《2022年DNS安全防护解决方案 .pdf》由会员分享,可在线阅读,更多相关《2022年DNS安全防护解决方案 .pdf(3页珍藏版)》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。
1、DNS 安全防护解决方案随着信息化的高速发展,目前的网络安全现状和前几年相比,已经发生了很大的改变。蠕虫、病毒、木马、漏洞攻击、DDoS 攻击等威胁互相结合,对网络的稳定运行和应用安全造成了较大的威胁和不良影响。其中针对 DNS(域名服务器, Domain Name Service )的攻击也已成为最严重的威胁之一。DNS 是Internet 的重要基础,包括 WEB 访问、 Email 服务在内的众多网络服务都和DNS息 息相关,因此 DNS 的安全直接关系到整个互联网应用能否正常使用。DNS 系统面临的安全威胁作为当前全球最大最复杂的分布式层次数据库系统,由于其开放、庞大、复杂的特性以及设
2、计之初对于安全性的考虑不足,再加上人为攻击和破坏, DNS系统面临非常严重的安全威胁, 因此如何解决 DNS 安全问题并寻求相关解决方案是当今 DNS 亟待解决的问题。 DNS 安全防护主要面临如下威胁: 对 DNS 的 DDoS 攻击DDoS (Distributed Denial of Service)攻击通过僵尸网络利用各种服务请求耗尽被攻击网络的系统资源,造成被攻击网络无法处理合法用户的请求。而针对 DNS 的 DDoS 攻击又可按攻击发起者和攻击特征进行分类。按攻击发起者分类僵尸网络:控制大批僵尸网络利用真实DNS 协议栈发起大量域名查询请求模拟工具:利用工具软件伪造源IP 发送海量
3、 DNS 查询按攻击特征分类Flood 攻击: 发送海量 DNS 查询报文导致网络带宽耗尽而无法传送正常DNS 查询请求资源消耗攻击:发送大量非法域名查询报文引起DNS 服务器持续进行迭代查询,从而达到较少的攻击流量消耗大量服务器资源的目的DNS 欺骗DNS 欺骗是最常见的 DNS 安全问题之一。当一个 DNS 服务器由于自身的设计缺陷, 接收了一个错误信息, 那么就将做出错误的域名解析,从而引起众多安全问 题,例如将用户引导到错误的互联网站点,甚至是一个钓鱼网站;又或者发送一个电子邮件到一个未经授权的邮件服务器。攻击者通常通过三种方法进行 DNS 欺 骗:缓存污染:击者采用特殊的DNS 请求
4、,将虚假信息放入DNS 的缓存中 DNS 信息劫持:攻击者监听 DNS 会话,猜测 DNS 服务器响应 ID,抢先将虚假的响应提交给客户端 DNS 重定向:将 DNS 名称查询重定向到恶意DNS 服务器系统漏洞众多BIND(Berkeley Internet Name Domain)是最常用的 DNS 服务软件,具有广泛的使用基础,Internet 上的绝大多数 DNS 服务器都是基于这个软件的。 BIND提供高效服务的同时也存在着众多的安全性漏洞。,CNCERT/CC 在 2009 年安全报告中指出: 2009 年 7 月底被披露的 “ Bind9” 高危漏洞,影响波及全球数万 台域名解析服
5、务器,我国有数千台政府和重要信息系统部门、基础电信运名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 1 页,共 3 页 - - - - - - - - - 营企业以及域名注册管理和服务机构的域名解析服务器受到影响。除此之外, DNS 服务器的自身安全性也是非常重要。目前主流的操作系统如Windows 、UNIX、Linux 均存在不同程度的系统漏洞和安全风险,而补丁的管理也是安全管理工作中非常重要和困难的一个组成部分,因此针对操作系统的漏洞防护也是 DNS 安全防护工作中的重点。迪普
6、解决之道迪普科技基于多年在网络安全领域的研究与积累,通过 DPtech IPS 产品的有效部署,从 DDoS 攻击防护和专业的漏洞库两方面来解决上述问题,为用户提供全面的 DNS 安全防护解决方案。全面的 DDoS 攻击防护目前业界主流的针对DNS 的 DDoS 攻击识别,通常采用判断 DNS 请求流量阈值的方法来判断发生攻击,这种判断方法有以下局限:热点事件产生的正常DNS 请求流量超限的情况,容易产生误报针对通过非法域名以小博大的攻击方法,由于其流量未超限会产生漏报迪普科技采用智能的DNS DDoS 攻击识别技术,通过实时分析DNS 解析失败率、DNS 响应报文与请求报文的比例关系等方法,
7、准确识别各种针对DNS 的DDoS 攻击,避免产生漏报和误报,并且通过专业的线性DNS 攻击防御技术和离散 DNS 攻击防御技术有效的防御了DNS DDoS 攻击。同时,迪普科技还通过流量异常检测、SYN Cookie 、SYN Proxy 、连接限制、连接速率限制等技术实现了全面的TCP Flood 、UDP Flood 、SYN Flood 、ICMP Flood 、HTTP Get 、CC 等 DDoS 攻击防御,全面确保了DNS 服务器不会受到DDoS 攻击。专业的漏洞库,及时有效的升级机制针对 DNS 欺骗和系统漏洞的防护,最有效的办法是能够准确识别各种协议异常和攻击行为。 传统的攻
8、击识别方式是通过定义攻击行为的特征来实现对已知攻击的检测,这种方式实现起来很简单,但是会导致误报较多,无法准确的识别攻击。 迪普科技专业的漏洞库, 通过分析攻击产生原理, 定义攻击类型的统一特征的方式来识别攻击,这种方式不受攻击变种的影响,具有较高的技术门槛,但是可以将误报降至最低。 迪普科技专业的漏洞库可以为DNS 服务提供 “ 虚拟系统补丁 ” 的功能,即使 DNS 服务器未能及时更新补丁程序,依然能有效地阻挡所有企图利用特定漏洞进行的攻击,可以在几分钟内完成部署,保护DNS系统不受攻击。 迪普科技专家团队及时跟踪业界动态, 并且为微软 MAPP 计划合作伙伴,对最新产生的攻击可以以最快速
9、度升级漏洞库,避免受到零日攻击的威胁。名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 2 页,共 3 页 - - - - - - - - - 典型组网由于 DNS 服务器承载着大量的域名查询请求, 因此需要能够提供高性能的解决方案,确保不会成为网络中的瓶颈。迪普科技IPS 是目前全球性能最高的IPS 产 品,最高性能可达万兆,并且创新性的采用了并发硬件处理架构,并采用独有的 “ 并行流过滤引擎 ” 技术,性能不受特征库大小、策略数大小的影响,全部安全策略可以一次匹配完成,即使在特征库
10、不断增加的情况下,也不会造成性能的下降和网络时延的增加。同时在专业漏洞库的基础上, 集成了卡巴斯基病毒库和应用协议库,是针对系统漏洞、协议弱点、病毒蠕虫、DDoS 攻击、网页篡改、间谍软件、恶意攻击、流量异常等威胁的一体化应用层深度防御平台。迪普科技 DNS 安全防护解决方案目前已经规模应用于上海电信DNS 系统,为上海电信 DNS 的稳定运行提供了可靠的安全保障,同时也证明了迪普科技已经有能力为用户提供电信级的安全解决方案。名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 3 页,共 3 页 - - - - - - - - -