搜索
当前位置: 大赢家官网 > 递归查询 >

泰策安全分析:DNS安全防护技术

gecimao 发表于 2019-04-18 14:19 | 查看: | 回复:

  DNS服务是互联网的一项核心的服务,有着举足轻重的地位,可以说是互联网的基石。几乎所有的互联网应用都需要DNS,几乎所有的互联网用户都在随时随地使用DNS。随着黑客技术的发展,通过DNS服务进行攻击的事件日益猖狂

  DNS服务是互联网的一项核心的服务,有着举足轻重的地位,可以说是互联网的基石。几乎所有的互联网应用都需要DNS,几乎所有的互联网用户都在随时随地使用DNS。随着黑客技术的发展,通过DNS服务进行攻击的事件日益猖狂,针对DNS的安全威胁主要有DDoS攻击、服务失败攻击、递归攻击、缓存投毒、域名劫持和缓存窥探。

  DoS攻击是利用合理的服务请求来占用过多的服务资源,从而使合法用户无法得到服务的响应。DDoS攻击手段是在传统的DoS攻击基础之上产生的一类攻击方式,即利用更多的傀儡机(肉鸡)形成僵尸网络来发起进攻,以比之前更大的规模来攻击受害者。针对DDoS攻击,泰策提供多种过滤和限速策略,确保各种异常的请求包不会影响正常的DNS解析,比如DNS节点整体请求限速;按请求域名、源IP请求限速;异常请求包(如伪造成53端口的请求包)的直接丢弃;异常回复包的直接丢弃(杠杆攻击)等。我们专门的基于多核的硬件架构的安全防护产品Protector,在高性能的安全防护的基础上,可提供全面的一般性DDoS攻击防护和深入的DNS的攻击防护。

  服务失败攻击是应用程序在得到DNS的否定应答后会连续不断的发出同样的请求的一种攻击方式。针对服务失败攻击,泰策对RFC2308中描述的Negative Cache扩展进行了实现。通过让用户缓存服务失败和网络失败的DNS应答,避免类似暴风影音这样的事件发生。在具备该功能的前提下,暴风事件就不会导致网络失败,Negative Cache会让暴风保存失败的解析记录,确保暴风不会连续不断的发出DNS请求。

  递归攻击主要是针对DNS服务的攻击,属于拒绝服务攻击的一种。攻击者发送大量的随机域名(通常为不存在的域名或无法响应的域名)递归查询请求,递归服务器因得不到响应而重复多次查询,导致资源耗尽无法提供正常服务。针对递归攻击,泰策的DNS产品特别设计了一套递归淘汰机制,该机制可在递归资源几乎都被占用时,通过递归淘汰算法判断出可能是黑客发出的攻击递归请求,并释放这些递归资源。

  DNS缓存投毒是攻击者利用软件漏洞或者名字服务器配置错误,向DNS服务器缓存注入大量错误的数据并能够将错误数据散播到别的服务器,从而引起更多DNS服务器中毒的一种攻击形式。由于缓存中错误数据是由处于不良目的的攻击者所故意伪造的,合法的DNS请求方在收到应答后将被指向一个已被攻击者控制的服务器,访问某个特定网站或者带有计算机病毒的文件等。另外,由于DNS服务器的forward功能,遭受缓存中毒的DNS服务器还有可能将错误的记录发送给其他DNS服务器,从而导致更多的DNS服务器中毒。针对缓存投毒攻击,泰策的DNS产品采用0x20+技术,提供隐藏递归IP的功能,同时随机递归ID号可达216。0X20是IETF的一个DNS安全加固方案,该技术匹配请求包和回复包的大小写,如果大小不匹配则丢弃;对于一个10个字符串的域名,0X20会产生210不同字符串,当然0X20也有一定的局限性,有部分授权DNS服务器不支持大小写混合应答,这样会导致存储在这些授权服务器里的域名不能被支持0X20的DNS服务器解析,泰策通过对0X20进行完善解决了这个问题。在不采用0X20技术+的情况下,黑客只需要猜测DNS请求的端口号和ID号,而采用0X20后黑客还需要猜测DNS请求域名的大小写顺序。经过以上措施,攻击者需要在2秒内发送4万亿个攻击包才有可能使缓存中毒。

  域名劫持是通过采用非法手段获得某一个域的管理权限,然后将该域名的IP地址篡改至其他的主机。域名被劫持后,不仅有关该域名的记录会被改变,甚至该域名的所有权可能会旁落他人。针对域名劫持,泰策的DNS产品对重点域名(通过接口定义,可为配置文件,也可为单个记录)的资源记录进行监测,同时定义重点域名对应的IP地址群(经过人工校验后确认的数据),当有变化的时候,且变化后的内容不在给定的IP地址群中,则输出日志,发送告警信息。或者变化后的内容不包含IP地址群中指定的IP,则输出日志,发送告警信息。在具备该功能的前提下,Baidu被劫持事件会在第一时间被发现。

  缓存窥探是确定某一个资源记录是否存在于一个特定的DNS缓存中的过程。通过这个过程攻击者可以得到一些信息,例如解析器处理了哪些域名查询等。DNS递归服务器接收到一个没有设置递归位的域名查询,当它对该查询进行响应时,就会为一个远程攻击者提供一次窥探的机会,使攻击者能够确定最近该服务器对哪些域名进行了解析,更进一步,有哪些主机站点被访问过。因此,通过DNS缓存窥探,攻击者可以发现例如B2B商业伙伴、网络用户行为模式、外部邮件服务器等重要信息。针对缓存窥探攻击,泰策的DNS产品采用默认TTL策略,该策略使得递归服务器从权威服务器获取记录以及其对应的TTL时,可随机地对TTL进行设置。开启该策略后,其它策略中设置的TTL值都不生效,最终响应消息中的TTL值以此策略设置的为准,这样黑客仅利用递归查询也不可能进行DNS缓存窥探。

  这对这些DNS攻击,泰策安全方案的应用,可以大大提高DNS的安全性和可靠性。但网络的发展和应用日新月异,在实践中还要不断紧跟技术变化的步伐,不断学习和总结才能有效抵御各种新类型的DNS故障。

  手机行业进入科技高阶竞争阶段,自研成必然趋势。华为荣耀占位自研科技前行着,荣耀Magic2 3D感光版再...

  距离2018MIDC小米AIoT开发者大会还有两天,这场牵动全行业神经的盛会有多火爆?今日,小米集团公关部总...

  靓丽的Q3财报发布之后,小米紧接着宣布小米将于下周的11月28日举办小米AIoT开发者大会,为科技行业与资...

  11月20日,在JDD-2018京东数字科技全球探索者大会上,CEO陈生强宣布,“京东金融”品牌正式升级为“京东...

  刚刚,腾讯发布了2018年第三季度财报,各项业务营运表现保持迅猛。总收入为805 95亿,同比增长24%,按...

  随着零点钟声的敲响,18年双十一购物季落下帷幕。小米公司公布的数据显示,小米双十一全渠道销售额突破...

  双十一当天,小米新零售全渠道支付金额突破52 5亿,共斩获128项冠军。其中,含金量最高的天猫品牌旗舰...

本文链接:http://miamiaccounting.net/diguichaxun/128.html
随机为您推荐歌词

联系我们 | 关于我们 | 网友投稿 | 版权声明 | 广告服务 | 站点统计 | 网站地图

版权声明:本站资源均来自互联网,如果侵犯了您的权益请与我们联系,我们将在24小时内删除。

Copyright @ 2012-2013 织梦猫 版权所有  Powered by Dedecms 5.7
渝ICP备10013703号  

回顶部