IT运维管理,创造商业价值!
中国IT运维网首页 | 资讯中心 | 运维管理 | 信息安全 | CIO视界 | 云计算 | 最佳案例 | 运维资源 | 专题策划 | 知识库 | 论坛

DNS服务器拒绝服务攻击分析和对策

2009年06月17日
ZDnet/

     事件简介

  2009年5月19日21时50分开始,江苏、安徽、广西、海南、甘肃、浙江等6省用户申告访问网站速度变慢或无法访问。主要表现为域名解析(DNS)响应缓慢或者无法解析。直至5月22日事件才渐渐平息。

  事件原因和分析

  此次事件是一次联动事件,主要分为两个部分:

  1、DNSPod站点的DNS服务器被超过10Gbps流量的DDoS攻击击垮疑似因为是网络游戏私服之间的相互争夺生意,导致一家私服运营商发动了上千台僵尸主机对DNSPod发动了DDoS洪水攻击,导致DNS服务器过载以及线路堵塞。

  2、暴风影音的大量频繁的向电信DNS主服务器发起解析。导致各地区电信主DNS服务器超负荷。

  暴风影音作为广泛使用的软件,有成千上万的用户安装使用。然而其DNS解析机制存在缺陷。暴风公司仅仅在DNSPod站内部署了一个DNS解析站点,同时暴风影音软件在发生无法解析域名的时候会大量频繁的向运营商的DNS服务器发起查询,运营商DNS再向位于DNSPod内的暴风公司DNS服务器查询,未果。这样导致了大量的查询,客观上构成了对电信DNS服务器的DDoS攻击。

  由于暴风影音使用用户非常多,其攻击能力高出僵尸网络几个数量级,导致多个省市电信DNS主服务器过载。

  FortiGate IPS对策

  DNS服务器作为互联网的一个核心部分容易遭受到攻击,要彻底解决这个问题,只有不断的完善Internet安全架构本身,比如检测和清除僵尸网络、保障每一台接入到Internet的PC的安全性、建立快速DoS溯源机制等。然而安全的Internet架构不是一朝一夕能够建立起来的,因此对DNS的攻击防护就成为一项重要的安全措施。

  对于以上两部分的原因,FortiGate IPS分别有不同的对策。

  1、对于没有规律的大规模DDoS攻击,FortiGate IPS具有硬件级的防御能力。它采用专用加速芯片对DDoS攻击进行识别,可以判断出哪些是攻击包,那些是正常访问流量,从而将正常访问流量放过而阻挡住攻击数据包。这样DNS服务器不会因受到攻击而过载。

  FortiGate IPS有超过每秒10万pps的抗DDoS攻击能力。

   图一:FortiGate 抗DDoS配置



  2、对于有规律的大规模DDoS攻击,比如由暴风影音软件发起的对baofeng.com的大量DNS查询,FortiGate可以制定相应检测规则,暂时阻挡含有baofeng.com域名的查询,使得DNS服务器不会过载。

 图二:FortiGate IPS特征



  FortiGate IPS特点简介

  1、混合式、多类型的攻击防御

  Fortinet的全系列安全产品可以提供集成、完整的解决方案,它可以实现对混合攻击、入侵企图、病毒、木马、蠕虫、间谍软件、灰色软件、广告软件和拒绝式攻击等种类广泛的攻击和恶意行为。

  Fortinet采用基于网络的ASIC加速的硬件平台,以及一系列的高级的动态入侵检测引擎,可以以更低的总体拥有成本,实现针对多种攻击的更高级别的安全和业内领先的性能。这些安全引擎是由Foitinet屡或殊荣的FortiOSTM,可以单独部署,也可以集成在一起提供全面的安全解决方案。

  图三:Fortinet基于ASIC的网络和应用处理加速



  2、全球的IPS研发团队

  FortiGuard的IPS服务是由Fortinet全球的安全专家团队来维护,他们在识别一种新的攻击后两个小时内予以响应。Fortinet安全专家与很多像CERT和SANS这样的攻击检测组织合作来发现新的漏洞,编写特征值、异常检测引擎和阻断方法,在漏洞成为威胁前升级用户的FortiGate的IPS系统。FortiGuard的可扩展的分布式网络可以在几分钟内,推动地升级所有的FortiGate的IPS系统。

  主要特征 优点

  基于ASIC加速的硬件 业内领先的性价比

  自动升级IPS特征值 实现零天对新攻击的防御

  用户自定义的IPS特征值 对用户友好的、灵活的IPS引擎

  检测VPN(Ipsec和SSL)的内容 防止恶意流量通过VPN扩散

  双向的IPS内容过滤 防止内部和外部的攻击

  特征值和协议异常引擎 多层次的安全防御多类型的攻击

  详细的日志和报表 对内部监听和流量分析的细粒度的日志和报表

  支持50多种协议和应用 扩展的协议和应用防护

  可以对数以千计的FortiGate进行集中化管理 保持统一性和每日更新的安全策略

  透明模式或网络监听方式部署 不重新设计网络下无缝部署

  从SOHO到千兆级别的IPS的可扩展的性能和型号 不同型号支持任何大小的网络

发表评论请到:http://bbs.cnitom.com

相关阅读

图文热点

Power架构产品创新 IBM推动其本土化发展
Power架构产品创新 IBM推动其本土化发展自从1990年,IBM推出基于RISC系统的新产品线RS/6000(现称eServer p系列)之后,...
WAF:高校Web应用安全守护者
WAF:高校Web应用安全守护者最近几年高校网站被攻击的事件时有发生,造成了不良影响,因此越来越多的高校开始...

本类热点