上海dns

上海dns

-

2023年2月16日发(作者：)

DNS安全防护解决方案

DNS是Internet的重要基础，包括WEB访问、Email服

务在内的众多网络服务都和DNS息息相关，DNS的安全直

接关系到整个互联网应用能否正常使用。AD：DNS是Internet

的重要基础，包括WEB访问、Email服务在内的众多网络服

务都和DNS息息相关，DNS的安全直接关系到整个互联网

应用能否正常使用。近年来,针对DNS的攻击越来越多，影

响也越来越大，因此如何保护DNS系统的安全就成为了目

前互联网安全的首要问题之一。DNS安全威胁分析作为当前

全球最大最复杂的分布式层次数据库系统，由于其开放、庞

大、复杂的特性以及设计之初对于安全性的考虑不足，再加

上人为攻击和破坏，DNS系统面临非常严重的安全威胁，因

此如何解决DNS安全问题并寻求相关解决方案是当今DNS

亟待解决的问题.DNS安全防护主要面临如下威胁:针对DNS

的DDoS攻击DDoS(DistributedDenialofservice）攻击通过

僵尸网络利用各种服务请求耗尽被攻击网络的系统资源，造

成被攻击网络无法处理合法用户的请求.而针对DNS的

DDoS攻击又可按攻击发起者和攻击特征进行分类。主要表

现特征如下：按攻击发起者分类僵尸网络：控制僵尸网络利

用真实DNS协议栈发起大量域名查询请求模拟工具：利用

工具软件伪造源IP发送海量DNS查询按攻击特征分类Flood

攻击:发送海量DNS查询报文导致网络带宽耗尽而无法传送

正常DNS查询请求资源消耗攻击:发送大量非法域名查询报

文引起DNS服务器持续进行迭代查询，从而达到较少的攻

击流量消耗大量服务器资源的目的DNS欺骗DNS欺骗是最

常见的DNS安全问题之一。当一个DNS服务器由于自身的

设计缺陷,接收了一个错误信息,那么就将做出错误的域名解

析，从而引起众多安全问题，例如将用户引导到错误的互联

网站点,甚至是一个钓鱼网站;又或者发送一个电子邮件到一

个未经授权的邮件服务器.攻击者通常通过三种方法进行

DNS欺骗:缓存污染：攻击者采用特殊的DNS请求，将虚

假信息放入DNS的缓存中DNS信息劫持：攻击者监听DNS

会话，猜测DNS服务器响应ID,抢先将虚假的响应提交给客

户端DNS重定向：将DNS名称查询重定向到恶意DNS服

务器系统漏洞众多BIND(BerkeleyInternetNameDomain)是

是最常用的DNS服务软件,具有广泛的使用基础,Internet上

的绝大多数DNS服务器都是基于这个软件的。BIND提供高

效服务的同时也存在着众多的安全性漏洞.，CNCERT/CC在

2009年安全报告中指出：2009年7月底被披露的”Bind9”

高危漏洞，影响波及全球数万台域名解析服务器,我国有数千

台政府和重要信息系统部门、基础电信运营企业以及域名注

册管理和服务机构的域名解析服务器受到影响。除此之

外,DNS服务器的自身安全性也是非常重要。目前主流的操

作系统如Windows、UNIX、Linux均存在不同程度的系统漏

洞和安全风险，而补丁的管理也是安全管理工作中非常重要

和困难的一个组成部分，因此针对操作系统的漏洞防护也是

DNS安全防护工作中的重点。DNS系统DDoS攻击防护目

前业界主流的针对DNS的DDoS攻击识别，通常采用判断

DNS请求流量阈值的方法来判断发生攻击，这种判断方法有

以下局限：热点事件产生的正常DNS请求流量超限的情况，

容易产生误报针对通过非法域名以小博大的攻击方法，由于

其流量未超限会产生漏报迪普科技采用智能的DNSDDoS

攻击识别技术,通过实时分析DNS解析失败率、DNS响应报

文与请求报文的比例关系等方法，准确识别各种针对DNS

的DDoS攻击,避免产生漏报和误报，并且通过专业的线性

DNS攻击防御技术和离散DNS攻击防御技术有效的防御了

DNSDDoS攻击。同时,迪普科技还通过流量异常检测、SYN

Cookie、SYNProxy、连接限制、连接速率限制等技术实现

了全面的TCPFlood、UDPFlood、SYNFlood、ICMPFlood、

HTTPGet、CC等DDoS攻击防御，全面确保了DNS服务器

不会受到DDoS攻击。DNS协议异常防护与漏洞防护针对

DNS欺骗和系统漏洞的防护,最有效的办法是能够准确识别

各种协议异常和攻击行为。传统的攻击识别方式是通过定义

攻击行为的特征来实现对已知攻击的检测,这种方式实现起

来很简单，但是会导致误报较多，无法准确的识别攻击。迪

普科技专业的漏洞库,通过分析攻击产生原理，定义攻击类型

的统一特征的方式来识别攻击，这种方式不受攻击变种的影

响，具有较高的技术门槛，但是可以将误报降至最低。迪普

科技专业的漏洞库可以为DNS服务提供”虚拟系统补丁”

的功能，即使DNS服务器未能及时更新补丁程序，依然能

有效地阻挡所有企图利用特定漏洞进行的攻击,可以在几分

钟内完成部署,保护DNS系统不受攻击保护DNS系统。迪普

科技专家团队及时跟踪业界动态，并且为微软MAPP计划合

作伙伴，对最新产生的攻击可以以最快速度升级漏洞库，避

免受到零日攻击的威胁。典型组网同时,由于DNS服务器承

载着大量的域名查询请求，因此也需要能够提供高性能的解

决方案，确保不会成为网络中的瓶颈.迪普科技IPS是目前性

能最高的IPS产品，最高性能可达万兆，并且创新性的采用

了并发硬件处理架构，并采用独有的”并行流过滤引擎\"技术，

性能不受特征库大小、策略数大小的影响，全部安全策略可

以一次匹配完成,即使在特征库不断增加的情况下，也不会造

成性能的下降和网络时延的增加。同时在专业漏洞库的基础

上，集成了卡巴斯基病毒库和应用协议库，是针对系统漏洞、

协议弱点、病毒蠕虫、DDoS攻击、网页篡改、间谍软件、

恶意攻击、流量异常等威胁的一体化应用层深度防御平台。

DNS安全防护典型组网迪普科技DNS安全防护解决方案目

前已经规模应用于上海电信DNS系统，为上海电信DNS的

稳定运行提供了可靠的安全保障,同时也证明了迪普科技已

经有能力为用户提供电信级的安全解决方案。