现在是上午9点，CloudFlare已经为我们的客户减少了30亿个恶意请求。我们看到的每一百个请求中就有六个是恶意的，而且越来越多的坏请求是针对DNS名称服务器的。DNS是Internet的电话簿，是web可用性的基础，也是Internet安全的一个严重薄弱环节。CloudFlare试图使DNS更安全的方法之一是通过实现DNSSEC，即针对DNS响应的加密身份验证。另一种方法是虚拟DNS，我们今天介绍的权威DNS代理服务。虚拟DNS提供CloudFlare的DDoS缓解和向DNS名称服务器的全局分发。DNS运营商需要高性能、高弹性的基础设施，我们为任何组织的DNS服务器提供最快的服务。许多组织具有难以更改的旧式DNS基础结构。托管行业就是一个重要的例子。一个主机可能给了数千个客户机一组名称服务器，但现在意识到它们没有客户机所需的性能或防御能力。虚拟DNS意味着主机可以从一个全球性的现代DNS基础设施中获益，而不必联系每个客户并让他们更新他们的名称服务器。由于传统基础设施阻止主机部署基于云的现代安全服务，DNS提供商，即使他们在保护客户的网站，也可能有一个巨大的单点故障：他们自己的命名服务器。DDoS简介来源：Android CorpsDDoS代表分布式拒绝服务，其工作原理与2004年的视频游戏Diner Dash非常相似。在每种情况下，服务器都会处理越来越多的请求（对于食物，对于Diner-Dash，对于数据，对于web服务器），直到服务器被压垮以至于总是无法应答。对提供商名称服务器的成功DDoS攻击将使这些名称服务器上具有DNS记录的每个网站脱机。对于较大的提供商，这可能是数十万或数百万的网站，这取决于这些名称服务器。引入虚拟DNS如今，CloudFlare引入了虚拟DNS，它利用其全局DNS和代理基础设施作为其域的权威，为任何名称服务器提供性能和安全性。使用虚拟DNS，提供程序记录的DNS查询由最近的CloudFlare边缘位置响应。如果CloudFlare的缓存中有正确的DNS响应，CloudFlare将把响应返回给访问者，从而节省源服务器的带宽。如果DNS响应在缓存中不可用，CloudFlare将在后台查询提供程序的一个名称服务器，以获取DNS响应并将其发送回访问者。同时，该响应将临时缓存在CloudFlare上，以便在该记录的下一个查询出现时自动返回。在边缘缓存记录使CloudFlare成为全球最快的DNS提供商之一。为了防止攻击，对名称服务器的恶意请求将在CloudFlare的边缘被识别并阻止，然后这些请求才会进入提供商的DNS基础设施。这一通信的简单表示如下：附加安全性虚拟DNS通过CloudFlare代理提供了两个额外的安全层：首先，如果由于某种原因，源名称服务器脱机，DNS记录缓存在CloudFlare上，CloudFlare会将记录保存在缓存中，并继续为其应答，即使无法访问源名称服务器，也会提供DNS应答，自动在后台检查原点的返回或故障转移到指定的原点。其次，虚拟DNS在CloudFlare的IP地址后面屏蔽了提供者名称服务器的真实原始IP地址。访问者和/或攻击者只在请求应答时看到CloudFlare的IP地址，以确保客户名称服务器不受攻击者攻击。虚拟DNS部署我们目前正在推出虚拟DNS支持。对启用虚拟DNS感兴趣的组织应联系我们的销售团队。在过去的一年里，我们已经与托管提供商、注册商和一些企业进行了测试，结果非常积极。例如，DigitalOcean在2014年7月将其名称服务器置于虚拟DNS之后，现在支持每秒10K请求的100%干净流量。他们报告说，自那以后，他们再也没有看到恶意流量到达他们的名字服务器。维护自定义DNS基础设施既困难又昂贵，而且虚拟DNS使其更易于访问。任何企业都可以使用CloudFlare虚拟DNS向边缘提供答案，在世界任何地方都具有高性能，通过缓存答案节省带宽成本，并阻止恶意流量。