NominumVantio中文v4.pptVIP

新一代DNS业务承载平台Vantio James Ding jding@ Nominum公司介绍 域名和 IP 管理 Nominum主要客户 Nominum 亚太区主要客户 澳大利亚 Telstra, 新西兰电信 新加坡电信，马来西亚电信等 韩国电信、日本NTT、IIJ等 APNIC 国内主要运营商 广东电信，上海电信，四川电信，江西电信，福建电信，新疆电信等十几家省级电信运营商。 辽宁网通，陕西网通，内蒙古网通 Nominum 主要业务 致力于电信级 DNS和 DHCP产品开发，为运营商提供可靠的 IP 地址管理方案： 高性能的处理能力 安全性和抗攻击能力 模块化设计，可扩展性，高可靠性 远程管理能力，提供多种管理接口 优质的技术支持和服务 业界领先的技术和研发能力 为ISC开发 Bind9 并提供技术支持 为ISC开发 ISC-DHCP v3 为Internet维护根域名服务器 E和F Nominum 产品系列 Nominum 的解决方案 问 题 传统的DNS应用模式 新一代DNS － 增值业务的控制点 为什么选择DNS? DNS是所有IP应用的关键核心 互联网上面几乎所有应用都要使用DNS 对于绝大多数应用，用户首先会访问DNS DNS是所有业务的第一“接触点”。 DNS系统已经部署在网内 在DNS上发展新业务不需要修改网络结构。 在DNS软件基础上为用户提供增值业务开销最小，具有性价比的优势。 Nominum CNS 和Vantio 的比较 Vantio－强大的管理功能 实时分析系统 可以分析最近一段时间内被访问次数最多的域名，发起访问量最高的用户IP 限速功能 配置对指定域名的访问限制，设置每秒最大请求数 错误域名分析部件 可以分析错误域名的种类，提供所有错误域名访问的记录并产生相关分析报告 DOS攻击自动防范功能 通过分析用户行为，采用自适应算法自动屏蔽相关网络攻击源。 RTV（实时监控）模块 在不影响系统性能的前提下，Vantio RTV为用户提供了更强大的管理和统计功能 RTV模块在独立的CPU上运行，有效的利用了硬件资源。 RTV支持各种灵活的统计功能 实时排名统计功能 指定域名的访问分析功能 指定IP的访问分析功能 根据其它条件设置分析 缓存域名服务器的管理 Nominum的命令通道（Command Channel）是市场上最强大的 命令行管理界面CLI。 当然, 不是所有的DNS管理员都精通命令行处理模式 没有足够的时间和精力去学习CLI 有太多需要管理的各种应用 Nominum公司的 EAC（Engine Administration Console）就是为管理员准备的一个基于Web应用的实时管理和报告工具 简单易学 图形化的接口，可以共享信息 什么是EAC? 基于Web的图形化管理界面，可以管理Nominum公司通用产品的引擎 2007年推出1.7版本 2008年1季度推出2.0版本 EAC管理界面的特点 分用户的接入控制机制，提供了更高的安全性并降低了配置错误的概率 可以同时配置和管理多个引擎。 支持所有的CLI功能。 例图: 系统性能报告 Vantio 增值业务模块介绍 NXR 模块介绍 NXR错误域名转发模块是在运营商要求下开发的基于Vantio平台的增值业务模块。 和其他错误域名转发的实现方式比较，Vantio增加了控制机制，减少了对客户网络应用的负面影响 通过预配置参数，NXR可以实现如下功能: 不影响各类网络应用 忽略了大多数非WWW的请求 避免了对企业内部URL的重定向 可以通过域名和掩码等方式实现灵活的可选重定向配置 转发页面举例 MDR-恶意域名重定向 MDR的各种应用 UAR － 用户接入控制模块 UAR 的应用 DNS 安全问题介绍 DNS 长期以来一直是黑客攻击的重要目标 时间表 － 最新发现DNS 缓存毒害攻击漏洞Mar 2008 互联网安全研究专家 Dan Kaminsky 发现了新的缓存毒害 攻击方式Apr 2008 四个主要厂商讨论：Nominum, ISC, Microsoft, Cisco 结论: 对安全构成严重威胁 几大厂商研究后建议使用以下技术方案提高安全性: UDP Source Port Randomization /internet-drafts/draft-ietf-dnsext-forgery-resilience-05.txt June 2008 Nominum 公布了Vantio (), CNS () July 8 2008 CERT 公布了漏洞，厂家宣布了升级方案，还没有发现根据 漏洞针对DNS的攻击 Aug 2008 攻击的详细资料将在 BlackHat公布 DNS 协议自