4000594660 EN

解决方案

您的当前位置:网站首页 > 解决方案 > DNS防护解决方案

DNS防护解决方案

发布时间:2018-05-21

一、行业背景及需求

随着互联网业务的不断发展,行业竞争愈发激烈,网站之间的恶意攻击事件层出不穷,这些攻击经常采用虚假域名请求的方式,对对方域名服务器进行攻击。作为城域网中DNS请求的接收者,运营商DNS系统更是经常受到此类攻击,严重时导致全网互联网业务故障。2009年5月19日,由于DDoS攻击,全国6个省份DNS失效,在若干小时内无法正常上网(5.19事件)。与此同时,各类DNS安全问题依旧层出不穷,2009年6月22日,新网互联发表公告确认DNS解析服务器遭受攻击,2010年1月12日,百度DNS 服务遭受劫持攻击。这些安全问题除了给当事单位和公司造成经济损失外,也造成了巨大的信誉损害。
在网络中,典型的DNS攻击主要包括:

■ DNSQueryFlood攻击

专门针对DNS服务器的最常见DDoS攻击类型。黑客控制的僵尸网络主机不断发出DNS Query的查询包,查询的对象往往是不可能存在的域名,我们称这类攻击为虚假域名查询攻击。由于本地DNS的缓存中不存在这种域名解析,因此每个地址都需要进行完全的迭代查询,从而快速消耗递归服务器的性能。当这类攻击达到一定程度后,DNS服务器会出现CPU利用率上升、响应迟缓等现象,正常用户的查询请求就无法得到DNS服务器的响应。并且,这些虚假域名查询的域名/IP不断变化,进一步加大了阻拦的难度。

■ DNS缓存投毒
通常是针对缓存服务器进行的攻击。攻击者可以通过猜测DNS解析过程中的报文序列号和传输层端口号等字段来伪造DNS权威服务器的应答,从而恶意修改Cache(高速缓存)中的地址解析记录。此类攻击最终导致受到污染的DNS服务器将对外提供错误的解析结果,从而将用户牵引到错误的网络地址上,如钓鱼网站等。
■ 针对BIND系统的攻击
现在绝大部分DNS服务器都使用了BIND的系统,(由美国加州大学Berkeley分校开发的一款开放源码的DNS服务器软件,全名为Berkeley Internet Name Domain,简称BIND),BIND系统尽管现在已经进入到V9版本,并进行了一系列功能和性能的改进,但是受制于历史原因,并且由于现在DNS服务器已经数以万计,遍布全球,相互之间密切关联,很难统一进行大规模整改,因此,整个DNS系统长期面临着重大安全隐患。

DNS系统作为互联网业务的基础,重要性不言而喻。为了保证DNS系统的性能及可靠性,可以采取一些技术手段,主要包括:系统扩容和增加DNS处理性能;采用防火墙对系统进行防护;采用递归和缓存相分离的系统架构;基于IPAnycast的负载分担模式;对BIND系统本身进行安全加固等等。但上述这些手段大多只是提升了DNS系统本身的处理能力,并不能将各种恶意攻击报文,尤其是虚假域名攻击等阻挡在DNS系统之外。


二、迪普解决之道
迪普科技DNS防护系统,从提升DNS系统性能和增强系统防护能力两方面入手,形成了最为可靠的DNS系统防护解决方案。



组网方案:缓存服务节点内部组网方式采用IPAnycast或者四层交换机+服务器集群的方式。在组网上,迪普科技DNS防护方案采用透明串接方式部署,可平滑的接入上述两种组网模式中。

迪普DNS防护方案具备多种防护手段,可有效的保护DNS系统:
■ DDoS攻击防护
对DNS请求基于IP、地区、域名等维度进行统计,及时发现流量的异常变化;通过智能指纹识别、行为特征判断、客户端主动检测等手段对恶意报文和恶意用户进行甄别和阻断;除了对DNS Query Flood进行清洗外,还能够对TCP Flood、UDP Flood、SYN Flood、ICMPFlood、HTTP Get等各类DDoS攻击进行防御。
■ 流量限速
可基于IP、域名、请求类型等进行流量告警、限速等功能。例如按每源IP的QPS阈值进行攻击识别与防御,有效防御少量源发送大量DNS请求的攻击方式。按每Domain(全域名或者二/三级域名)的QPS阈值进行攻击识别与防御,有效防御类似暴风影音事件的发生。
请求类型过滤:DNS的请求有多种类型,正常的请求应该只包含查询请求,通过把查询域名的类型也加到判断规则中,可以实现基于请求类型的报文过滤。
■ DNS缓存
DNS防护设备同时具备DNS缓存能力,降低系统缓存服务性能要求,并能识别和过滤需要递归服务器处理的报文,从而有效保护递归服务器。
错误域名重定向

为了增强运营商流量经营的能力,可以将无效域名请求重定向到预先制定的网页上,增加流量经营的手段。


三、为什么选择迪普
■ 防护能力突出

迪普科技DNS防护设备具备多种防护技术,通过不同技术手段的组合,有效阻断各类针对DNS系统的攻击,包括阻断非法IP、非法UDP、非法DNS、PTR、DNS SD、缓存投毒、虚假域名等恶意攻击报文,提供基于IP、域名的QPS流量告警和限速等等。
■ 丰富的DNS业务特性
迪普科技DNS防护设备针对DNS业务进行深度开发,可提供大量高度定制化的业务,典型的定制化业务包括:错误域名重定向, DNS系统备份及流量转发,DNS流量分析及数据挖掘等。
■ 兼备安全防护能力和缓存能力
迪普科技DNS防护设备同时具备DNS缓存模块,可大幅降低DNS系统缓存服务的性能要求,并可对虚假域名造成的递归请求进行精确限制,有效保护递归服务器。
■ 高性能
迪普科技DNS防护设备具备百万级缓存响应能力、千万级安全防护能力,完全满足现有各大运营商省级DNS节点的性能要求,并满足未来业务的持续发展。
■ 一站式方案
迪普科技DNS防护设备可提供DNS防护、DNS Cache、负载均衡等功能的一站式解决方案,简化网络结构,降低系统运维管理难度,增强系统可靠性。