关闭>>  
扫一扫 有惊喜
  • 产品名:NE20E-X6
  • 促销价:电议/面议
天宇解决方案:DNS攻击防护技术解决方案

随着信息化的高速发展,目前的网络安全现状和前几年相比,已经发生了很大的改变。蠕虫、病毒、木马、漏洞攻击、DDoS攻击等威胁互相结合,对网络的稳定运行和应用安全造成了较大的威胁和不良影响。其中针对DNS(域名服务器,Domain Name Service)的攻击也已成为最严重的威胁之一。DNS是Internet的重要基础,包括WEB访问、Email服务在内的众多网络服务都和DNS息息相关,因此DNS的安全直接关系到整个互联网应用能否正常使用。

DNS系统作为当前全球最大最复杂的分布式层次数据库系统,由于其开放、庞大、复杂的特性以及设计之初对于安全性的考虑不足,再加上人为攻击和破坏,面临非常严重的安全威胁,因此如何解决DNS安全问题并寻求相关解决方案是当今DNS亟待解决的问题。DNS安全防护主要面临如下威胁:

■ 针对DNS的DDoS攻击
DDoS (Distributed Denial of Service)攻击通过僵尸网络利用各种服务请求耗尽被攻击网络的系统资源,造成被攻击网络无法处理合法用户的请求。而针对DNS的DDoS攻击又可按攻击发起者和攻击特征进行分类。主要表现特征如下:
按攻击发起者分类
僵尸网络:控制大批僵尸网络利用真实DNS协议栈发起大量域名查询请求;
模拟工具:利用工具软件伪造源IP发送海量DNS查询。
按攻击特征分类
Flood攻击:发送海量DNS查询报文导致网络带宽耗尽而无法传送正常DNS 查询请求;
资源消耗攻击:发送大量非法域名查询报文引起DNS服务器持续进行迭代查询,从而达到较少的攻击流量消耗大量服务器资源的目的。

■ DNS欺骗
DNS欺骗是最常见的DNS安全问题之一。当一个DNS服务器由于自身的设计缺陷,接收了一个错误信息,那么就将做出错误的域名解析,从而引起众多安全问题,例如将用户引导到错误的互联网站点,甚至是一个钓鱼网站;又或者发送一个电子邮件到一个未经授权的邮件服务器。攻击者通常通过三种方法进行DNS欺骗:
缓存污染
攻击者采用特殊的DNS请求,将虚假信息放入DNS的缓存中。
DNS信息劫持
攻击者监听DNS会话,猜测DNS服务器响应ID,抢先将虚假的响应提交给客户端。
DNS重定向
将DNS名称查询重定向到恶意DNS服务器。

系统漏洞众多
BIND(Berkeley Internet Name Domain)是最常用的DNS服务软件,具有广泛的使用基础,Internet上的绝大多数DNS服务器都采用这个软件。BIND提供高效服务的同时也存在着众多的安全性漏洞。CNCERT/CC在2009年安全报告中指出:2009年7月底被披露的“Bind9”高危漏洞,影响波及全球数万台域名解析服务器,我国有数千台政府和重要信息系统部门、基础电信运营企业以及域名注册管理和服务机构的域名解析服务器受到影响。

除此之外,DNS服务器的自身安全性也是非常重要。目前主流的操作系统如Windows、UNIX、Linux均存在不同程度的系统漏洞和安全风

迪普科技基于多年在网络安全领域的研究与积累,提出了全面的DNS攻击防护解决方案,通过专业的DNS防护设备,从攻击防护、DNS缓存、负载均衡三方面来解决上述问题。
DPtech DNS防护设备部署于DNS服务器前,对所有经过的DNS请求进行检查,当发现异常访问时,通过独有的DNS攻击防护技术进行实时防护;DNS防护设备还具有DNS缓存功能,针对正常访问的DNS查询请求,如在缓存中存在,则直接发送域名解析地址回复,可有效的减轻DNS服务器的访问压力;同时,迪普科技DNS攻击防护解决方案还可提供DNS服务器负载均衡功能,针对DNS服务器集群实现智能、动态的负载均衡,确保最大程度上提升DNS服务器的使用效率。

迪普科技DNS攻击防护解决方案是业界性能最高、功能最全面的解决方案,主要具有以下特点:
■ 全面的DDoS攻击防护
目前业界主流的针对DNS的DDoS攻击识别,通常采用判断DNS请求流量阈值的方法来判断发生攻击,这种判断方法有以下局限:
热点事件产生的正常DNS请求流量超限的情况,容易产生误报;针对通过非法域名以小博大的攻击方法,由于其流量未超限会产生漏报。迪普科技采用智能的DNS DDoS攻击识别技术,通过实时分析DNS解析失败率、DNS响应报文与请求报文的比例关系等方法,准确识别各种针对DNS的DDoS攻击,避免产生漏报和误报,并且通过专业的线性DNS攻击防御技术和离散DNS攻击防御技术有效的防御了DNS DDoS攻击。同时,迪普科技还通过流量异常检测、SYN Cookie、SYN Proxy、连接限制、连接速率限制等技术实现了全面的TCP Flood、UDP Flood、SYN Flood、ICMP Flood、HTTP Get、CC等DDoS攻击防御,全面确保了DNS服务器不会受到DDoS攻击。

■ 专业的漏洞库,及时有效的升级机制
针对DNS欺骗和系统漏洞的防护,最有效的办法是能够准确识别各种协议异常和攻击行为。传统的攻击识别方式是通过简单定义攻击特征来实现对已知攻击的检测,这种方式实现起来很简单,但是会导致误报较多,无法准确的识别攻击。迪普科技专业的漏洞库,通过分析攻击产生的原理,定义基于攻击类型统一特征的方式来识别攻击,这种方式不受攻击变种的影响,具有较高的技术门槛,但是可以将误报降至最低。迪普科技专家团队及时跟踪业界动态,对最新产生的攻击可以以最快速度升级漏洞库,避免受到零日攻击的威胁。

■ 大容量DNS缓存
迪普科技专有的大容量缓存,最高可达500万条缓存记录,相当于一个高性能DNS代理服务器,可在DNS查询请求达到DNS服务器之前,由DNS防护设备在第一时间直接回复给请求者,可大大减轻DNS服务器的访问压力。

■ 智能负载均衡
在运营级网络中,往往具有多台DNS服务器同时提供服务,迪普科技DNS攻击防护解决方案还具有智能负载均衡功能,可将多台DNS服务器做成集群,并实现动态的资源调度,提高服务器利用率。

业界最高性能
由于DNS服务器承载着大量的域名查询请求,因此也需要能够提供高性能的解决方案,确保不会成为网络中的瓶颈。迪普科技DNS攻击防护解决方案是目前业界最高性能的解决方案,最高可提供高达400Gbps吞吐能力、2000万QPS查询响应能力,是目前业界性能最高的DNS防护解决方案。

迪普科技DNS攻击防护解决方案集攻击防护、DNS缓存、负载均衡于一身,目前已经规模应用于国内各大运营商,是最有效可靠的DNS防护解决方案。