成功案例当前位置:首页 > 成功案例 泰策安全分析:DNS安全防护技术 发布时间:2021-10-23 10:17:33 阅读:次 来源:水泥罐除尘器厂家 DNS服务是互联网的一项核心的服务,有着举足轻重的地位,可以说是互联网的基石。几乎所有的互联网应用都需要DNS,几乎所有的互联网用户都在随时随地使用DNS。随着黑客技术的发展,通过DNS服务进行攻击的事件日益猖狂,针对DNS的安全威胁主要有DDoS攻击、服务失败攻击、递归攻击、缓存投毒、域名劫持和缓存窥探。DoS攻击是利用合理的服务请求来占用过多的服务资源,从而使合法用户无法得到服务的响应。DDoS攻击手段是在传统的DoS攻击基础之上产生的一类攻击方式,即利用更多的傀儡机(肉鸡)形成僵尸网络来发起进攻,以比之前更大的规模来攻击受害者。针对DDoS攻击,泰策提供多种过滤和限速策略,确保各种异常的请求包不会影响正常的DNS解析,比如DNS节点整体请求限速;按请求域名、源IP请求限速;异常请求包(如伪造成53端口的请求包)的直接丢弃;异常回复包的直接丢弃(杠杆攻击)等。我们专门的基于多核的硬件架构的安全防护产品Protector,在高性能的安全防护的基础上,可提供全面的一般性DDoS攻击防护和深入的DNS的攻击防护。服务失败攻击是应用程序在得到DNS的否定应答后会连续不断的发出同样的请求的一种攻击方式。针对服务失败攻击,泰策对RFC2308中描述的Negative Cache扩展进行了实现。通过让用户缓存服务失败和网络失败的DNS应答,避免类似暴风影音这样的事件发生。在具备该功能的前提下,暴风事件就不会导致网络失败,Negative Cache会让暴风保存失败的解析记录,确保暴风不会连续不断的发出DNS请求。递归攻击主要是针对DNS服务的攻击,属于拒绝服务攻击的一种。攻击者发送大量的随机域名(通常为不存在的域名或无法响应的域名)递归查询请求,递归服务器因得不到响应而重复多次查询,导致资源耗尽无法提供正常服务。针对递归攻击,泰策的DNS产品特别设计了一套递归淘汰机制,该机制可在递归资源几乎都被占用时,通过递归淘汰算法判断出可能是黑客发出的攻击递归请求,并释放这些递归资源。DNS缓存投毒是攻击者利用软件漏洞或者名字服务器配置错误,向DNS服务器缓存注入大量错误的数据并能够将错误数据散播到别的服务器,从而引起更多DNS服务器中毒的一种攻击形式。由于缓存中错误数据是由处于不良目的的攻击者所故意伪造的,合法的DNS请求方在收到应答后将被指向一个已被攻击者控制的服务器,访问某个特定网站或者带有计算机病毒的文件等。另外,由于DNS服务器的forward功能,遭受缓存中毒的DNS服务器还有可能将错误的记录发送给其他DNS服务器,从而导致更多的DNS服务器中毒。针对缓存投毒攻击,泰策的DNS产品采用0x20+技术,提供隐藏递归IP的功能,同时随机递归ID号可达216。0X20是IETF的一个DNS安全加固方案,该技术匹配请求包和回复包的大小写,如果大小不匹配则丢弃;对于一个10个字符串的域名,0X20会产生210不同字符串,当然0X20也有一定的局限性,有部分授权DNS服务器不支持大小写混合应答,这样会导致存储在这些授权服务器里的域名不能被支持0X20的DNS服务器解析,泰策通过对0X20进行完善解决了这个问题。在不采用0X20技术+的情况下,黑客只需要猜测DNS请求的端口号和ID号,而采用0X20后黑客还需要猜测DNS请求域名的大小写顺序。经过以上措施,攻击者需要在2秒内发送4万亿个攻击包才有可能使缓存中毒。域名劫持是通过采用非法手段获得某一个域的管理权限,然后将该域名的IP地址篡改至其他的主机。