下载文档原格式
DNS安全防护解决方案一、背景介绍DNS(Domain Name System,域名系统)是互联网中用于将域名解析为IP地址的系统,它是整个互联网的基础设施之一。
然而,由于DNS协议的开放性和易受攻击的特性,DNS安全问题也日益突出。
黑客可以利用DNS漏洞进行各种攻击,如DNS劫持、DNS缓存投毒、DNS重放攻击等,给网络安全带来了严重威胁。
二、问题描述为了解决DNS安全问题,我们需要提供一种安全防护解决方案,能够有效防御各种DNS攻击,并保障网络的正常运行。
该解决方案需要具备以下功能:1. DNS流量监测和分析:实时监测网络中的DNS流量,分析流量中的异常行为,如大量请求、异常请求等。
2. DNS防护墙:通过配置DNS防护墙,过滤和阻断恶意的DNS请求,防止DNS劫持和缓存投毒攻击。
3. DNS重放攻击防护:采用合适的加密和身份验证机制,防止DNS重放攻击,确保DNS请求的合法性和真实性。
4. DNS缓存管理:对DNS缓存进行管理,定期清理过期缓存,减少缓存投毒攻击的风险。
5. DNS安全审计:记录和分析DNS请求和响应的日志,及时发现和定位潜在的安全问题。
三、解决方案基于上述问题描述,我们提出以下DNS安全防护解决方案:1. 部署DNS流量监测和分析系统:通过在网络中部署专门的DNS流量监测和分析系统,实时监测并分析DNS流量。
该系统可以通过采集DNS日志、流量数据等信息,识别异常的DNS请求和流量行为,为后续的安全防护提供依据。
2. 配置DNS防护墙:在网络边界或关键节点上部署DNS防护墙,对进出网络的DNS请求进行过滤和阻断。
该防护墙可以根据事先设定的策略,过滤掉恶意的DNS请求,防止DNS劫持和缓存投毒攻击。
同时,该防护墙还可以对合法的DNS 请求进行检查和验证,确保请求的合法性和真实性。
3. 引入加密和身份验证机制:为了防止DNS重放攻击,我们可以引入加密和身份验证机制。
例如,可以使用DNSSEC(Domain Name System Security Extensions)技术对DNS请求进行数字签名,确保请求的完整性和真实性。
DNS安全防护解决方案一、概述DNS(Domain Name System,域名系统)是互联网上负责将域名转换为IP地址的系统。
然而,由于其开放性和易受攻击性,DNS系统往往成为黑客攻击的目标,造成网络安全风险。
为了解决这个问题,提供一种DNS安全防护解决方案是非常必要的。
二、DNS安全威胁1. DNS劫持:黑客通过篡改DNS响应数据,将用户访问的合法域名解析到恶意IP地址,从而进行钓鱼、挂马等攻击。
2. DNS缓存投毒:黑客通过向DNS缓存服务器发送虚假响应,将恶意域名解析结果存储在缓存中,使得用户在访问该域名时被重定向到恶意网站。
3. DNS拒绝服务攻击(DNS DDoS):黑客通过大量请求向目标DNS服务器发送无效查询,耗尽服务器资源,导致合法用户无法正常访问。
三、DNS安全防护解决方案为了有效防护DNS安全威胁,可以采取以下措施:1. DNS防火墙部署DNS防火墙可以过滤恶意的DNS查询和响应数据包,有效阻挠DNS劫持和缓存投毒攻击。
DNS防火墙可以根据事先设定的规则,对DNS流量进行检测和过滤,只允许合法的DNS查询通过。
2. DNS流量监测与分析通过实时监测DNS流量,可以及时发现异常流量和攻击行为。
DNS流量监测系统可以对DNS查询进行实时记录和分析,识别出异常查询行为,并提供相应的报警机制,以便及时采取应对措施。
3. DNS缓存管理合理管理DNS缓存可以减少DNS缓存投毒攻击的影响。
可以设置DNS缓存的生存时间和刷新时间,定期清理过期的缓存记录,并使用DNSSEC(DNS安全扩展)技术对DNS响应进行数字签名,确保数据的完整性和真实性。
4. DNS负载均衡通过部署DNS负载均衡器,可以分担DNS服务器的负载压力,提高系统的可用性和抗攻击能力。
