最新DNS安全防护解决方案.doc

Four short words sum up what has lifted most successful individuals above the crowd: a little bit more.-author-dateDNS安全防护解决方案DNS安全防护解决方案DNS安全防护解决方案 DNS是Internet的重要基础，包括WEB访问、Email服务在内的众多网络服务都和DNS息息相关，DNS的安全直接关系到整个互联网应用能否正常使用。AD：DNS是Internet的重要基础，包括WEB访问、Email服务在内的众多网络服务都和DNS息息相关，DNS的安全直接关系到整个互联网应用能否正常使用。近年来，针对DNS的攻击越来越多，影响也越来越大，因此如何保护DNS系统的安全就成为了目前互联网安全的首要问题之一。DNS安全威胁分析作为当前全球最大最复杂的分布式层次数据库系统，由于其开放、庞大、复杂的特性以及设计之初对于安全性的考虑不足，再加上人为攻击和破坏，DNS系统面临非常严重的安全威胁，因此如何解决DNS安全问题并寻求相关解决方案是当今DNS亟待解决的问题。DNS安全防护主要面临如下威胁：针对DNS的DDoS攻击DDoS （Distributed Denial of service）攻击通过僵尸网络利用各种服务请求耗尽被攻击网络的系统资源，造成被攻击网络无法处理合法用户的请求。而针对DNS的DDoS攻击又可按攻击发起者和攻击特征进行分类。主要表现特征如下：按攻击发起者分类僵尸网络：控制僵尸网络利用真实DNS协议栈发起大量域名查询请求模拟工具：利用工具软件伪造源IP发送海量DNS查询按攻击特征分类Flood攻击：发送海量DNS查询报文导致网络带宽耗尽而无法传送正常DNS 查询请求资源消耗攻击：发送大量非法域名查询报文引起DNS服务器持续进行迭代查询，从而达到较少的攻击流量消耗大量服务器资源的目的DNS欺骗DNS欺骗是最常见的DNS安全问题之一。当一个DNS服务器由于自身的设计缺陷，接收了一个错误信息，那么就将做出错误的域名解析，从而引起众多安全问题，例如将用户引导到错误的互联网站点，甚至是一个钓鱼网站；又或者发送一个电子邮件到一个未经授权的邮件服务器。攻击者通常通过三种方法进行DNS欺骗：缓存污染 ：攻击者采用特殊的DNS请求，将虚假信息放入DNS的缓存中DNS信息劫持 ：攻击者监听DNS会话，猜测DNS服务器响应ID，抢先将虚假的响应提交给客户端DNS重定向 ：将DNS名称查询重定向到恶意DNS服务器系统漏洞众多BIND(Berkeley Internet Name Domain)是是最常用的DNS服务软件，具有广泛的使用基础，Internet上的绝大多数DNS服务器都是基于这个软件的。BIND提供高效服务的同时也存在着众多的安全性漏洞。，CNCERT/CC在2009年安全报告中指出：2009年7月底被披露的"Bind9"高危漏洞，影响波及全球数万台域名解析服务器，我国有数千台政府和重要信息系统部门、基础电信运营企业以及域名注册管理和服务机构的域名解析服务器受到影响。除此之外，DNS服务器的自身安全性也是非常重要。目前主流的操作系统如Windows、UNIX、Linux均存在不同程度的系统漏洞和安全风险，而补丁的管理也是安全管理工作中非常重要和困难的一个组成部分，因此针对操作系统的漏洞防护也是DNS安全防护工作中的重点。DNS系统DDoS攻击防护目前业界主流的针对DNS的DDoS攻击识别，通常采用判断DNS请求流量阈值的方法来判断发生攻击，这种判断方法有以下局限：热点事件产生的正常DNS请求流量超限的情况，容易产生误报针对通过非法域名以小博大的攻击方法，由于其流量未超限会产生漏报迪普科技采用智能的DNS DDoS攻击识别技术，通过实时分析DNS解析失败率、DNS响应报文与请求报文的比例关系等方法，准确识别各种针对DNS的DDoS攻击，避免产生漏报和误报，并且通过专业的线性DNS攻击防御技术和离散DNS攻击防御技术有效的防御了DNS DDoS攻击。同时，迪普科技还通过流量异常检测、SYN Cookie、SYN Proxy、连接限制、连接速率限制等技术实现了全面的TCP Flood、UDP Flood、SYN Flood、ICMP Flood、HTTP Get、CC等DDoS攻击防御，全面确保了DNS服务器不会受到DDoS攻击。DNS协议异常防护与漏洞防护针对DNS欺骗和系统漏洞的防护，最有效的办法是能够准确识别各种协议异常和攻击行为。传统的攻击识别方式是通过定义攻击行为的特征来实现对已知攻击的检测，这种方式实现起来很简单，但是会导致误报较多，无法准确的识别攻击。迪普科技专业的漏洞库，通过分析攻击产生原理，定义攻击类型的统一特征的方式来识别攻击，这种方式不受攻击变种的影响，具有较高的技术门槛，但是可以将误报降至最低。迪普科技专业的漏洞库可以为DNS服务提供"虚拟系统补丁"的功能，即使DNS服务器未能及时更新补丁程序，依然能有效地阻挡所有企图利用特定漏洞进行的攻击，可以在几分钟内完成部署，保护DNS系统不受攻击保护DNS系统。迪普科技专家团队及时跟踪业界动态，并且为微软MAPP计划合作伙伴，对最新产生的攻击可以以最快速度升级漏洞库，避免受到零日攻击的威胁。典型组网同时，由于DNS服务器承载着大量的域名查询请求，因此也需要能够提供高性能的解决方案，确保不会成为网络中的瓶颈。迪普科技IPS是目前性能最高的IPS产品，最高性能可达万兆，并且创新性的采用了并发硬件处理架构，并采用独有的"并行流过滤引擎"技术，性能不受特征库大小、策略数大小的影响，全部安全策略可以一次匹配完成，即使在特征库不断增加的情况下，也不会造成性能的下降和网络时延的增加。同时在专业漏洞库的基础上，集成了卡巴斯基病毒库和应用协议库，是针对系统漏洞、协议弱点、病毒蠕虫、DDoS攻击、网页篡改、间谍软件、恶意攻击、流量异常等威胁的一体化应用层深度防御平台。DNS安全防护典型组网迪普科技DNS安全防护解决方案目前已经规模应用于上海电信DNS系统，为上海电信DNS的稳定运行提供了可靠的安全保障，同时也证明了迪普科技已经有能力为用户提供电信级的安全解决方案。-