DNS是Internet的重要基礎，包括WEB訪問、Email服務在內的眾多網絡服務都和DNS息息相關，DNS的安全直接關系到整個互聯(lián)網應用能否正常使用。近年來，針對DNS的攻擊越來越多，影響也越來越大，因此如何保護DNS系統(tǒng)的安全就成為了目前互聯(lián)網安全的首要問題之一。

DNS安全威脅分析

作為當前全球最大最復雜的分布式層次數(shù)據(jù)庫系統(tǒng)，由于其開放、龐大、復雜的特性以及設計之初對于安全性的考慮不足，再加上人為攻擊和破壞，DNS系統(tǒng)面臨非常嚴重的安全威脅，因此如何解決DNS安全問題并尋求相關解決方案是當今DNS亟待解決的問題。DNS安全防護主要面臨如下威脅：

針對DNS的DDoS攻擊

DDoS （Distributed Denial of service）攻擊通過僵尸網絡利用各種服務請求耗盡被攻擊網絡的系統(tǒng)資源，造成被攻擊網絡無法處理合法用戶的請求。而針對DNS的DDoS攻擊又可按攻擊發(fā)起者和攻擊特征進行分類。主要表現(xiàn)特征如下：

按攻擊發(fā)起者分類

僵尸網絡：控制僵尸網絡利用真實DNS協(xié)議棧發(fā)起大量域名查詢請求

模擬工具：利用工具軟件偽造源IP發(fā)送海量DNS查詢

按攻擊特征分類

Flood攻擊：發(fā)送海量DNS查詢報文導致網絡帶寬耗盡而無法傳送正常DNS 查詢請求

資源消耗攻擊：發(fā)送大量非法域名查詢報文引起DNS服務器持續(xù)進行迭代查詢，從而達到較少的攻擊流量消耗大量服務器資源的目的

DNS欺騙

DNS欺騙是最常見的DNS安全問題之一。當一個DNS服務器由于自身的設計缺陷，接收了一個錯誤信息，那么就將做出錯誤的域名解析，從而引起眾多安全問題，例如將用戶引導到錯誤的互聯(lián)網站點，甚至是一個釣魚網站；又或者發(fā)送一個電子郵件到一個未經授權的郵件服務器。攻擊者通常通過三種方法進行DNS欺騙：

緩存污染 ：攻擊者采用特殊的DNS請求，將虛假信息放入DNS的緩存中

DNS信息劫持 ：攻擊者監(jiān)聽DNS會話，猜測DNS服務器響應ID，搶先將虛假的響應提交給客戶端

DNS重定向 ：將DNS名稱查詢重定向到惡意DNS服務器

系統(tǒng)漏洞眾多

BIND(Berkeley Internet Name Domain)是是最常用的DNS服務軟件，具有廣泛的使用基礎，Internet上的絕大多數(shù)DNS服務器都是基于這個軟件的。BIND提供高效服務的同時也存在著眾多的安全性漏洞。，CNCERT/CC在2009年安全報告中指出：2009年7月底被披露的"Bind9"高危漏洞，影響波及全球數(shù)萬臺域名解析服務器，我國有數(shù)千臺政府和重要信息系統(tǒng)部門、基礎電信運營企業(yè)以及域名注冊管理和服務機構的域名解析服務器受到影響。

除此之外，DNS服務器的自身安全性也是非常重要。目前主流的操作系統(tǒng)如Windows、UNIX、Linux均存在不同程度的系統(tǒng)漏洞和安全風險，而補丁的管理也是安全管理工作中非常重要和困難的一個組成部分，因此針對操作系統(tǒng)的漏洞防護也是DNS安全防護工作中的重點。

DNS系統(tǒng)DDoS攻擊防護

目前業(yè)界主流的針對DNS的DDoS攻擊識別，通常采用判斷DNS請求流量閾值的方法來判斷發(fā)生攻擊，這種判斷方法有以下局限：

熱點事件產生的正常DNS請求流量超限的情況，容易產生誤報

針對通過非法域名以小博大的攻擊方法，由于其流量未超限會產生漏報

迪普科技采用智能的DNS DDoS攻擊識別技術，通過實時分析DNS解析失敗率、DNS響應報文與請求報文的比例關系等方法，準確識別各種針對DNS的DDoS攻擊，避免產生漏報和誤報，并且通過專業(yè)的線性DNS攻擊防御技術和離散DNS攻擊防御技術有效的防御了DNS DDoS攻擊。

同時，迪普科技還通過流量異常檢測、SYN Cookie、SYN Proxy、連接限制、連接速率限制等技術實現(xiàn)了全面的TCP Flood、UDP Flood、SYN Flood、ICMP Flood、HTTP Get、CC等DDoS攻擊防御，全面確保了DNS服務器不會受到DDoS攻擊。

DNS協(xié)議異常防護與漏洞防護

針對DNS欺騙和系統(tǒng)漏洞的防護，最有效的辦法是能夠準確識別各種協(xié)議異常和攻擊行為。

傳統(tǒng)的攻擊識別方式是通過定義攻擊行為的特征來實現(xiàn)對已知攻擊的檢測，這種方式實現(xiàn)起來很簡單，但是會導致誤報較多，無法準確的識別攻擊。迪普科技專業(yè)的漏洞庫，通過分析攻擊產生原理，定義攻擊類型的統(tǒng)一特征的方式來識別攻擊，這種方式不受攻擊變種的影響，具有較高的技術門檻，但是可以將誤報降至最低。

迪普科技專業(yè)的漏洞庫可以為DNS服務提供"虛擬系統(tǒng)補丁"的功能，即使DNS服務器未能及時更新補丁程序，依然能有效地阻擋所有企圖利用特定漏洞進行的攻擊，可以在幾分鐘內完成部署，保護DNS系統(tǒng)不受攻擊保護DNS系統(tǒng)。迪普科技專家團隊及時跟蹤業(yè)界動態(tài)，并且為微軟MAPP計劃合作伙伴，對最新產生的攻擊可以以最快速度升級漏洞庫，避免受到零日攻擊的威脅。

典型組網

同時，由于DNS服務器承載著大量的域名查詢請求，因此也需要能夠提供高性能的解決方案，確保不會成為網絡中的瓶頸。迪普科技IPS是目前性能最高的IPS產品，最高性能可達萬兆，并且創(chuàng)新性的采用了并發(fā)硬件處理架構，并采用獨有的"并行流過濾引擎"技術，性能不受特征庫大小、策略數(shù)大小的影響，全部安全策略可以一次匹配完成，即使在特征庫不斷增加的情況下，也不會造成性能的下降和網絡時延的增加。同時在專業(yè)漏洞庫的基礎上，集成了卡巴斯基病毒庫和應用協(xié)議庫，是針對系統(tǒng)漏洞、協(xié)議弱點、病毒蠕蟲、DDoS攻擊、網頁篡改、間諜軟件、惡意攻擊、流量異常等威脅的一體化應用層深度防御平臺。

DNS安全防護典型組網

迪普科技DNS安全防護解決方案目前已經規(guī)模應用于上海電信DNS系統(tǒng)，為上海電信DNS的穩(wěn)定運行提供了可靠的安全保障，同時也證明了迪普科技已經有能力為用戶提供電信級的安全解決方案。