域名被劫持后,不仅有关该域名的记录会被改变,甚至该域名的所有权可能会旁落他人。针对域名劫持,泰策的DNS产品对重点域名(通过接口定义,可为配置文件,也可为单个记录)的资源记录进行监测,同时定义重点域名对应的IP地址群(经过人工校验后确认的数据),当有变化的时候,且变化后的内容不在给定的IP地址群中,则输出日志,发送告警信息。或者变化后的内容不包含IP地址群中指定的IP,则输出日志,发送告警信息。在具备该功能的前提下,Baidu被劫持事件会在第一时间被发现冰箱管子堵住了怎么办。缓存窥探是确定某一个资源记录是否存在于一个特定的DNS缓存中的过程。通过这个过程攻击者可以得到一些信息,例如解析器处理了哪些域名查询等。DNS递归服务器接收到一个没有设置递归位的域名查询,当它对该查询进行响应时,就会为一个远程攻击者提供一次窥探的机会,使攻击者能够确定最近该服务器对哪些域名进行了解析,更进一步,有哪些主机站点被访问过。因此,通过DNS缓存窥探,攻击者可以发现例如B2B商业伙伴、网络用户行为模式、外部邮件服务器等重要信息。针对缓存窥探攻击,泰策的DNS产品采用默认TTL策略,该策略使得递归服务器从权威服务器获取记录以及其对应的TTL时,可随机地对TTL进行设置。开启该策略后,其它策略中设置的TTL值都不生效,最终响应消息中的TTL值以此策略设置的为准,这样黑客仅利用递归查询也不可能进行DNS缓存窥探。这对这些DNS攻击,泰策安全方案的应用,可以大大提高DNS的安全性和可靠性。但网络的发展和应用日新月异,在实践中还要不断紧跟技术变化的步伐,不断学习和总结才能有效抵御各种新类型的DNS故障。 相关阅读 9月18日异动股点评大年夜金融板块涨势如虹盘点四牛与四熊李宇欣大众证券报股指期货推出中期利好大盘股-【新闻】黎辉红科德投资抛压释放考验前期支撑-【新闻】2020收官月前大年夜回首盘点各种资产年内成绩单贵州茅台三季报不及预期股价跌422券商继续看好基金乌龙频现ETF申赎清单受关照华为芯片曝出新希望尾盘近4亿资金建仓不雅点股发行超级周开启新基金追求大而优放眼全球A股有能力独领风骚机械-泰和新材产品打入特警装备领域
DNS服务是互联网的一项核心的服务,有着举足轻重的地位,可以说是互联网的基石。几乎所有的互联网应用都需要DNS,几乎所有的互联网用户都在随时随地使用DNS。随着黑客技术的发展,通过DNS服务进行攻击的事件日益猖狂,针对DNS的安全威胁主要有DDoS攻击、服务失败攻击、递归攻击、缓存投毒、域名劫持和缓存窥探。DoS攻击是利用合理的服务请求来占用过多的服务资源,从而使合法用户无法得到服务的响应。DDoS攻击手段是在传统的DoS攻击基础之上产生的一类攻击方式,即利用更多的傀儡机(肉鸡)形成僵尸网络来发起进攻,以比之前更大的规模来攻击受害者。针对DDoS攻击,泰策提供多种过滤和限速策略,确保各种异常的请求包不会影响正常的DNS解析,比如DNS节点整体请求限速;按请求域名、源IP请求限速;异常请求包(如伪造成53端口的请求包)的直接丢弃;异常回复包的直接丢弃(杠杆攻击)等。我们专门的基于多核的硬件架构的安全防护产品Protector,在高性能的安全防护的基础上,可提供全面的一般性DDoS攻击防护和深入的DNS的攻击防护。服务失败攻击是应用程序在得到DNS的否定应答后会连续不断的发出同样的请求的一种攻击方式。针对服务失败攻击,泰策对RFC2308中描述的Negative Cache扩展进行了实现。通过让用户缓存服务失败和网络失败的DNS应答,避免类似暴风影音这样的事件发生。