DNS负载均衡器可以根据服务器的负载情况和网络状况,智能地将DNS查询请求分发到不同的服务器上,实现负载均衡和故障切换。
5. DNS安全协议使用安全协议可以确保DNS通信的机密性和完整性。
DNS安全问题及解决方案随着互联网的普及和发展,我们越来越依赖于域名系统(Domain Name System,DNS)来查询和解析互联网上的域名。
然而,虽然DNS 是一个关键的基础设施,但它也面临着安全风险,这对我们的网络体验和数据安全构成潜在威胁。
本文将探讨DNS安全问题,并提出相应的解决方案。
一、DNS劫持DNS劫持是指黑客通过篡改DNS响应,将用户的域名解析请求导向恶意服务器,从而窃取用户的敏感信息或进行其他恶意活动。
DNS劫持的目标往往是银行、电子商务网站等需要用户输入用户名、密码或支付信息的网站。
为了解决DNS劫持的问题,一种解决方案是使用DNSSEC(域名系统安全扩展)。
DNSSEC通过数字签名的方式对DNS数据进行验证,确保DNS响应的完整性和真实性,从而有效防止DNS劫持。
另外,互联网服务提供商(ISP)也可采取安全措施,例如监测和阻止涉嫌进行DNS劫持的IP地址。
二、DNS缓存投毒DNS缓存投毒是指攻击者在公共DNS服务器中伪造缓存的解析结果,使用户访问合法网站时被引导到恶意网站。
这种攻击方法主要是通过修改公共DNS服务器的缓存数据来实现的。
要解决DNS缓存投毒问题,一方面可以使用DNS缓存污染检测与清理工具,及时发现并清除被污染的缓存。
另一方面,网络管理员可以采取安全配置措施,限制公共DNS服务器的访问权限,确保其不受攻击者的干扰。
三、DDoS攻击分布式拒绝服务(DDoS)攻击是指攻击者通过利用大量的恶意请求,使目标DNS服务器无法正常响应合法用户的请求,从而导致服务不可用。
为了应对DDoS攻击,可以采取多种解决方案。
首先,网络管理员可以配置防火墙和入侵检测系统,及时发现并屏蔽恶意请求。
其次,使用分布式防御系统,将流量分散到多个服务器上,提高容量和抗击DDoS攻击的能力。
此外,云服务提供商也可提供DDoS防御服务,通过多层次的过滤和流量清洗,确保DNS服务器的正常运行。
四、域名劫持域名劫持是指攻击者通过非法手段获取域名控制权,然后对域名进行篡改或指向恶意服务器,使合法用户无法正常访问网站。
DNS安全防护解决方案一、背景介绍DNS(Domain Name System)是互联网中用于将域名转换为IP地址的系统,它是互联网的基础设施之一。
然而,DNS协议的安全性一直是一个较为薄弱的环节,容易受到各种攻击和恶意操纵。
为了保障DNS的安全性,提高网络的可靠性和稳定性,需要采取相应的DNS安全防护解决方案。
二、DNS安全威胁分析1. DNS劫持:黑客通过篡改DNS响应数据,将用户的域名解析请求重定向到恶意网站,从而进行钓鱼、欺诈等攻击。
2. DNS缓存投毒:黑客通过发送伪造的DNS响应数据,将恶意域名与错误的IP地址关联,使得用户在进行域名解析时被导向到恶意网站。
3. DNS放大攻击:黑客利用DNS服务器的特性,通过发送小型请求,获取大量响应数据,从而造成网络带宽的浪费和服务的瘫痪。
4. DNS拒绝服务攻击(DDoS):黑客通过向DNS服务器发送大量的请求,使其超负荷运行,导致合法用户无法正常访问域名解析服务。
三、DNS安全防护解决方案1. 加密通信:采用DNS over HTTPS(DoH)或DNS over TLS(DoT)等加密协议,保护DNS请求和响应的机密性,防止中间人攻击和窃听。
2. 域名验证:使用DNSSEC(DNS Security Extensions)对域名解析结果进行数字签名,确保解析结果的完整性和真实性,防止DNS缓存投毒和DNS劫持。
3. 流量过滤:通过配置防火墙和入侵检测系统(IDS/IPS),对DNS流量进行过滤和监控,识别和阻止恶意的DNS请求和响应。
