绿盟DNS专项防护产品-产品白皮书.pdf

绿盟DNS 专项防护产品白皮书 © 2011 绿盟科技 ■ 版权声明 本文中出现的任何文字叙述、文档格式、插图、照片、方法、过程等内容，除另有特别注明，版权均属绿 盟科技所有，受到有关产权及版权法保护。任何个人、机构未经绿盟科技的书面授权许可，不得以任何方 式复制或引用本文的任何片断。 目录 一. DNS 是如何工作的 3 二. DNS 相关的安全挑战 5 2.1 DDOS 分布式拒绝服务攻击 5 2.2 DNS 缓存投毒 6 2.3 DNS 服务器权限入侵 8 2.4 DNS 信息泄露 8 2.5 其他DNS 相关安全问题 8 三. 传统的DNS 安全手段的不足 9 3.1 安全加固 9 3.2 系统扩容 10 3.3 部署DNSSEC 10 3.4 防火墙 11 四. 绿盟科技DNS 防护方案 11 4.2 绿盟科技DNS 专项防护产品 11 4.3 核心原理 13 4.3.1 DNS 专项DDoS 防护模块 13 4.3.2 DNS 投毒监控 14 4.3.3 安全域名缓存 15 4.3.4 DNS 监控模块 15 4.4 旁路部署方式 15 五. 结论 16 © 2011 绿盟科技 - I - 密级：完全公开 插图索引 图 1.1 DNS 基本原理图 4 图 2.1 DNS DDOS 攻击示意图 6 图 2.2 DNS 缓存投毒过程 7 图 2.3 DNS 查询ID、端口信息 7 图 2.4 DRDOS 攻击过程 9 图 4.1 DNS 安全防护体系 11 图 4.2 DNS 安全防护体系 12 图 4.3 DNS 专项DDOS 防护机制 13 图 4.4 DNS 投毒监控机制 14 图 4.5 旁路部署方案 16 © 2011 绿盟科技 - II - 密级：完全公开 绿盟DNS 专项防护产品白皮书 一．前言 DNS 服务器作为互联网的组成部分，承担着重要的作用，DNS 的任何故障（系统瘫痪、 解析错误），都会引起非常严重的网络稳定性问题以及安全问题。而DNS 域名解析的集中 性、服务器的开放性特点，则加大了这类安全问题的几率和效果。因此DNS 服务器和域名解 析的安全防护也成为国家监管机构、运营商、企业、个人非常关心的一个课题。 但是，由于DNS 的安全防护技术的复杂性，以及相应技术应用范围较小，使得很少有专 业安全厂商涉及此类防护技术，大多数的DNS 服务器还是利用传统的网络防火墙、IPS 等产 品进行保护，其安全防护效果必然有局限性。 本文展示了绿盟科技在DNS 专项安全防护方面的研究成果，并针对DNS 特点，提供了 多种安全防护机制，并在自主研发的ADS-D 系列产品中予以实现。本文内容将主要包含如下 部分：  DNS 基本情况综述；  DNS 相关的攻击手段；  绿盟DNS 安全专项防护技术。 一. DNS 是如何工作的 DNS 是域名系统 （Domain Name System）的缩写，它用于命名组织到域层次结构中 的计算机和网络服务。DNS 命名用于 Internet 等 TCP/IP 网络中，通过用户友好的名称查 找计算机和服务，当用户在应用程序中输入 DNS 名称时