南京信风DNS系统加强方案解说.pptVIP

* 南 京 信 风 2010/02 DNS加强系统方案 南京信风 需求驱动：DNS成为互联网安全的关键环节 DNS已经成为互联网的基础服务，DNS异常对于绝大部分用户的表现等同于互联网中断。（1）2007年4月27日，新网DNS服务器遭到大规模攻击并出现故障，造成上万网站无法访问；（2）2009年5月8日，易名中国6台DNS服务器遭到黑客攻击，上万网站无法打开；（3）2009年5月19日，暴风网站的域名解析系统受到网络攻击出现故障，导致江苏、浙江等6省电信用户不能正常上网；（4）2010年1月12日百度的DNS被篡改，导致10多个小时服务中断。。。 传统的DNS“流量清洗”方案，难以对付针对DNS的DDOS攻击。 让网络瘫痪最经济的攻击手段是攻击DNS系统，攻击方法层出不穷，需要有一种以不变应万变的策略，保护最关键的DNS服务系统。 南京信风 DNS安全的媒体报道 南京信风 DNS安全的媒体报道 南京信风 DNS安全引起工信部高度重视 南京信风 DNS异常举例一：DNS遭受攻击 南京信风 DNS攻击包举例 测试DNS请求包由笔记本电脑合成并发出。 IP头 UDP头 DNS报文 南京信风 某大省现网DNS压力测试结果 F5负载均衡设备 DNS保护 XX电信骨干 压力测试笔记本电脑 … … 南京信风 DNS保护系统 DNS服务器群 F5负载均衡设备 未开启DNS保护功能的测试结果： 压力测试笔记本电脑仅发出1/10的测试压力， （1）号称能提供20万QPS服务能力的几组 BIND服务器无法正常服务，CPU满负荷； （2）F5会话溢出无法正常工作。 开启DNS保护功能的测试结果： 压力测试笔记本电脑发出100%的测试压力， 所有BIND服务器及F5正常工作。 1000M 可调整测试压力的带宽 南京信风 与电信运营商联合的DNS攻防演练 1。江苏电信：一台笔记本电脑1/10的CPU，攻瘫江苏电信四个DNS节点中的 一个，现网布署测试。打开信风DNS AGC的防护功能之后，攻击被拦截。 2。山东网通：一台笔记本电脑1/10的CPU，攻瘫山东网通四个DNS节点中的 一个，现网布署测试。打开信风DNS AGC的防护功能之后，攻击被拦截。 3。云南电信：一台笔记本电脑1/10的CPU，攻瘫云南电信DNS节点所有10台 DNS服务器，现网布署测试。打开信风DNS AGC的防护功能之后，攻击 被拦截。 4。上海电信：一台笔记本电脑1/10的CPU，攻瘫上海电信南汇信息园实验环 境下的DNS服务器，所有IPS设备无法拦截攻击包，上海电信为了加强世 博会DNS的安全，紧急部署南京信风的DNS AGC系统。 南京信风 DNS DoS/DDoS的攻与防 2。拦截这个攻击却异常的困难，上海电信选型并测试了半年多的若干 网络安全厂商，都无法拦截这类针对DNS的DoS/DDoS攻击，上海 电信用测试仪表测试的结果。。。 3。2分钟的演示，直观感受一下简单攻击的威力及Cache效果。。。 4。信风特有的DPI算法，巧妙地拦截了最复杂的DoS/DDoS攻击。 1。攻击代码非常简单：100多行的C代码。。。 南京信风 信风DNS加强方法论 不依赖复杂的智能判断，而是采用大量艰苦计算但行之有效的策略； 以不变应万变，对付无论是主动攻击还是意想不到的事件； 南京信风 建议限制省外DNS请求 在路由器上限制而不是让DNS系统本身限制 本省DNS 服务系统 防止这条通道被省外高流量（例如10Gbps堵塞） 省内 省外 因为无法管控省外用户，最有效的策略就是阻止省外的DNS请求及省外发往DNS服务器的其他IP数据流量。 南京信风 DNS保护策略和目标 本省DNS 服务系统 管控触发条件： 当且仅当DNS保护系统发现DNS请求超越了DNS系统的工作能力之后，保护系统对DNS请求进行管控； 源地址请求管控： 分别对每个拨号用户、专线用户等发出的DNS请求进行不同级的控制，对超出部分丢弃； 域名解析管控： 系统保留有正常的域名TOP20000，当某个域名突然上升时进行告警，当某个域名超越预先设置的数值时，对超出部分进行丢弃；也可对指定的域名进行代应答； 域名白名单机制 / 人工干预： 当任何管控措施都无效的情况下，启动4级白名单机制：保护系统只放行对白名单域名的DNS请求，丢弃任何非白名单内的DNS请求（或进行代应答）。 域名请求/应答 DPI 审查： 丢弃不符合DNS规范的请求、应答。 DNS保护 省内骨干网 目标： 化解各种意想不到的攻击模式，有效解决DNS系统最薄弱的环节：递归DNS解析类D