4. DNS缓存管理:定期清除DNS缓存,减少缓存投毒的风险,并配置DNS服务器的缓存策略,限制缓存大小和存储时间,提高安全性。
5. 限制递归查询:对外部的递归查询请求进行限制,只允许特定的授权DNS服务器进行递归查询,减少恶意的递归查询请求。
6. 拒绝服务攻击防护:使用DDoS防护设备或云防护服务,对DNS服务器进行实时监测和防护,及时发现和应对DDoS攻击。
DNS安全防护解决方案一、背景介绍DNS(Domain Name System,域名系统)是互联网中用于将域名转换为IP地址的系统。
然而,DNS协议存在一些安全隐患,例如DNS劫持、DNS缓存投毒等攻击方式,这些攻击可能导致用户访问恶意网站、泄露敏感信息等问题。
为了保障网络安全,需要采取一系列的DNS安全防护措施。
二、DNS安全防护解决方案1. DNSSEC(DNS Security Extensions)DNSSEC是一种用于增强DNS安全性的扩展协议。
它通过数字签名的方式,确保DNS查询的真实性和完整性。
DNSSEC能够防止DNS劫持和DNS欺骗等攻击,并提供了域名验证机制,防止恶意域名的注册和使用。
2. DNS防火墙DNS防火墙是一种专门用于检测和拦截恶意DNS请求的设备。
它能够对DNS 流量进行实时监控,识别并拦截恶意域名、恶意IP地址等。
DNS防火墙可以根据预设的策略,对不符合规则的DNS请求进行拦截和过滤,提供了对DNS安全的主动防护。
3. DNS流量分析与监控DNS流量分析与监控是通过对DNS流量进行深度分析,检测和识别恶意行为的一种解决方案。
它可以对DNS查询的源地址、目的地址、查询类型等进行实时监控和记录,并通过算法和模型识别出异常行为。
通过及时发现和阻断恶意行为,保障DNS的安全性和可靠性。
4. 域名白名单和黑名单管理域名白名单和黑名单管理是一种通过对域名进行分类管理的方式,实现对恶意域名的拦截和防护。
白名单中包含了可信任的域名,黑名单中包含了已知的恶意域名。
DNS服务器可以根据白名单和黑名单对DNS查询进行过滤,拦截黑名单中的域名,提高DNS的安全性。
5. DNS流量清洗与反射攻击防护DNS流量清洗与反射攻击防护是一种针对大规模DDoS攻击的解决方案。
它通过对DNS流量进行清洗和过滤,剔除恶意请求和异常流量,保障DNS服务器的正常运行。
同时,它还能够识别和防御DNS反射攻击,提高DNS的可用性和稳定性。
DNS安全防护解决方案一、概述DNS(Domain Name System)是互联网中用于将域名解析为IP地址的系统,它在互联网通信中起到了至关重要的作用。
然而,由于DNS协议的开放性和易受攻击的特点,DNS安全问题也随之而来。
为了保护企业网络的安全,提高DNS系统的可靠性和稳定性,需要采取一系列的安全防护措施。
本文将介绍一种DNS安全防护解决方案,以应对各种潜在的DNS安全威胁。
二、DNS安全威胁1. DNS劫持:攻击者通过篡改DNS响应,将用户请求重定向到恶意网站,从而窃取用户的个人信息或者进行钓鱼攻击。
2. DNS缓存投毒:攻击者通过发送伪造的DNS响应,将恶意域名与错误的IP 地址相关联,使得用户在访问正常网站时被重定向到恶意网站。
3. DNS放大攻击:攻击者利用DNS协议的特点,通过发送少量的DNS请求,获取大量的DNS响应,从而造成网络拥塞和服务不可用。
4. DNS隐蔽信道:攻击者利用DNS协议的特点,在DNS请求和响应中隐藏传输的数据,从而绕过网络安全设备的检测。
三、DNS安全防护解决方案1. DNSSEC(DNS Security Extensions)DNSSEC是一种基于公钥加密技术的DNS安全扩展协议,它通过数字签名的方式,确保DNS响应的完整性和真实性。
部署DNSSEC可以有效防止DNS劫持和DNS缓存投毒攻击,提高DNS系统的安全性。
