DNS攻击愈演愈烈,近日爆出谷歌公共DNS解析服务8.8.8.8被黑长达几十分钟。在今年1月份,国内所有通用顶级域的根服务器也出现异常,导致国内大部分用户无法正确解析域名。而根据Arbor Networks的报告显示,DNS成为仅次于HTTP的2号攻击载体协议,在2012年DNS特定攻击上升了200%。
由于种种原因,DNS所遭受的攻击不断上升。如果DNS服务受损,它将对很多企业尤其是开展在线业务的企业带来巨大损失。而DNS的脆弱性正在被越来越多的黑客利用。
也许很多人认为针对DNS的攻击方式和防护并不复杂,但当Infoblox大中华区售前经理邱迪列出DNS的威胁目录时,你就不会这么认为了。DNS潜在威胁的数量确实已经达到令人震惊的程度。
例如,DNS反射/DrDoS攻击,它利用第三方DNS服务器(开放的解析器)传播DOS或ddos攻击,大量此类“反射”流量会导致网站宕机。DNS放大,利用特定查询扩大响应,造成流量拥塞。TCP/UDP/ICMP洪水攻击,通过大量流量拥塞网络或服务,造成第3层拒绝服务。协议异常,通过发送异常数据包和查询,致使服务器瘫痪。
此外,还包括利用DNS软件漏洞的攻击、DNS缓存中毒、侦查探测器、DNS隧道挖掘等攻击方式。
“没有哪一个单独的方案可以防御如此多种DNS服务器攻击。”邱迪如是说,而现在Infoblox推出Advanced DNS Protection(高级DNS防护),它结合了一系列特定的技术响应。将防御功能直接加入到强化的DNS服务器中,可实现比当今独立的外部安全解决方案更强劲保护。
Infoblox Advanced DNS Protection:可自我保护的DNS设备
Infoblox Advanced DNS Protection(ADP)是集成防御分布式拒绝服务(DDoS)攻击、缓存毒害、异常查询、隧道技术以及其他DNS安全威胁的域名系统(DNS)设备。
邱迪表示,“三大特点使它成为了DNS全面专业的防护设备,独特的检测和缓解方式、集中的透明度和持续性防护不断进化的威胁。”
Infoblox Advanced DNS Protection核心功能
独特的检测和缓解方式:Advanced DNS Protection会持续监控、检测和缓解DNS攻击,包括DDoS、DNS漏洞、协议异常等,同时确保DNS服务保持弹性,即使是在遭受攻击的情况下。它允许根据企业的独特通信流量模式来微调防护参数,并利用增强的处理功能,提供专用运算能力以缓解威胁。
集中的透明度:ADP具有很完善的报表功能,详细报告提供了网络上发生的所有攻击的集中视图,可让企业了解攻击的类型和范围,同时提供采取措施所需的情报信息。这些报告还有助于在早期检测到攻击并进行缓解。
持续保护:ADP会根据详细的威胁分析和研究收到定期自动更新。这让企业可以持续地实时防御新型和不断发展的DNS威胁,帮助减缓这些攻击,而不必等待补丁更新。
Infoblox Advanced DNS Protection硬件平台
据介绍,Infoblox高级DNS防护解决方案提供三款高级硬件平台,PT-1400、PT-2200和PT-4000。“它本身是一台DNS服务器,是一台增加了安全模块,装了盔甲和外围防护的DNS服务设备。Advanced DNS Protection是一个引擎,这个引擎配合硬件平台就可以为DNS提供独特防护。”邱迪说。企业可以将其配置成外部授权服务器或DNS递归服务器,以防御外部或内部攻击。
DNS防护差异
其实,市面上存在很多能够提供DNS保护的安全解决方案,例如负载均衡器、纯DDoS产品、NGFW、IPS和一些云交付方案等,“但事实是,这些产品的防护功能是有限的,无法防御专业的DNS攻击。其中大部分都属于外部解决方案,都是事后‘临时搭建’,而非为了防御DNS攻击而建。”邱迪说。
DNS产品防护差异化对比
例如,负载均衡器等技术无法跟上快速增加的ddos攻击的大小,而且无法用来监控非法的或格式错误的DNS流量。下一代防火墙和IPS设备提供了对普通漏洞和基础第三层DDoS的部分防护。但是,它们无法检测或减缓DNS特定的协议异常或DNS攻击。
邱迪继续说到,DDoS通用防护解决方案虽然覆盖广泛的DDoS攻击,但是对DNS攻击的了解不深。另外它自身并没有DNS服务,而是一般放在DNS服务器前做流量清洗。基于云的解决方案注重容量耗尽攻击,不会防御格式错误的DNS和其他类型的攻击,它们还会引起隐私问题,容易被绕过,导致延迟等。并且对于像金融企业的内网来说,内外网隔离,云服务显然不适用。
原文链接:http://security.zhiding.cn/security_zone/2014/0319/3014694.shtml
原创文章,作者:优速盾-小U,如若转载,请注明出处:https://www.cdnb.net/bbs/archives/22473
