資源描述:
《dns防護(hù)方案》由會(huì)員上傳分享��,免費(fèi)在線閱讀�����,更多相關(guān)內(nèi)容在教育資源-天天文庫(kù)�。
1、www.dptechnology.netDNS防護(hù)解決方案一�、DNS系統(tǒng)安全威脅二、DNS防護(hù)方案三���、DNS防護(hù)典型案例目錄2010年1月��,baidu.com被非法篡改�����,造成網(wǎng)站無(wú)法正常訪問(wèn)2009年5月����,暴風(fēng)影音事件����,造成全國(guó)性的網(wǎng)絡(luò)癱瘓2009年5月,易名中國(guó)6臺(tái)DNS服務(wù)器攻擊�,上萬(wàn)網(wǎng)站無(wú)法打開(kāi)。2007年4月,新網(wǎng)DNS服務(wù)器遭到大規(guī)模攻擊并出現(xiàn)故障��,造成上萬(wàn)網(wǎng)站無(wú)法訪問(wèn)���。2006年9月�����,新網(wǎng)DNS服務(wù)器遭到大規(guī)模黑客攻擊�����,造成全國(guó)數(shù)萬(wàn)網(wǎng)站不能訪問(wèn)��。2001年�����,萬(wàn)網(wǎng)遭到黑客攻擊�����,導(dǎo)致大量的網(wǎng)站不能正常使用……DPtechDNS安全的一些典型案
2����、例DNS威脅一:DDoS拒絕服務(wù)攻擊攻擊源肉雞攻擊工具攻擊攻擊特征帶寬攻擊資源消耗攻擊DNS攻擊實(shí)例典型的虛假域名DDoS攻擊,請(qǐng)求的二級(jí)域名是67pp.com����,三級(jí)域名隨機(jī)DNS威脅二:漏洞攻擊BIND系統(tǒng)漏洞BIND:開(kāi)源DNS服務(wù)器軟件��,DNS的事實(shí)標(biāo)準(zhǔn)操作系統(tǒng)漏洞BIND可應(yīng)用于Windows��、UNIX�、Linux等操作系統(tǒng),系統(tǒng)補(bǔ)丁管理困難BIND系統(tǒng)漏洞眾多緩存污染攻擊者采用特殊的DNS請(qǐng)求�����,將虛假信息放入DNS的緩存中DNS信息劫持攻擊者監(jiān)聽(tīng)DNS會(huì)話�,猜測(cè)DNS服務(wù)器響應(yīng)ID,搶先將虛假的響應(yīng)提交給客戶端DNS重定向?qū)NS名稱查詢重
3��、定向到惡意DNS服務(wù)器DNS威脅三:DNS欺騙一��、DNS系統(tǒng)安全威脅二�、DNS防護(hù)方案組網(wǎng)介紹DPtechDNS防御技術(shù)介紹DPtechDNS防護(hù)硬件介紹三、DNS防護(hù)典型案例目錄組網(wǎng)方案DNS1DNS2DNS3DNS4負(fù)載均衡DPtechDNS防護(hù)設(shè)備接入路由器DNS1DNS2DNS3DNS4DPtechDNS防護(hù)設(shè)備接入路由器透明模式串接負(fù)載均衡設(shè)備透明串接模式(IPAnycast)組網(wǎng)方案1����、融合DNS設(shè)備工作在二層模式,同時(shí)對(duì)發(fā)往該節(jié)點(diǎn)緩存服務(wù)器的DNS查詢數(shù)據(jù)包進(jìn)行監(jiān)測(cè)和偵聽(tīng)。2��、阻斷非法報(bào)文�、惡意報(bào)文3、(開(kāi)啟緩存功能)作為后端DNS服務(wù)