2. DNS防火墙DNS防火墙是一种专门用于保护DNS服务器的安全设备,它可以通过过滤和检测DNS流量,阻挠恶意的DNS请求和响应。
DNS防火墙可以有效抵御DNS放大攻击和DNS隐蔽信道攻击,提高DNS系统的可靠性和稳定性。
3. DNS流量分析通过对DNS流量进行深度分析,可以发现异常的DNS请求和响应,及时发现并应对潜在的安全威胁。
DNS流量分析可以结合机器学习和行为分析等技术,提高对DNS安全事件的检测准确性和响应速度。
4. DNS监控和日志记录建立完善的DNS监控系统,实时监测DNS服务器的状态和运行情况,及时发现异常和故障。
DNS安全防护解决方案一、背景介绍DNS(Domain Name System)是互联网中的一种服务,它将域名转换为对应的IP地址,使用户能够通过域名访问互联网资源。
然而,DNS协议本身存在安全隐患,比如DNS劫持、DNS缓存投毒等攻击,这些攻击可能导致用户被重定向到恶意网站,造成信息泄露、财产损失等问题。
为了保障用户的网络安全,需要采取相应的DNS安全防护解决方案。
二、DNS安全防护解决方案的目标1. 提供可靠的DNS解析服务,确保用户能够正常访问互联网资源。
2. 防止DNS劫持和DNS缓存投毒等攻击,保障用户的网络安全。
3. 提供实时监测和快速响应能力,及时发现和应对潜在的安全威胁。
三、DNS安全防护解决方案的具体措施1. DNS防火墙DNS防火墙是一种专门针对DNS协议的防护设备,通过对DNS请求进行过滤和检测,阻挠恶意请求和攻击流量进入网络。
它可以根据预设的策略对DNS流量进行过滤,提供基于域名、IP地址、地理位置等多维度的防护能力。
同时,DNS 防火墙还能够对异常流量进行实时监测和分析,及时发现并阻挠潜在的攻击行为。
2. DNS安全扩展(DNSSEC)DNSSEC是一种基于公钥加密的DNS安全扩展技术,它能够保证DNS解析结果的完整性和可信度。
DNSSEC通过数字签名和验证机制,确保DNS响应的真实性,防止DNS劫持和DNS缓存投毒等攻击。
在实施DNSSEC之前,需要对域名进行数字签名,并将签名信息发布到域名的DNS服务器上,这样用户在解析域名时就可以通过验证签名来判断DNS响应是否被篡改。
3. DNS流量分析DNS流量分析是一种通过对DNS请求和响应数据进行分析,识别和阻挠恶意流量的技术。
它可以通过对DNS流量的统计和建模,发现异常流量和异常行为,并采取相应的防护措施。
比如,当发现某个域名的解析请求量异常高时,可以判断可能存在DDoS攻击,进而采取限制访问或者封禁IP等措施。
4. DNS日志监控DNS日志监控是一种实时监测和分析DNS请求和响应日志的技术。
DNS安全防护解决方案标题:DNS安全防护解决方案引言概述:DNS(Domain Name System)是互联网中最重要的基础设施之一,负责将域名转换为IP地址,是互联网通信的基础。
然而,DNS也存在安全风险,如DNS缓存投毒、DNS劫持等,给网络安全带来威胁。
为了保障DNS的安全,需要采取相应的防护措施。
一、加强DNS服务器安全性1.1 更新DNS服务器软件:定期更新DNS服务器软件,及时修补漏洞,提高系统的安全性。
1.2 配置防火墙:在DNS服务器上配置防火墙,限制对DNS服务的访问,防止未经授权的访问。
1.3 启用DNSSEC:启用DNSSEC(DNS Security Extensions),对DNS数据进行签名验证,确保数据的完整性和真实性。
二、加强网络设备安全性2.1 更新网络设备固件:定期更新网络设备的固件,修复安全漏洞,提高设备的安全性。
2.2 配置ACL(Access Control List):在网络设备上配置ACL,限制对DNS 流量的访问,防止恶意攻击。
2.3 使用双因素认证:对网络设备进行双因素认证,提高设备的安全性,防止未经授权的访问。
三、监控DNS流量3.1 实时监控DNS流量:通过安全监控工具实时监控DNS流量,及时发现异常情况。
