更别说你去主动使用的一些智能平台。

家本来是一个非常隐秘的地方，如果要引进智能家居，无异于把这个隐秘的地方公开化。而即便是这样，还是有很多人会喜欢智能家居。一方面是因为智能家居的确给我们的生活带来了很多的方便，一方面也是因为大部分人而言，家的秘密也不是那么的需要隐秘。

所以有的人思想本来就很开放，他们对于自己的一些信息被共享，这件事情本身是不担心的。就部分人他们的家就很适合使用智能家居。但有一部分人是非常注重自己的隐私，即便不会对别人产生什么影响，也不想让她公诸于众，不然就不太适合使用智能家居。

智能家居有一个很重要的功能是共享，而共享就是把隐私破碎化。所以如果真的选择了智能家居的话，就不要太过在意自己的隐私。当然，现在的智能家具也没有完全把你的隐私展现给大家，因为它只是你生活的一部分，说24小时毫无隐私有一些夸张了。

就像我们通常所见到的，家里的防盗门，可以防到98%的人。而有1%的人，不管你用什么样的门，他都是可以打开的。另外1%的人，不管你是否关门，他都不会到你家里去。虽然没有达到100%防盗门还是那么受大家的欢迎，因为他已经完成了主要的防盗作用。

智能家居所带来的隐私曝光，其实也只是给了那1%的人有机可乘。大部分的人是不会专门去挖掘你的隐私的，所以大家在使用智能家居的时候，也不需要太过于担心。有心之人，不管你怎么防都防不住，无心之人也没有必要去防范他。

产能是否过剩，不能只看生产能力和可能的总供给量，更重要的是看有多少需求。但需求是个变量，不容易准确测定。因此，认定产能过剩，需要在纵向对比产量增长过快、过猛的同时，还应同时指出在什么范围内、在多长的时间区间、相对于多大的有效需求而言。
陈湛匀指出：解决产能问题最主要的是鼓励技术创新，改善产品结构，提高产品附加值。企业可以借助工业 40 和“中国制造 2025”等风向，进行智能化升级改造，增加技术研发收入，或是助力于一些高新科技企业、高端制造业企业，获取大数据、物联网、智能物流系统等智能技术，实现企业的智能化转型。
陈湛匀教授
以下是陈湛匀的部分观点实录：
2014-2015年期间被炒热的“国企改革”话题也是针对的产能过剩问题，如何提高市场的自发调节和出新过程，减少国有企业比较集中的领域产能加剧过剩问题。解决产能问题最主要的是鼓励技术创新，改善产品结构，提高产品附加值。企业可以借助工业 40 和“中国制造 2025”等风向，进行智能化升级改造，增加技术研发收入，或是助力于一些高新科技企业、高端制造业企业，获取大数据、物联网、智能物流系统等智能技术，实现企业的智能化转型。
2016年2月，国务院先后发布关于钢铁行业、煤炭行业化解过剩产能实现脱困发展的意见，指出利用3-5年的时间，煤炭产能再退出5亿吨左右，钢铁再减产能至15亿吨。
经过2016-2018年三年的供给侧改革，煤炭、钢铁、水泥、化工等产能利用率大幅提升。2019年1月29日，国家发改委新闻发布会上指出，截至2018年年底，煤炭行业和钢铁行业去产能的主要目标任务基本完成，但有个别省没有完成去产能目标，未来将继续推进去产能工作，但重心逐渐向提升供给质量的方向转移。
2018年12月4日，国家发展改革委、工信部、财政部等11部门联合印发《关于进一步做好“僵尸企业”及去产能企业债务处置工作的通知》，加快“僵尸企业”出清和具体确认去产能企业首批名单，2020年底前完成全部处置工作。2019年僵尸企业“出清令”已发出，目前各个省份例如陕西、河南、河北、黑龙江等多地都已明确具体目标。
著名经济学家、全球共德CEO陈湛匀教授简介：
著名经济学家，金融学教授，博士生导师，中国首批统计学博士点专业博士。现任中国上海市投资学会副会长、中国商业联合会专家委员、中国粮食经济学会常务理事、国家自然科学基金评审专家，中国首创拟人化资本运营专家，上海电视台“夜话地产湛匀妙语”栏目主持人，中国第一财经、东方卫视、凤凰卫视等媒体特邀嘉宾，长期应邀为北京大学、清华大学、香港大学授课，已获近20项国家、省部级优秀科研奖，走访过100多个国家和地区，被聘为国际论坛峰会和国外大学演讲，被誉为具有国际视野、最受欢迎的实战型权威金融专家，成功辅导不少企业上市。

---