域名体系安全与防护策略研讨
万方数据丽黼日当前域名体蕞主■安全稚息分圻统栗用uD嚏现服务。uDP服务最窖岛遭受(1牌作系统嗣洞Dos,DDos攻击影响。黑客使用操作系统漏洞获取域名服务%登H埔E存巾毒攻击录权限,以获得域名系统重
万方数据丽黼日当前域名体蕞主■安全稚息分圻统栗用uD嚏现服务。uDP服务最窖岛遭受(1牌作系统嗣洞Dos,DDos攻击影响。黑客使用操作系统漏洞获取域名服务%登H埔E存巾毒攻击录权限,以获得域名系统重要信启或篡改配置黑客将域名缓存最统中的记录簋改为非法文件损坏主机系统.采用操作系统的服务器均结果u缓存中毒攻击主要原理是缓存系统中所有q能受到这类攻击。有数据均从外网其他授权域名服务器得到黑(2)非法域传送喜日充相关域乌授权服务器发送柏荚域名诸域传送是在多台域名服务器闸进行配置同采响应包至运苻商域名缓存服务器.运背商缓步的种机制.黑客利用Mzsm服务器向slave行服务器误认为是真f授权服务器发送的响应服务器进打配置目步时.使用非珐shvc服务而接收下来,井缓存在运营商域宅系统中.柑器,妖取拿邮域名配置信包。这些信包可能存荚域名数据就被篡改n用户通过缓存中毒域名在敏感设备地址或相关信息,为黑客进一步攻系统解析到∞域袁结果都屉键聪鳆过的.肌m击提供了依据。可将用户流量导向非法网站一影响网络安全。(3)DOS/DDos攻击唧放大式攻击黑客使用发包工其庄报短时间内P生大毓黑客通过跳板或杠扦向目标主机发送儿流解析请求包,同刚发送给域名系统。域名系统量数摧包,堵塞目标主机州络或电路。蠼营商将消耗^罱资源处理这些攻击请求将有限的域名系统目能台被黑霹用作攻击跳板,通过运系统资源消耗始尽.造成域名茉统址坪能力下营商域名系统枷被攻士目标主机发送大流量数降或瘫痪。DOS/DDoS攻击的目标就是使域名据乜,系统迟缓或瘫痪。用P发送给域名系统请求的数据包和搋量DOS/DDns攻击是FI目口域名系统面临醴”j以非常小.怛足域器系统近目给用户结果fl寸
,臼
DNS
c≤U翮acr_e?。臼“…“…3;璺』。,√黼嚣口;尹声,岛
j1_『i
◇∥;;夕沁一嘤万方数据q文//“5三
,电估技求
∞p∞曰
烈
j独
侧可选到60倍.即黑客向域名系统发送大量伪造琼IP地址的数据包实现《菏商域名系统向攻☆目标丰机发送放大8一们的倍数据流量。
23
DoS,DDOS攻击防护
陕日瞄通域名系统口采州最大解析
(鲫足够冗余存量
陕曲联通域名采统消除r鲁个环节的性能瓶颈,整个域名系统性能与域名服务器数量、性能成正比,具备平滑过硅到H万请求量系统的条件共有充足解析容量,在山理各种负载故障时.能够从容m对.
阈值尽宿减少D0s母D潮击的¥舶.
(1)有效的监控和同管茉统
管理员可实时r解、查看域名系统当前、∞史状眦,准确掌握域名乐统蟛行状态及存舟的隐患。
目陕西联通口蛙譬睦蛹鼬愀
21操作系统漏洞防御
酞日旺姐I)Ns}二簧是道址搬怍系统i拿加…柬_、现划芙安食q题f々蝻p±g包特XⅧ忙^…Fn:【补T“%等r脞.
