绿盟运营商DNS安全解决方案

发布日期:2012-10-31

解决方案概述
业务挑战

域名系统(DNS)作为互联网基础设施,在互联网服务中占据着越来越重要的地位,保障域名系统安全运行对于维护互联网安全、提升客户感知具有重要意义。

由于遭受攻击、配置不当、维护问题等原因,可能造成DNS的业务异常,主要的业务异常包括服务可用性异常、解析结果异常、其他异常等等;对于安全威胁而言,DNS面临的主要安全攻击可以分为四类:拒绝服务类攻击、数据篡改类攻击、隐私类攻击、其他类攻击:

拒绝服务类攻击
主要包括针对DNS的拒绝服务类攻击(包括伪造源IP DNS攻击、DNS畸形包DoS攻击、DNS Query Flood、随机域名DNS Query Flood、UDP Flood、TCP(SYN、ACK、Connection) Flood等等)、利用DNS的拒绝服务类攻击(反射攻击、放大攻击)、流量异常类拒绝服务类攻击、缓冲区溢出类拒绝服务攻击等。

数据篡改类攻击
包括缓存中毒(或DNS欺骗)(Cache Poisoning or DNS Spoofing)、域名劫持(Domain Name Hijacking)中间人攻击(Man in the Middle Attack)。

隐私类攻击
主要有缓存窥探(Cache Snooping)等。

其他类攻击
主要包括Fast Flux网络等。

解决之道

绿盟运营商DNS安全整体解决方案,从安全评估、安全防护、安全运维三个阶段,来对DNS的业务进行全面整体的防护,方案框架如下图所示:


DNS安全整体防护思路

绿盟运营商建DNS安全解决方案的部署方式如下图所示:


DNS立体防护体系示意图

从上图中可以看出,整个DNS系统的立体防护体系由三个层次构成,分别是:

  1. 骨干层防护:运营商骨干网部署流量清洗中心,进行大流量级清洗;
  2. 系统专项防护:在DNS系统前部署DNS专项防护系统,进行有针对性的细粒度的清洗;该产品绿盟科技基于长期对DDoS攻防研究、DNS安全研究的积累,采用DNS专项DDoS防护算法、安全域名缓存技术、DNS安全监控等技术,为DNS服务系统提供专项的安全监控、攻击威胁消除、DNS漏洞补丁、域名管理和监控等功能,实现对DNS服务器、域名数据全面监控和保护的目标。
  3. 安全基线管理:安全基线检查工具,用于日常安全检查评估工作。

方案优势

  • 针对性域名控制,杜绝类似5.19事件的再次发生,保障DNS平稳运行
  • 从骨干网、DNS系统、安全基线管理三个方面,给出了完整的DNS安全解决方案
  • 以DNS业务保障为根本出发点,基于业务异常的发现、监测、处理,实现了对DNS系统的实时全面监控
  • 使运营商的DNS系统可以精准抵御各类攻击、保障DNS解析正确