4����、器群的前置緩存4、當(dāng)DPtechDNS防護(hù)系統(tǒng)發(fā)生故障時(shí)���,系統(tǒng)自動(dòng)將上聯(lián)端口與下聯(lián)端口進(jìn)行直通�����,不對(duì)數(shù)據(jù)包進(jìn)行監(jiān)聽(tīng)和截獲���。在這種方式下,由于DPtechDNS防護(hù)設(shè)備對(duì)DNS查詢流量進(jìn)行了有效的截獲��,能夠有效降低DNS節(jié)點(diǎn)內(nèi)四層交換機(jī)及DNS服務(wù)器的負(fù)荷��。DPtechDNS防護(hù)設(shè)備還能夠提供DNS攻擊防護(hù)���、Cache��、負(fù)載均衡一體化解決方案DNS服務(wù)器群DPtechDNS防護(hù)設(shè)備DNS一體化防護(hù)解決方案城域網(wǎng)DNS攻擊防護(hù)DNSCache負(fù)載均衡異常訪問(wèn)進(jìn)行安全防御1正常訪問(wèn)在緩存中�,直接回復(fù)2正常訪問(wèn)不在緩存中,智能調(diào)度到各DNS中3一��、DNS系統(tǒng)
5��、安全威脅二��、DNS防護(hù)方案組網(wǎng)介紹DPtechDNS防御技術(shù)介紹DPtechDNS防護(hù)硬件介紹三����、DNS防護(hù)典型案例目錄DPtechDNS防護(hù)設(shè)備功能DNSCacheDDoS攻擊防護(hù)DNS欺騙防護(hù)系統(tǒng)漏洞防護(hù)DPtech一體化DNS防護(hù)遞歸和非遞歸分離�����,降低服務(wù)器負(fù)荷-域名緩存200萬(wàn)-新建100萬(wàn)QPS專業(yè)特征庫(kù)全面防御各種系統(tǒng)漏洞����,實(shí)現(xiàn)虛擬系統(tǒng)補(bǔ)丁,病毒防護(hù).全面的DNSFlood、TCPFlood�、UDPFlood、SYNFlood��、ICMPFlood�、HTTPGet等DDoS攻擊防御DNS協(xié)議異常智能識(shí)別技術(shù)�,避免DNS欺騙DPtech多層次
6���、DNSDDoS攻擊防御技術(shù)基于報(bào)文行為特征判斷和控制基于報(bào)文指紋特征判斷和控制客戶端真實(shí)性檢測(cè)限速DNSDDoS攻擊防御技術(shù)——基于報(bào)文指紋特征控制受工具限制����,DNS攻擊報(bào)文往往存在一定的相似特征���,但指紋特征匹配往往說(shuō)起來(lái)容易���,做起來(lái)很難。1�����、由于多個(gè)字段加不同的特征值���,記錄跟蹤消耗大量的資源�����,2��、完全靜態(tài)匹配特征無(wú)法滿足某些特征規(guī)律變化的特點(diǎn)��,DPtechDNS防護(hù)設(shè)備大容量緩存專利的特征匹配技術(shù)版本首部長(zhǎng)度服務(wù)類型總長(zhǎng)度(字節(jié)數(shù))16位標(biāo)識(shí)標(biāo)志片偏移TTL協(xié)議類型首部校驗(yàn)和源IP目的IP選項(xiàng)(options)數(shù)據(jù)源端口目的端口用戶數(shù)據(jù)包長(zhǎng)度檢查和
7�、數(shù)據(jù)標(biāo)識(shí)標(biāo)志問(wèn)題數(shù)資源記錄數(shù)授權(quán)資源記錄數(shù)額外資源記錄數(shù)查詢問(wèn)題回答(資源記錄數(shù)可變)授權(quán)(資源記錄數(shù)可變)額外信息(資源記錄數(shù)可變)IP報(bào)文UDP報(bào)文DNS報(bào)文DNSDDoS攻擊防御技術(shù)——基于報(bào)文行為特征控制按每源IP的QPS閾值進(jìn)行攻擊識(shí)別與防御告警、限速����、清洗功能自定義源IP,為不同的源IP指定不同的閾值有效防御少量源發(fā)送大量DNS請(qǐng)求的攻擊方式按每Domain(全域名或者二/三級(jí)域名)的QPS閾值進(jìn)行攻擊識(shí)別與防御告警����、限速、清洗功能自定義域名���,為不同的域名指定不同的閾值有效防御類似暴風(fēng)影音事件的發(fā)生按二級(jí)/三級(jí)Domain的QPS進(jìn)行識(shí)別
8、和防御自動(dòng)學(xué)習(xí)域名排名����、解析失敗率排名,自動(dòng)針對(duì)高失敗率域名進(jìn)行阻斷基于報(bào)文行為特征的控制DNSDDoS攻擊