3.2 分析DNS查询日志:定期分析DNS查询日志,查找异常查询,及时处理安全事件。
3.3 部署DNS流量分析器:部署DNS流量分析器,对DNS流量进行深度分析,识别潜在的安全威胁。
四、加强域名注册商安全性4.1 选择可信赖的域名注册商:选择知名的域名注册商,避免因注册商安全漏洞导致域名被劫持。
4.2 启用域名锁定功能:启用域名注册商提供的域名锁定功能,防止域名被非法转移。
4.3 定期更改注册商密码:定期更改域名注册商的密码,确保账户的安全。
五、域名安全服务5.1 使用DDoS防护服务:部署DDoS防护服务,保护DNS服务器免受分布式拒绝服务攻击。
DNS安全防护解决方案一、背景介绍DNS(Domain Name System)是互联网中用于将域名转换为IP地址的系统。
然而,由于其开放性和易受攻击性,DNS服务经常成为黑客攻击的目标,例如DNS劫持、DNS缓存投毒等。
为了保障网络安全,DNS安全防护解决方案应运而生。
二、问题描述DNS安全问题主要包括DNS劫持、DNS缓存投毒、DNS欺骗等。
这些攻击行为会导致域名解析错误、用户被重定向到恶意网站、数据泄露等严重后果。
因此,需要一种有效的DNS安全防护解决方案来保护网络安全。
三、解决方案1. DNS防护服务通过引入专业的DNS防护服务提供商,可以实现对DNS服务的全面防护。
该服务提供商会使用先进的技术和算法来检测和阻止恶意DNS请求,防止DNS劫持和缓存投毒攻击。
同时,还能提供实时的DNS监测和报警功能,及时发现和应对潜在的安全威胁。
2. DNS防火墙DNS防火墙是一种专门针对DNS流量进行过滤和防护的设备。
它可以对DNS 请求进行深度检测,过滤掉潜在的恶意请求,并阻止恶意域名的解析。
同时,DNS防火墙还可以对DNS报文进行加密和认证,防止DNS欺骗攻击,提高网络安全性。
3. DNS安全策略制定合理的DNS安全策略是保护网络安全的重要一环。
可以通过以下措施来加强DNS安全:- 禁止公开的DNS服务器,只允许内部网络访问。
- 定期更新DNS服务器软件和补丁,以修复已知的安全漏洞。
- 限制DNS服务器的访问权限,只允许授权的用户或设备进行访问。
- 启用DNSSEC(DNS安全扩展)来确保域名解析的完整性和真实性。
- 监控DNS流量,及时发现异常行为,并采取相应的应对措施。
四、实施步骤1. 网络安全评估首先,进行网络安全评估,了解当前网络中存在的DNS安全问题和风险。
评估结果可以为制定合适的DNS安全防护解决方案提供依据。
2. 选择合适的DNS防护服务提供商根据评估结果,选择合适的DNS防护服务提供商。
DNS安全防护解决方案一、背景介绍DNS(Domain Name System)是互联网中用于将域名解析为IP地址的系统,它是互联网的基础设施之一。
然而,由于DNS协议的设计缺陷和实现漏洞,使得DNS系统容易受到各种攻击,如DNS劫持、DNS污染、DNS缓存投毒等。
为了保护DNS系统的安全性和可靠性,需要采取相应的安全防护措施。
二、问题分析1. DNS劫持:攻击者通过篡改DNS响应的方式,将用户的域名解析到恶意的IP地址上,从而实现对用户的攻击和欺骗。
2. DNS污染:攻击者通过发送大量虚假的DNS响应,使DNS缓存中存储的正确解析结果被替换为错误的解析结果,导致用户无法访问正确的网站。
3. DNS缓存投毒:攻击者通过发送虚假的DNS响应,将恶意的域名解析结果存储到DNS缓存中,使得用户在访问该域名时被重定向到恶意网站。
三、解决方案为了解决上述问题,可以采取以下DNS安全防护解决方案:1. DNSSEC(DNS Security Extensions):DNSSEC是一种基于公钥加密的DNS安全扩展机制,通过数字签名对DNS数据进行验证,确保DNS响应的完整性和真实性。
部署DNSSEC可以有效防止DNS劫持和DNS污染攻击。
