A10 DNS系统优化解决方案-external-20141022-v1.0-Liuchao.docx

SOLUTION SOLUTION A10 Networks DNS系统优化解决方案  目录 TOC \o 1-3 \h \z \u 1. DNS系统的现状 3 2. A10 Networks DNS系统优化解决方案 6 3. A10 Networks DNS系统优化解决方案的优点 7  DNS系统的现状 传统DNS系统的现状 DNS系统是互联网最重要的基础设施之一，DNS系统是否能够正常、高效运转直接决定整个互联网是否能够运转。但是，传统的DNS系统存在着一些严重的安全隐患，这些安全隐患在很大程度上使得DNS系统的稳定性与运行效率大幅降低，进而影响了整个互联网的安全。 如下是近几年来发生的几起针对互联网DNS系统的安全事件： 2014年8月19日和20日，在国内域名注册商35.com（三五互联）处，新京报网站域名解析前后两次被非法篡改，从而导致国内、外用户无法正常访问新京报网。 2014年1月21日，国内根域名服务器被污染，DNS解析出现异常，很多网站被解析到78这个国外的IP地址，有证据表明该IP地址所处于的网络有过发送垃圾邮件及其他有政治目的的黑客活动。 2013年8月25日， 中国互联网络信息中心管理运行的国家.CN顶级域名系统遭受大规模拒绝服务攻击，对一些用户访问，部分.CN网站造成影响。经研判，初步认为攻击系利用僵尸网络向.CN顶级域名系统，持续发起大量针对某游戏私服网站域名的查询请求，峰值流量较平常激增近1000倍，造成.CN顶级域名系统的互联网出口带宽短期内严重拥塞。 2013年3月26日，攻击者采用DNS?amplification（DNS放大攻击）对Spamhaus（著名反垃圾邮件服务组织）发起DDoS攻击，攻击流量一度超过了300Gbps，攻击者能够轻易产生如此大的DDoS攻击流量，还是要“归功”于黑客对互联网基础设施——DNS系统的利用；据统计，全球有2700万个类似的开放DNS系统，它们时刻等着你（黑客）去利用，发起更大规模的DDoS攻击。 2009年5月19日晚，由于暴风影音所使用的DNS服务商——DNSPod——的不健壮性，以及其软件设计上存在一些缺陷，被黑客利用发起DDoS攻击，导致江苏、安徽、浙江等23省出现网络故障，称为“5.19断网事件”。 互联网领域发生的这一系列针对DNS系统的 DDoS攻击（分布式拒绝服务攻击）、缓存投毒、权威域名篡改等攻击，直接导致互联网断网或者重要应用无法访问。这一系列针对DNS系统的安全攻击，充分说明了传统的DNS系统的设计欠缺对安全的考虑，在攻击面前毫无防御能力。因此，如何对已经大规模部署的传统DNS系统进行改造与加固，使其能够更加安全、稳定、高效地运行，并且具备良好的弹性，是目前DNS系统建设与改造的重要问题。 综合来看，目前，传统的DNS系统面临的隐患和安全风险主要如下： DNS服务器的单点故障 一般情况下，单台PC服务器受到CPU、内存和I/O处理的性能限制，所能够提供的并发处理能力有限，为了解决DNS系统部署单台服务器性能及高可用性的问题，通常DNS系统需要对多台服务器做负载均衡。 DNS欺骗攻击 当一个DNS 服务器遭到欺骗攻击，使用了来自一个恶意域名信息记录，将会产生许多安全问题。常见的DNS欺骗方式有以下几种：缓存投毒（cache poison，也称为缓存污染）、域名劫持、IP欺骗（IP Spoofing）、不安全的动态更新。 2010年1月12日发生的某搜索引擎DNS遭劫持事件，就是一起典型的DNS域名劫持事件。某搜索引擎公司域名注册商受到黑客攻击，并将其ns记录修改到非法服务器上，导致某搜索引擎公司的所有域名受到影响。 针对DNS系统的DDoS攻击 一旦DNS系统遭受拒绝服务攻击，其服务将停止，会导致互联网将处于瘫痪状态。针对DNS的拒绝服务攻击主要有：通用型DDoS攻击、DNS放大攻击、DNS Query Flood攻击（常见的Query Flood攻击有IP Spoofing型攻击、Random Qname型攻击、滥用型攻击等。 2009年的5.19事件即是此类攻击。某播放器公司的DNS服务器放在dnspod的授权服务器上，当dnspod被DDoS攻击时，导致无法对其域名进行有效解析时，该播放器软件产生了极大量的域名解析请求，产生了对电信运营商的DNS服务器的DDoS攻击，导致运营商的大量省级DNS服务器