器生
(∞采用分椎式集蛘架掬
嚷西联通域名系统采川基于
“)清除各类性能瓶颈
陕西联通域名系统经过了所有环节优化梢除rⅡ能精在十电龉、4层&防止墙设备卅*∞性能瓶颈隐患.在嚣类攻击发生后整个系统uf以高烛i搿7、,
^…川技术的分肃式集群集构
E
分布到牟肯5个地rH弛6十*点.*4构q有效抵抗DOS/DDo¥攻。b,域#
2
2非法域传送
调整BIND配置文件、限制
系统可迅速实现节点间流量的保护目换,目使出现Pt故障.域袁系统也可以将故障囱敢隔离在单个竹电内腓不会精_{!=省用户带来影响。
(5墚J11分布式戟佴安全待护黼
陕口联通粟用分布式蛾名安全防护
访问瑞u实现非法域传送攻击的防护。
幕统,币会臻cI-在个节点业荣蝴
I.进打j或名安全防护,而是分敞到多个
万方数据
,目墨甚卫臣E阻宝羞塞全堕垃助扫重萱监型~————
节点、多条电路多个服务器上寅时安能。垒省所有服务器均可以提供针对垒防护,实现r分散式处理机制.给整一个或多个1p地址域名解析服务。柯个系统带来强大抗攻击能力的捌时,系效屏蔽,隔离.减弱省内域名系统的统资源占用也达到r最低。DOS/DDo¥攻击;继续采用3层设备
发挥包交换能力强不会出现性能瓶
2.4缓存中毒,劫持预的优势;能够平滑扩容至百23QPS有效啊ll缓存中毒攻Ⅲ∞疗法是级的域名系统。
DNSS眠目坍r有域名女&进打数字箍名,
fMDNSSec规范Ⅱ4披熟。陵西嘲顶防3,3增加缓存中毒攻击防护系统埋存中毒,蜥}的方式±霉有呲f几种。分布式缓存攻击防护系统.可以‘1J采用H新版奉BIND转仑肯的缓存巾毒攻击分解到不同地晶新版本BlNDfBlND9^2以市。不同服务器上壳成桐关的判断和上)茉蛹。f以有效减少域若系统受班拦敝.诖系统荆断是针对缓存,Ir毒攻击的影响。击特^完成的,可以有做阻止缓存巾埘采用再点域名保护蕞缱毒及相关的衍生攻击行为。重点域名雠护系统。』以“j十重保
域名进行自动榆侧w拉障排除,比^3.4全新域名害虫和窖错系统工方式盟m有效.日速度鲤快。域名窖铅系统可以住域名系虢中
实时采集域名解析的正确结果.自动
25艟大式玻击更新最新域名数据到窖错数据库.相陵两联埔采州以下方,℃臧小放大据需哥设定争部或个别域名TTL.并式攻击蛤域名每统带来的影响。可定期请理和备份窖错数据。该系统(1)凋攘EDNSO协波可处理日常域名解析故障.大规模断谚工作方武。J以把放大式攻击可网,封锁以及大型眭册代理商系统崩能给域名基统带来的影响碱至最小,湍等各种影响域名系统安全和稳定的“目1所Ⅲ。书件.
∽采用虫食防护系统域书解析异常自动榆删功能.可陵西联西地名安全防护系统可有发现目为域名所有音问题引发的域名效谴小放大式攻女影响虹邕2所Ⅲ。系统故障。杆发生大规模事件时。J
自动或手动将容锚系统数据回注到缓
目计删采用刨新型的安全防存最统,避免解析景统崩册。域名容护系统错系统主要m客错数据处理巾C、、容口ft陆:rq“】m#名g,F口龟+十i镕域g解析P。ml系统、窖错域名监终#%”向H“目丝龇】】_{矗}≯捧系统和现有的域名解析缓存系统组目≮#会挂Ⅲ“T优*Ⅲ№成奔错薮据处理中心则可分为数据
%集系统和数据库系统两类。
31坚持Anv∞8t技术船构,实现容锗数据黼拄系统运行在现有域各地市分布式部署名解析缓存系统}.件将数据传送精仝靠j}t式涮mlM州j,¨辑锚数据处理中心.辑锆教据处理中
心将其整台处理詹提空给辑错域辑解
32坚持采用分布式安全防护系析Pom瞟绕使用.域名解析缓存系统统和架构则会使用容锚系统中的数据米优化现H有开地的负戟分一r1和FJ-lovc川』有的用户解析疏僵。
48万方数据T日fod㈣uN烈TDNSTECHNaoGⅥ2011-5(1)释错域名散据处理巾心容错域名数据处理中心对所有缀存服务器用户解析数据进行分析和处理.整古处理采集到的域名怙包,并棉相应解析结果记^数据库.谖系统还可以将数据庠中的结*提供给配置容错域名解析PomI系统使用。mf窑错数据处理中心T作较复杂,需要处理大量数据,田而可将鹾处理中心分成数据采燕、数据库两十于系统、部署在缓存系统上的容锚数据监控系统将用户解析数据传给窖锗数据处理中心的数据采集子系统.窖锗数据采徭干系统将该数据整台并得到相关解析结果.处理后的数据记入窖锚数据库子系统,井提交给容错域名解析Portal系统使用。㈣容罐域名孵析Pml系统为蛮现客锚域名数据和缓存服务理中心橼存系统阀建立客锚埔名解耩问的数据交换,需要在容错数据处析Poml系统.容错域名解析Pom僳缆从容错数据处理qt心得到相关数据.并提供给域名解析缓存系统使用。圆霹镨教撼啦控乐境容错数据监控系统是安装在现有】戎名解析缓存服务器中的软件模块,*模蟪将用户流量信自发送给容锚数摧处理中心∞数据采集于系统井完成处理.控制缓存服务器从喜锚域名解析P。Ⅲ】系统中得到可以优化当前用户流量的数据。容错数据监控系统收攥用户数据信息.传送给容错数据处理中心的数据采集子系统,控制本地缓存服务器从容错域名解析portal系统上获取数据,并对本地用户流帚进行ⅫW¥±自#★*自&^删,*&E…I!点生兰罂i匿………。
,
域名体系安全与防护策略研讨作者:
作者单位:
刊名:
英文刊名:
年,卷(期):刘保安, 鲍莉娅, 徐涛, 卜雨中国联合网络通信有限公司陕西省分公司电信技术TELECOMMUNICATIONS TECHNOLOGY2011(5)
本文链接:http://d.g.wanfangdata.com.cn/Periodical_dxjs201105011.aspx