2. DNS防火墙:DNS防火墙是一种专门用于保护DNS服务器和网络的安全设备,它可以对DNS流量进行深度检测和过滤,阻止恶意的DNS请求和响应。
DNS 防火墙可以识别并阻止DNS缓存投毒攻击,提供高效的DNS安全防护。
3. DNS流量监测和分析:通过实时监测和分析DNS流量,可以及时发现异常的DNS请求和响应,识别潜在的攻击行为。
基于流量分析的DNS安全解决方案可以帮助管理员及时采取相应的应对措施,保护DNS系统的安全。
4. DNS负载均衡:DNS负载均衡是一种将用户的请求分发到多个DNS服务器的技术,可以提高DNS系统的可用性和抗攻击能力。
通过合理配置DNS负载均衡策略,可以减轻单个DNS服务器的负载压力,提高系统的稳定性和安全性。
DNS安全问题及防范方案
06网络1班杨晔06139009
一、引言
DNS服务是Internet的基本支撑,其安全问题具有举足轻重的地位。
如今,DNS正面临拒绝服务、缓冲区中毒、区域信息的泄露等众多威胁。
2009年5月19日晚,黑客通过僵尸网络控制下的DDoS 攻击,致使我国江苏、安徽、广西、海南、甘肃、浙江等省在内的23个省出现罕见的断网故障,即“5〃19断网事件”。
在这一事件中,DNS服务的脆弱性是问题产生的关键。
这一事件说明:作为互联网基础服务的DNS,每天都有海量的域名解析信息产生,其个体的安全性已经直接影响着互联网的安全。
本文分析了DNS服务所面临的安全问题,并提出了相应的一些解决或者防范方案。
二、DNS存在的安全问题
1、DNS自身的不安全因素
DNS由于早期设计上的缺陷为日后的应用埋下了安全隐患。
因为过于强调对网络的适应性,采用了面向非连接的UDP协议,但UDP协议本身是不安全的。
而且从体系结构上来看,DNS采用树形结构,虽然便于查询操作,但是单点故障非常明显,也使得安全威胁加剧。
另外,绝大多数DNS服务器都是基于BIND这个软件,但是BIND在提供高效服务的同时也存在着众多的安全性漏洞。
这里构成严重威胁的主要有两种漏洞:
一种是缓冲区溢出漏洞,如BIND4和BIND8中存在一个远程缓冲溢出缺陷,该缺陷使得攻击者可以在DNS上运行任意指令。
另一种是拒绝服务漏洞,受攻击后DNS服务器不能提供正常服务,使得其所辖的子网无法正常工作。
2、DNS服务面临的攻击
2.1 拒绝服务攻击
DNS服务器的关键地位使它成为网络攻击的显著目标,加上其对拒绝服务攻击没有防御能力,所以在现有的树状结构下,一旦DNS服务器不能提供服务,其所辖的子域都无法解析域名,仅能通过难以记忆的IP地址访问网络,对多数网络用户而言,无法接入网络,甚至还会被利用来对其他主机进行反弹式DDoS攻击。
2.2 缓冲区中毒
DNS为了提高查询的效率,采用缓存机制,在DNS缓存数据还没有过期之前,在DNS的缓存区中已存在的记录一旦被库户查询,DNS服务器将把缓存区中的记录直接返回客户。
DNS缓存区中毒就是利用了DNS的缓存机制,在缓存区中存入错误的数据使其被其他查询客户所获得。
在缓存
数据的生存期内,缓存区中毒的机器又可能将错误的数据传播出去,导致更多的服务器缓存中毒。
如果减少缓存数据的生存期,可以减少缓存中毒的影响范围,但过于频繁的缓存数据更新将大大增加服务器的负担。
2.3 区域信息泄露
DNS服务器作为公开开放的数据库,对域名请求查询通常不加以验证,网络拓扑、子网结构等信息容易泄漏,也为各类攻击提供了机会。
2.4 域名劫持
域名劫持通常是指通过采用非法手段获得某一个域名管理员的账户名称和密码,或者域名管理邮箱,然后将该域名的IP地址指向其他主机。
域名被劫持后,不仅有关该域名的记录会该百年,甚至该域名的所有权可能会落到其他人手里。
另外,域名服务器没有准入制度,域名服务提供商缺乏相应的监管制度,也是给各种攻击提供可乘之机。
三、DNS的安全防范
1、DNS安全增强方案
通过DNS服务器本身的配臵以及与防火墙等的合作来加强DNS的安全性。
