解决方案概述
业务挑战
域名系统(DNS)作为互联网基础设施,在互联网服务中占据着越来越重要的地位,保障域名系统安全运行对于维护互联网安全、提升客户感知具有重要意义。
由于遭受攻击、配置不当、维护问题等原因,可能造成DNS的业务异常,主要的业务异常包括服务可用性异常、解析结果异常、其他异常等等;对于安全威胁而言,DNS面临的主要安全攻击可以分为四类:拒绝服务类攻击、数据篡改类攻击、隐私类攻击、其他类攻击:
拒绝服务类攻击
主要包括针对DNS的拒绝服务类攻击(包括伪造源IP DNS攻击、DNS畸形包DoS攻击、DNS Query Flood、随机域名DNS Query Flood、UDP Flood、TCP(SYN、ACK、Connection) Flood等等)、利用DNS的拒绝服务类攻击(反射攻击、放大攻击)、流量异常类拒绝服务类攻击、缓冲区溢出类拒绝服务攻击等。
数据篡改类攻击
包括缓存中毒(或DNS欺骗)(Cache Poisoning or DNS Spoofing)、域名劫持(Domain Name Hijacking)中间人攻击(Man in the Middle Attack)。
隐私类攻击
主要有缓存窥探(Cache Snooping)等。
其他类攻击
主要包括Fast Flux网络等。
解决之道
绿盟科技运营商DNS安全整体解决方案,从安全评估、安全防护、安全运维三个阶段,来对DNS的业务进行全面整体的防护,方案框架如下图所示:
DNS安全整体防护思路
绿盟科技运营商建DNS安全解决方案的部署方式如下图所示:
DNS立体防护体系示意图
从上图中可以看出,整个DNS系统的立体防护体系由三个层次构成,分别是:
骨干层防护:运营商骨干网部署流量清洗中心,进行大流量级清洗;
系统专项防护:在DNS系统前部署DNS专项防护系统,进行有针对性的细粒度的清洗;该产品绿盟科技基于长期对DDoS攻防研究、DNS安全研究的积累,采用DNS专项DDoS防护算法、安全域名缓存技术、DNS安全监控等技术,为DNS服务系统提供专项的安全监控、攻击威胁消除、DNS漏洞补丁、域名管理和监控等功能,实现对DNS服务器、域名数据全面监控和保护的目标。
安全基线管理:安全基线检查工具,用于日常安全检查评估工作。
方案优势
针对性域名控制,杜绝类似5.19事件的再次发生,保障DNS平稳运行
从骨干网、DNS系统、安全基线管理三个方面,给出了完整的DNS安全解决方案
以DNS业务保障为根本出发点,基于业务异常的发现、监测、处理,实现了对DNS系统的实时全面监控
使运营商的DNS系统可以精准抵御各类攻击、保障DNS解析正确
下一篇:华为民生银行解决方案