在具备该功能的前提下,暴风事件就不会导致网络失败,Negative Cache会让暴风保存失败的解析记录,确保暴风不会连续不断的发出DNS请求。递归攻击主要是针对DNS服务的攻击,属于拒绝服务攻击的一种。攻击者发送大量的随机域名(通常为不存在的域名或无法响应的域名)递归查询请求,递归服务器因得不到响应而重复多次查询,导致资源耗尽无法提供正常服务。针对递归攻击,泰策的DNS产品特别设计了一套递归淘汰机制,该机制可在递归资源几乎都被占用时,通过递归淘汰算法判断出可能是黑客发出的攻击递归请求,并释放这些递归资源。DNS缓存投毒是攻击者利用软件漏洞或者名字服务器配置错误,向DNS服务器缓存注入大量错误的数据并能够将错误数据散播到别的服务器,从而引起更多DNS服务器中毒的一种攻击形式。由于缓存中错误数据是由处于不良目的的攻击者所故意伪造的,合法的DNS请求方在收到应答后将被指向一个已被攻击者控制的服务器,访问某个特定网站或者带有计算机病毒的文件等。另外,由于DNS服务器的forward功能,遭受缓存中毒的DNS服务器还有可能将错误的记录发送给其他DNS服务器,从而导致更多的DNS服务器中毒。针对缓存投毒攻击,泰策的DNS产品采用0x20+技术,提供隐藏递归IP的功能,同时随机递归ID号可达216。0X20是IETF的一个DNS安全加固方案,该技术匹配请求包和回复包的大小写,如果大小不匹配则丢弃;对于一个10个字符串的域名,0X20会产生210不同字符串,当然0X20也有一定的局限性,有部分授权DNS服务器不支持大小写混合应答,这样会导致存储在这些授权服务器里的域名不能被支持0X20的DNS服务器解析,泰策通过对0X20进行完善解决了这个问题。在不采用0X20技术+的情况下,黑客只需要猜测DNS请求的端口号和ID号,而采用0X20后黑客还需要猜测DNS请求域名的大小写顺序。经过以上措施,攻击者需要在2秒内发送4万亿个攻击包才有可能使缓存中毒。域名劫持是通过采用非法手段获得某一个域的管理权限,然后将该域名的IP地址篡改至其他的主机。域名被劫持后,不仅有关该域名的记录会被改变,甚至该域名的所有权可能会旁落他人。针对域名劫持,泰策的DNS产品对重点域名(通过接口定义,可为配置文件,也可为单个记录)的资源记录进行监测,同时定义重点域名对应的IP地址群(经过人工校验后确认的数据),当有变化的时候,且变化后的内容不在给定的IP地址群中,则输出日志,发送告警信息。或者变化后的内容不包含IP地址群中指定的IP,则输出日志,发送告警信息。在具备该功能的前提下,Baidu被劫持事件会在第一时间被发现冰箱管子堵住了怎么办。缓存窥探是确定某一个资源记录是否存在于一个特定的DNS缓存中的过程。通过这个过程攻击者可以得到一些信息,例如解析器处理了哪些域名查询等。DNS递归服务器接收到一个没有设置递归位的域名查询,当它对该查询进行响应时,就会为一个远程攻击者提供一次窥探的机会,使攻击者能够确定最近该服务器对哪些域名进行了解析,更进一步,有哪些主机站点被访问过。因此,通过DNS缓存窥探,攻击者可以发现例如B2B商业伙伴、网络用户行为模式、外部邮件服务器等重要信息。针对缓存窥探攻击,泰策的DNS产品采用默认TTL策略,该策略使得递归服务器从权威服务器获取记录以及其对应的TTL时,可随机地对TTL进行设置。开启该策略后,其它策略中设置的TTL值都不生效,最终响应消息中的TTL值以此策略设置的为准,这样黑客仅利用递归查询也不可能进行DNS缓存窥探。这对这些DNS攻击,泰策安全方案的应用,可以大大提高DNS的安全性和可靠性。但网络的发展和应用日新月异,在实践中还要不断紧跟技术变化的步伐,不断学习和总结才能有效抵御各种新类型的DNS故障。
