運營商DNS安全解決方案
責編:admin |2014-12-29 15:10:55解決方案概述
業務挑戰
域名系統(DNS)作為互聯網基礎設施,在互聯網服務中占據著越來越重要的地位,保障域名系統安全運行對于維護互聯網安全、提升客戶感知具有重要意義。
由于遭受攻擊、配置不當、維護問題等原因,可能造成DNS的業務異常,主要的業務異常包括服務可用性異常、解析結果異常、其他異常等等;對于安全威脅而言,DNS面臨的主要安全攻擊可以分為四類:拒絕服務類攻擊、數據篡改類攻擊、隱私類攻擊、其他類攻擊:
拒絕服務類攻擊
主要包括針對DNS的拒絕服務類攻擊(包括偽造源IP DNS攻擊、DNS畸形包DoS攻擊、DNS Query Flood、隨機域名DNS Query Flood、UDP Flood、TCP(SYN、ACK、Connection) Flood等等)、利用DNS的拒絕服務類攻擊(反射攻擊、放大攻擊)、流量異常類拒絕服務類攻擊、緩沖區溢出類拒絕服務攻擊等。
數據篡改類攻擊
包括緩存中毒(或DNS欺騙)(Cache Poisoning or DNS Spoofing)、域名劫持(Domain Name Hijacking)中間人攻擊(Man in the Middle Attack)。
隱私類攻擊
主要有緩存窺探(Cache Snooping)等。
其他類攻擊
主要包括Fast Flux網絡等。
解決之道
綠盟科技運營商DNS安全整體解決方案,從安全評估、安全防護、安全運維三個階段,來對DNS的業務進行全面整體的防護,方案框架如下圖所示:
DNS安全整體防護思路
綠盟科技運營商建DNS安全解決方案的部署方式如下圖所示:
DNS立體防護體系示意圖
從上圖中可以看出,整個DNS系統的立體防護體系由三個層次構成,分別是:
骨干層防護:運營商骨干網部署流量清洗中心,進行大流量級清洗;
系統專項防護:在DNS系統前部署DNS專項防護系統,進行有針對性的細粒度的清洗;該產品綠盟科技基于長期對DDoS攻防研究、DNS安全研究的積累,采用DNS專項DDoS防護算法、安全域名緩存技術、DNS安全監控等技術,為DNS服務系統提供專項的安全監控、攻擊威脅消除、DNS漏洞補丁、域名管理和監控等功能,實現對DNS服務器、域名數據全面監控和保護的目標。
安全基線管理:安全基線檢查工具,用于日常安全檢查評估工作。
方案優勢
針對性域名控制,杜絕類似5.19事件的再次發生,保障DNS平穩運行
從骨干網、DNS系統、安全基線管理三個方面,給出了完整的DNS安全解決方案
以DNS業務保障為根本出發點,基于業務異常的發現、監測、處理,實現了對DNS系統的實時全面監控
使運營商的DNS系統可以精準抵御各類攻擊、保障DNS解析正確
下一篇:華為民生銀行解決方案