提升互联网安全性能DNS加强系统研究.docVIP

提升互联网安全性能DNS加强系统研究 　　【摘 要】DNS作为互联网的基础服务，其安全性、稳定性具有举足轻重的地位。本文主要分析现有DNS系统存在的安全问题，以及传统DNS加强方案的不足，提出能够有效提升互联网安全性能的DNS加强系统解决方案。 　　【关键词】DNS 安全 加强系统 　　一、背景 　　DNS（Domain Name System）系统是一种多层次的分布式数据库系统，其基本功能是提供易于记忆的域名和不易记忆、但技术上真正使用的IP地址之间的映射，便于用户或网络应用访问网络资源。DNS采用客户端/服务器方式工作，在服务器中存放域名信息，允许客户端访问所需的数据。 　　由于网页浏览、电子邮件、即时通讯、网络游戏等各种互联网服务都依赖于DNS实现，一旦DNS出现故障，将导致大量互联网应用无法正常使用，DNS故障基本等同于网络中断。因此，DNS作为互联网的基础服务，其安全问题具有举足轻重的地位，域名解析的准确程度和响应速度对网络服务质量都具有重要影响。 　　近年来，与DNS相关的安全事件越来越多，影响也越来越大。而传统的DNS加强方案提高系统安全性的能力有限，且建设、维护成本都较高，能耗较大，提高DNS系统安全性的性价比较低。正是基于DNS系统安全的重要性和存在的问题，2010年2月工业和信息化部以政府公告的形式，要求基础电信运营商及相关单位对DNS系统进行加强。因此，亟需有效提升DNS系统安全可靠性的解决方案。 　　二、现有DNS系统存在的主要问题 　　（一）建设、运维成本高，可扩展性差 　　随着互联网应用的不断发展和宽带的快速普及，DNS系统的规模越来越大，网络结构也越来越复杂。从过去的集中式部署逐步发展为分布式部署，从单机逐渐演进成多机负载分担的方式。之前，DNS系统能力的提升只能通过服务器数量的增加方式来实现。服务器数量的大量增加一方面导致扩容投资增长，另一方面造成管理困难，运行维护成本上升。 　　（二）缺陷、漏洞多，防攻击能力差 　　由于DNS在设计之初并没有考虑安全问题，层次化的树状结构中通往每个节点的路径都是唯一的。任何一个节点出现问题，都将造成其子节点不可达。原理本身的局限性导致了DNS防范攻击的能力较弱。同时，由于目前应用最为广泛的DNS服务软件―Bind是开放式的免费系统。Bind在提供高效服务的同时也存在较多安全漏洞，并且漏洞修复的及时性难以得到保证。DNS的关键地位也使它成为网络攻击的显著目标，加之攻击防御能力较弱，因此拒绝服务攻击、缓冲区中毒、域名劫持等各种针对漏洞的攻击方法对DNS造成严重威胁。 　　三、传统DNS加强方案存在的缺陷 　　由于DNS系统的重要性和脆弱性，近年来各互联网运营商一直致力于DNS系统的加强和防护。一般通过以下两种方法实现： 　　（一）增强法 　　增强法是通过在现有DNS系统前增加防火墙、流量清洗等传统网络安全设备，依据IP地址、端口、流量等条件限制访问DNS服务器数据包，过滤掉非DNS请求，在保持现有系统网络结构的前提下，达到加强DNS的效果。但随着DDOS攻击方式的出现，仅根据IP地址、端口已无法区分出攻击流量与正常请求。一方面，大量的攻击流量无法识别，被允许通过，安全设备形同虚设。另一方面，大量的攻击流量导致安全设备性能严重下降，本身成为影响系统正常服务的瓶颈。因此，增强法加强系统安全性的能力有限，并且不能提升DNS系统性能。 　　（二）分担法 　　分担法是通过增加四层交换机或采用Anycast技术，利用将DNS请求分担到多台服务器的方式扩展DNS系统。其核心仍然是依靠增加DNS服务器数量的方法来提升系统性能，同时凭借DNS服务器集群的处理能力淹没攻击来提高系统安全性。由于单台服务器的能力有限，随着网络规模的增长和攻击流量的增加，服务器的数量必将大量增加。因此，分担法虽然能够有效提升DNS系统性能，但建设、维护成本都较高，能耗较大，提高DNS系统安全性的性价比较低。 　　四、提升互联网安全性能的DNS加强系统的主要做法 　　针对DNS系统存在的问题及传统DNS加强方案的不足，结合运营商DNS实际特点，提出了高效的DNS加强系统解决方案： 　　（一）采用前端部署方式，保持原有DNS系统结构不变 　　DNS加强系统采用串行方式部署在原有DNS系统上联电路中，对现有系统及用户透明，对递归、非递归解析服务没有影响，不依赖原有DNS服务器运行的DNS服务软件版本。在不改变现有系统网络结构的前提下，有效提高系统性能和安全可靠性。 　　（二）改变DNS系统服务能力提升模式 　　针对现有DNS系统依赖增加服务器数量提升系统性能，可扩展性差的问题，通过部署DNS加强系统，有效提高系统性能。传统的DNS服务软件（Bind），同时要完成比较复杂的DNS递归功能和相对简单的DNS缓存应