随着信息化的高速发展,目前的网络安全现状和前几年相比,已经发生了很大的改变。蠕虫、病毒、木马、漏洞攻击、DDoS攻击等威胁互相结合,对网络的稳定运行和应用安全造成了较大的威胁和不良影响。其中针对DNS(域名服务器,Domain Name Service)的攻击也已成为最严重的威胁之一。DNS是Internet的重要基础,包括WEB访问、Email服务在内的众多网络服务都和DNS息息相关,因此DNS的安全直接关系到整个互联网应用能否正常使用。
DNS系统面临的安全威胁
作为当前全球最大最复杂的分布式层次数据库系统,由于其开放、庞大、复杂的特性以及设计之初对于安全性的考虑不足,再加上人为攻击和破坏,DNS系统面临非常严重的安全威胁,因此如何解决DNS安全问题并寻求相关解决方案是当今DNS亟待解决的问题。DNS安全防护主要面临如下威胁:
■ 对DNS的DDoS攻击
DDoS (Distributed Denial of Service)攻击通过僵尸网络利用各种服务请求耗尽被攻击网络的系统资源,造成被攻击网络无法处理合法用户的请求。而针对DNS的DDoS攻击又可按攻击发起者和攻击特征进行分类。
□ 按攻击发起者分类
僵尸网络:控制大批僵尸网络利用真实DNS协议栈发起大量域名查询请求
模拟工具:利用工具软件伪造源IP发送海量DNS查询
□ 按攻击特征分类
Flood攻击:发送海量DNS查询报文导致网络带宽耗尽而无法传送正常DNS 查询请求
资源消耗攻击:发送大量非法域名查询报文引起DNS服务器持续进行迭代查询,从而达到较少的攻击流量消耗大量服务器资源的目的
■ DNS欺骗
DNS欺骗是最常见的DNS安全问题之一。当一个DNS服务器由于自身的设计缺陷,接收了一个错误信息,那么就将做出错误的域名解析,从而引起众多安全问题,例如将用户引导到错误的互联网站点,甚至是一个钓鱼网站;又或者发送一个电子邮件到一个未经授权的邮件服务器。攻击者通常通过三种方法进行DNS欺骗:
□ 缓存污染:击者采用特殊的DNS请求,将虚假信息放入DNS的缓存中
□ DNS信息劫持:攻击者监听DNS会话,猜测DNS服务器响应ID,抢先将虚假的响应提交给客户端
□ DNS重定向:将DNS名称查询重定向到恶意DNS服务器
■ 系统漏洞众多
BIND(Berkeley Internet Name Domain)是最常用的DNS服务软件,具有广泛的使用基础,Internet上的绝大多数DNS服务器都是基于这个软件的。BIND提供高效服务的同时也存在着众多的安全性漏洞。,CNCERT/CC在2009年安全报告中指出:2009年7月底被披露的“ Bind9 ”高危漏洞,影响波及全球数万台域名解析服务器,我国有数千台政府和重要信息系统部门、基础电信运营企业以及域名注册管理和服务机构的域名解析服务器受到影响。
除此之外,DNS服务器的自身安全性也是非常重要。目前主流的操作系统如Windows、UNIX、Linux均存在不同程度的系统漏洞和安全风险,而补丁的管理也是安全管理工作中非常重要和困难的一个组成部分,因此针对操作系统的漏洞防护也是DNS安全防护工作中的重点。
迪普解决之道
迪普科技基于多年在网络安全领域的研究与积累,通过DPtech IPS产品的有效部署,从DDoS攻击防护和专业的漏洞库两方面来解决上述问题,为用户提供全面的DNS安全防护解决方案。
■ 全面的DDoS攻击防护
目前业界主流的针对DNS的DDoS攻击识别,通常采用判断DNS请求流量阈值的方法来判断发生攻击,这种判断方法有以下局限:
□ 热点事件产生的正常DNS请求流量超限的情况,容易产生误报
□ 针对通过非法域名以小博大的攻击方法,由于其流量未超限会产生漏报
迪普科技采用智能的DNS DDoS攻击识别技术,通过实时分析DNS解析失败率、DNS响应报文与请求报文的比例关系等方法,准确识别各种针对DNS的DDoS攻击,避免产生漏报和误报,并且通过专业的线性DNS攻击防御技术和离散DNS攻击防御技术有效的防御了DNS DDoS攻击。
同时,迪普科技还通过流量异常检测、SYN Cookie、SYN Proxy、连接限制、连接速率限制等技术实现了全面的TCP Flood、UDP Flood、SYN Flood、ICMP Flood、HTTP Get、CC等DDoS攻击防御,全面确保了DNS服务器不会受到DDoS攻击。
■ 专业的漏洞库,及时有效的升级机制
针对DNS欺骗和系统漏洞的防护,最有效的办法是能够准确识别各种协议异常和攻击行为。传统的攻击识别方式是通过定义攻击行为的特征来实现对已知攻击的检测,这种方式实现起来很简单,但是会导致误报较多,无法准确的识别攻击。迪普科技专业的漏洞库,通过分析攻击产生原理,定义攻击类型的统一特征的方式来识别攻击,这种方式不受攻击变种的影响,具有较高的技术门槛,但是可以将误报降至最低。迪普科技专业的漏洞库可以为DNS服务提供“虚拟系统补丁”的功能,即使DNS服务器未能及时更新补丁程序,依然能有效地阻挡所有企图利用特定漏洞进行的攻击,可以在几分钟内完成部署,保护DNS系统不受攻击。迪普科技专家团队及时跟踪业界动态,并且为微软MAPP计划合作伙伴,对最新产生的攻击可以以最快速度升级漏洞库,避免受到零日攻击的威胁。
典型组网
由于DNS服务器承载着大量的域名查询请求,因此需要能够提供高性能的解决方案,确保不会成为网络中的瓶颈。迪普科技IPS是目前全球性能最高的IPS产品,最高性能可达万兆,并且创新性的采用了并发硬件处理架构,并采用独有的“并行流过滤引擎”技术,性能不受特征库大小、策略数大小的影响,全部安全策略可以一次匹配完成,即使在特征库不断增加的情况下,也不会造成性能的下降和网络时延的增加。同时在专业漏洞库的基础上,集成了卡巴斯基病毒库和应用协议库,是针对系统漏洞、协议弱点、病毒蠕虫、DDoS攻击、网页篡改、间谍软件、恶意攻击、流量异常等威胁的一体化应用层深度防御平台。