1.1 包过滤防护
限制访问DNS服务器的网络数据包的类型,实施包过滤的依据主要是端口、IP、流量。
端口过滤指仅允许对53
端口的访问;IP地址限制指只允许具有合法II)地址的用户访问该DNS服务器;流量限制指对每个IP地址的DNS请求加以流量限制,正常用户数据包的长度应不大于512 byte。
1.2 防火墙保护(split DNS或split-split DNS)
split DNS技术把DNS系统划分为内部和外部两部分,外部DNS负责对外的正常解析工作;内部DNS系统则专门负责解析内部网络的主机。
仅当内部主机要查询Intemet上的域名,而内部DNS上没有缓存记录时,内部DNS才将查询任务转发到外部DNS服务器上,由外部DNS服务器完成查询任务,以保护内部DNS服务器免受攻击,同时减少了信息泄漏。
split-split DNS技术则将内部DNS的功能分别放在两个DNS服务器上,一个负责响应内部用户的递归查询请求,另一个负责将内部的域名发布到外部DNS上。
1.3 网络拓扑限制
为了减少单点故障的威胁,从网络拓扑结构角度应避免将DNS服务器臵于无旁路的环境下,不应将所有的DNS服务器臵于同一子网、同一租用链路、同一路由器、同一自治域甚至同一物理位臵。
2、根域名服务器的安全管理
互联网中的根域名服务器存储和控制着全球域名解析体系的主体信息,是整个域名解析递归结果的终结点。
由于根服务器是整个域名系统的核心,所以根服务器的可靠性在很大程度上决
定着树型结构中各级递归服务器的安全性。
加强根域名服务器安全的一种通用方法是在不同的国家地区建立根域名服务器的镜像站点。
在前信息产业部的协调下,我国已经引入了3 个根域名服务器的镜像服务器。
在提高了国内域名解析性能的同时,加强了根域名的安全性。
3、 D D o S 攻击的防范
解决D D o S 攻击的最有效方法有以下几种:
一是部署I D S ,从单一技术和设备来看,I D S 是目前防范D D o S 攻击最有效的方法;
二是对于重要的D N S 服务器,可分别在不同的I D C 中部署,通过冗余方式来提高D N S 的安全;
三是在防火墙上通过设臵策略,对于超过某一限定值的D N S 请求报文进行过滤;
四是通过管理软件,对排名靠前的D N S 解析请求报文进行分析,重点分析哪些流量在短时间内急剧增大的报文,对可疑报文进行过滤处理
4、 D N S 清洗服务
D N S 清洗服务可以解决D N S 缓存带来的域名错误查询问题。
当发现可能引起网络故障的D N S 错误记录时,I S P 等D N S 服务器控制方可以采取清空缓存区的方法,保证用户的D N S 请求指向正确的D N S 服务器。
例如,在发生了“ 5.1 9 断网事件”后,电信运营商对
b a o f e n g.
c o m 域名的解析强行指向某一I P 地址或干脆屏蔽掉其解析。
不过,这只是一种应急方案,不能成为一种通用的方法。
5、 D N S 服务器的冗余备份
冗余备份是D N S 服务器安全管理中采用的一种较为
普遍的方法。
即使是在局域网中,为了保障D N S 服务的可靠性,会采用多机备份方案。
与局域网相比,互联网的结构和应用要复杂的多,对D N S 的安全性要求也非常高。
为此,对于互联网中的D N S服务器,建议能够创建位于不同I D C 中的分布式系统。
四、结束语
“5.19”事件已经平息,由“5.19”事件引发的针对D N S 服务的安全问题还时时在警示着我们:未来互联网的安全不容乐观,尤其像D N S 这类基础服务的安全问题更应引起重视。
为了解决DNS安全问题提出的DNSSEC为DNS提供了数据完整性、机密性保护,但还是不完善。
相信今后随着DNSSEC技术的不断完善,以及DNS技术与其他网络防护技术的融合,更安全可靠和更加广泛的DNS服务将被应用到Intemet中。
