服务热线: 0769-23015555

服务器租用,服务器托管,云主机,IDC机房,云服务器,IDC提供商,唯一网络

冗余、健壮的 网络架构

拥有超过1500Gbps的带宽接入

为您提供从1M/s到10Gb/s的带宽接入

首页>唯一动态>DNS安全防护刻不容缓--2012年互联网 站长年会

DNS安全防护刻不容缓--2012年互联网 站长年会

发布时间:2012/4/19

     作为一年一度的创业者盛会,站长年会每年都会吸引数千名站长、互联网创业者、企业家等互联网精英参加,成为站长圈最具影响力的行业盛会。本届站长年会于2012年4月9日在北京召开,唯一网络副总经理许渊培先生受邀参会并发表了演讲。

      众所周知,DNS是全球互联网的基石,同时也是全球互联网通信的基础,基于互联网的各种应用例如Web服务、Email服务等都直接或者间接依赖DNS。一旦DNS出现故障,则会导致整个互联网陷入瘫痪。也正因为如此,著名的黑客组织Anonymous扬言要在3月31日攻击13个DNS根服务器,以达到使整个互联网瘫痪的目的。

     让我们先来回顾一下,在近些年由于DNS服务所导致的安全事件:

     2009年5月19日,国内知名DNS服务提供商DNSPod遭受DDoS攻击,加上暴风影音软件存在的问题,直接导致了罕见的中国六省长时间断网事件。此次攻击事件造成电信南方6省DNS服务器完全瘫痪,其它省市也受到不同程度的影响;

     2010年1月12日,百度DNS被劫持,造成其网站数小时内无法被访问。

     2010年8月7日,国际知名DNS服务提供商DNS Made Easy受到DDoS攻击,流量高达50G,造成1.5小时的服务宕机;

     2012年3月9日,域名停放公司Sedo受到DDoS攻击,造成了其域名停放服务停机3小时;

 

     DNS作为目前全球最大且复杂的分布式层次数据库系统,由于其开放、庞大的特性以及设计之初对于安全性的考虑不足,DNS系统一直面临着严重的安全威胁。而在国内,情况则严重的多,据权威机构发表的报告显示,我国57%的网站域名解析服务处于有风险的状态,其中11.8%的域名因配置管理不当,处于较高风险状态。国内4.2%的递归域名服务器端口随机性较差,容易遭受DNS劫持攻击,远高于全球范围0.98%的平均水平
     在现阶段,DNS服务所面临的安全挑战主要源自如下三个方面:
     a) 软件漏洞:BIND是最常用的DNS服务软件,基本可以称为是DNS的标准,绝大部分的DNS服务器都是基于BIND,目前13台根服务器中有10台使用的是BIND。BIND提供高效服务的同时也存在着众多的安全性漏洞。2009年7月底被披露的“Bind9”高危漏洞,影响波及全球数万台域名解析服务器;
     b) DNS欺骗:DNS欺骗是最常见的DNS安全问题之一。攻击者通常通过缓存污染、DNS信息劫持和DNS重定向等三种方法进行DNS欺骗,最终将虚假的结果返回给用户;
     c) DDoS攻击:可根据攻击发起者和攻击特征进行分类:
     ?按攻击发起者分类
            僵尸网络:控制大批僵尸网络利用真实DNS协议栈发起大量域名查询请求;
            模拟工具:利用工具软件伪造源IP发送海量DNS查询;
     ?按攻击特征分类
            Flood攻击:发送海量DNS查询报文导致网络带宽耗尽而停止服务响应;
            资源消耗攻击:发送大量非法域名查询报文引起DNS服务器持续进行迭代查询,从而达到较少的攻击流量消耗大量服务器资源的目的;

     相比显性的网络欺诈和病毒攻击,针对DNS服务的攻击影响范围更大,损失更为惨重。回顾过去几年的DNS重大安全事件中,都有大量的站点无辜遭受牵连。因此构建完善的DNS安全体系,为用户提供高可靠性,可用性和连续性的DNS服务,保障DNS安全已经刻不容缓。

     唯一网络作为国内率先从事互联网接入服务和专业软件开发的企业,在长期的经营活动中建立了高效的运维团队,建立了完善的流程并积累了丰富的实践经验。通过软件及服务器安全、预警及监控、网络安全运维及管理体系等方面,为域名服务商和所有域名持有者提供专业的整体安全防护方案。唯一网络在湛江、厦门、东莞三地的数据中心均部署了万兆级硬件防火墙集群,防护能力超过120Gbps,可有效防护SYN Flood、ACK Flood、ICMP Flood、UDP Flood的DDOS攻击和多种类混合攻击。
 


     针对DNS服务的特性,唯一网络建议DNS服务提供商在按照如下几点进行DNS服务器部署:

     1. 在数据中心部署上,采用多数据中心冗余部署的方案,避免数据中心单点故障,例如同时在多个数据中心部署DNS服务集群;
     2. 在数据中心内部采取多台DNS服务器冗余部署,避免单台服务器故障;
     3. 在数据中心内部采取立体式防护部署,利用硬件防火墙集群,在汇聚层上部署大流量清洗中心,在DNS服务器前端部署专用DNS网关,;利用专用DNS网关,有效的应对伪造源IP查询攻击、DNS Query Flood等攻击,确保DNS服务器的高效和稳定地对外提供服务。;

     3月31日已经过去,全球互联网并未在这一天彻底瘫痪,但这无疑是在所有互联网从业者的耳边再次敲响了警钟,互联网服务的安全需要自IDC接入服务提供商、域名服务提供商直至广大用户共同来捍卫。毫不夸张的说,保障DNS服务安全就是捍卫互联网的明天!而不管对企业或是个人站长而言,将域名托付给专业的DNS服务提供商,也是在捍卫企业和自己的明天。