4月 072012
 

腾讯科技讯 4月7日,在今日召开的第七届站长大会“域名&IDC产业与发展高峰论坛”上,唯一网络总经理许渊培表示,DNS安全问题已非常严重,唯一网络将在定期更新服务器、预警和监控、多点部署等方面提升安全保障。

以下为演讲实录:

下面有请唯一网络总经理许渊培先生。

许渊培:今天在这里非常感谢4.cn给这个机会让我在这里跟大家交流一点关于DNS在保护方面的经验或者说方法。

下面要讲的是近年来域名安全方面的一些比较大的事件。我们目前DNS服务面临的安全挑战。包括我们如何保障DNS服务的安全。唯一网络DNS安全解决方案。

09年的时候有一个非常著名的事件,就是519的事件,主要是因为一些DNSPOD用户,域名互相攻击造成DNSPOD档机,不断地向它进行请求,这些所有请求的压力全部转到运营商的服务器上去,包括南方六省的服务器全部崩溃,造成整个南方六省的断网。在这个事件里面,电信在南方六省的网络基本瘫痪了。包括联通、铁通在内也受了很大的影响。移动互联网的用户相对少一些,所以他们受的影响相对较小。

2010年1月份有一个很大的事件,就是百度的域名被劫持,主要是因为百度的美国运营商因为安全方面的问题,百度的域名DNS被篡改了。整个DNS被换掉以后,访问百度以后是一个被黑客黑掉的页面。2010年另外一个事件,DDOS攻击,最后攻击量达到50G。2012年时候,DDOS攻击,造成Sedo停机3小时,后来官方修复之后也发了公告,包括对域名停放业务的用户一个很大的补偿。

如果一旦DNS出现问题以后,整个互联网就基本上可以说是完全瘫痪了。DNS我们目前为止面临的安全挑战主要有几个方面。第一是软件漏洞。目前作为全球DNS服务软件是最高的使用量,我们目前有13台服务器,主要的漏洞包括缓冲区的移出漏洞,黑客可以使用简单的一个查询的命名,可以让整个服务器档机。借此由此获得整个服务器的权限。

第二个DNS面临的安全问题就是DNS欺骗。常见的几种方式,比如说缓存投毒,包括DNS劫持。我们用一些特定的方式可以直接修改缓冲区的一些记录,因为主要提供的是DNS的服务,基本上把所有的域名投入缓存,最后已经不可控了。所以关于DNS的安全问题是非常非常严重的。

DDos攻击的话又分成很多种形式,比如说用流量攻击的形式,SYN FLood等等。

在保证DNS服务安全方面,我们认为通过四个方面组成一个有机的整体,保证DNS服务的安全。

首先我们看看软件服务器方面的安全。我们需要定期的更新相关的服务器,一旦官方报出一些高危漏洞的时候,我们需要及时地弥补它。采取一些认知审核,包括远程登录的端口,各种方式保证服务器本身的安全。运维及管理体系,作为域名提供的服务商,我觉得需要一支高效和非常迅速的运维队伍专门应对DNS的安全事件。在遇到攻击或者档机的情况下的时候,我们有一支高效的团队能够及时地把问题发现并处理。其实在遇到DNS事件的时候,人为或者管理方面的错误造成的档机事件也是时有发生。比如说09年的时候,瑞典的.SE,就是因为管理员在做配置文件的时候没有注意少了一个点,让整个运营在网上消失。

再有就是预警和监控。我们需要在DNS采取7×24小时的监控。包括服务器的本身的响应速度上面都需要有安全的循环和安全的人员做相应的监控。

然后就是网络安全。现在针对DNS的攻击大部分都是像DDOS,或者是查询工具。在这方面我们有自己的一些解决方案。

DNS服务器我们目前建议域名提供商采用多点部署的方案,尽量不要采用单点部署。例如某一个数据中心出问题的时候,那么肯定DNS服务就完全中断了,采用多点部署,比如几个不同的数据中心部署不同的DNS服务器,就算有某一个数据中心由于物理连接的问题出问题,至少有其他的数据中心能够保证服务的延续。

比如说某个数据中心内部的立体式防护,整个互联网的接入,从柜机交换机下来以后第一层是防火墙的保护,主要做的上层的大流量的清洗,通过这层防火墙的过滤,可以把大部分攻击过滤掉,通过第二层保护,是针对DNS服务器本身的防御。DNS网关是我们目前正在研发中的一个产品,它有几个比较重要的一个功能。比如我们DNS网关可以针对域名查询的一些数据做一个基础的建模。比如说单位时间内域名解析的总量,整个DNS域名服务器解析的总量,单位时间内域名请求失败的总量,也可以做一个单位时间内的建模。再有单个域名查询总量的一个数据,当这三个数据有异常的时候,DNS网关可以针对这个情况做特殊处理。比如说对管理人员报警,有各种声音的方式、短信的方式、邮件的方式,告诉DNS管理员它已经出现异常了。到底是遇到了DNS攻击还是流量攻击,这种情况下对于我们判断具体的攻击情况是非常有帮助的。正常的DNS工具有两种情况,一种是伪造IP的海量查询,还有一种是真实IP的查询。通过DNS网站都可以对这两种查询做一个基本的判断。那么在三层防火墙上通过智能的保护切换,包括IP也好,域名也好,这是我们部署的一个方案和建议。希望所有域名界的朋友能够多交流,对我们日后DNS的安全方面能够有一个更好的方案来为整个互联网公众做服务。

我就讲到这里,谢谢大家。

( 责任编辑: 屈伟 )

 Leave a Reply

You may use these HTML tags and attributes: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>

(required)

(required)