資源描述:
《《dns防護方案》ppt課件》由會員上傳分享�����,免費在線閱讀���,更多相關內(nèi)容在教育資源-天天文庫����。
1�、www.dptechnology.netDNS防護解決方案一、DNS系統(tǒng)安全威脅二�����、DNS防護方案三���、DNS防護典型案例目錄2010年1月�,baidu.com被非法篡改�����,造成網(wǎng)站無法正常訪問2009年5月,暴風影音事件�,造成全國性的網(wǎng)絡癱瘓2009年5月,易名中國6臺DNS服務器攻擊�,上萬網(wǎng)站無法打開。2007年4月���,新網(wǎng)DNS服務器遭到大規(guī)模攻擊并出現(xiàn)故障�,造成上萬網(wǎng)站無法訪問�����。2006年9月�,新網(wǎng)DNS服務器遭到大規(guī)模黑客攻擊,造成全國數(shù)萬網(wǎng)站不能訪問���。2001年�����,萬網(wǎng)遭到黑客攻擊�,導致大量的網(wǎng)站不能正常使用……DPtechDNS安全的一些典型案例DNS威脅一:DDo
2����、S拒絕服務攻擊攻擊源肉雞攻擊工具攻擊攻擊特征帶寬攻擊資源消耗攻擊DNS攻擊實例典型的虛假域名DDoS攻擊���,請求的二級域名是67pp.com,三級域名隨機DNS威脅二:漏洞攻擊BIND系統(tǒng)漏洞BIND:開源DNS服務器軟件�����,DNS的事實標準操作系統(tǒng)漏洞BIND可應用于Windows����、UNIX���、Linux等操作系統(tǒng)����,系統(tǒng)補丁管理困難BIND系統(tǒng)漏洞眾多緩存污染攻擊者采用特殊的DNS請求�����,將虛假信息放入DNS的緩存中DNS信息劫持攻擊者監(jiān)聽DNS會話�,猜測DNS服務器響應ID,搶先將虛假的響應提交給客戶端DNS重定向?qū)NS名稱查詢重定向到惡意DNS服務器DNS威脅三:DNS欺
3���、騙一��、DNS系統(tǒng)安全威脅二����、DNS防護方案組網(wǎng)介紹DPtechDNS防御技術介紹DPtechDNS防護硬件介紹三、DNS防護典型案例目錄組網(wǎng)方案DNS1DNS2DNS3DNS4負載均衡DPtechDNS防護設備接入路由器DNS1DNS2DNS3DNS4DPtechDNS防護設備接入路由器透明模式串接負載均衡設備透明串接模式(IPAnycast)組網(wǎng)方案1����、融合DNS設備工作在二層模式,同時對發(fā)往該節(jié)點緩存服務器的DNS查詢數(shù)據(jù)包進行監(jiān)測和偵聽��。2���、阻斷非法報文�����、惡意報文3�、(開啟緩存功能)作為后端DNS服務器群的前置緩存4��、當DPtechDNS防護系統(tǒng)發(fā)生故障時�,系統(tǒng)自動
4、將上聯(lián)端口與下聯(lián)端口進行直通����,不對數(shù)據(jù)包進行監(jiān)聽和截獲��。在這種方式下����,由于DPtechDNS防護設備對DNS查詢流量進行了有效的截獲��,能夠有效降低DNS節(jié)點內(nèi)四層交換機及DNS服務器的負荷�。DPtechDNS防護設備還能夠提供DNS攻擊防護、Cache、負載均衡一體化解決方案DNS服務器群DPtechDNS防護設備DNS一體化防護解決方案城域網(wǎng)DNS攻擊防護DNSCache負載均衡異常訪問進行安全防御1正常訪問在緩存中�����,直接回復2正常訪問不在緩存中,智能調(diào)度到各DNS中3一����、DNS系統(tǒng)安全威脅二、DNS防護方案組網(wǎng)介紹DPtechDNS防御技術介紹DPtechDNS防護硬
5、件介紹三、DNS防護典型案例目錄DPtechDNS防護設備功能DNSCacheDDoS攻擊防護DNS欺騙防護系統(tǒng)漏洞防護DPtech一體化DNS防護遞歸和非遞歸分離�����,降低服務器負荷-域名緩存200萬-新建100萬QPS專業(yè)特征庫全面防御各種系統(tǒng)漏洞,實現(xiàn)虛擬系統(tǒng)補丁,病毒防護.全面的DNSFlood��、TCPFlood�、UDPFlood�、SYNFlood�、ICMPFlood、HTTPGet等DDoS攻擊防御DNS協(xié)議異常智能識別技術�,避免DNS欺騙DPtech多層次DNSDDoS攻擊防御技術基于報文行為特征判斷和控制基于報文指紋特征判斷和控制客戶端真實性檢測限速DNSDDo
6、S攻擊防御技術——基于報文指紋特征控制受工具限制���,DNS攻擊報文往往存在一定的相似特征��,但指紋特征匹配往往說起來容易����,做起來很難。1���、由于多個字段加不同的特征值�,記錄跟蹤消耗大量的資源�����,2���、完全靜態(tài)匹配特征無法滿足某些特征規(guī)律變化的特點��,DPtechDNS防護設備大容量緩存專利的特征匹配技術版本首部長度服務類型總長度(字節(jié)數(shù))16位標識標志片偏移TTL協(xié)議類型首部校驗和源IP目的IP選項(options)數(shù)據(jù)源端口目的端口用戶數(shù)據(jù)包長度檢查和數(shù)據(jù)標識標志問題數(shù)資源記錄數(shù)授權資源記錄數(shù)額外資源記錄數(shù)查詢問題回答(資源記錄數(shù)可變)授權(資源記錄數(shù)可變)額外信息(資源記錄數(shù)可變
7�、)IP報文UDP報文DNS報文DNSDDoS攻擊防御技術——基于報文行為特征控制按每源IP的QPS閾值進行攻擊識別與防御告警��、限速�、清洗功能自定義源IP���,為不同的源IP指定不同的閾值有效防御少量源發(fā)送大量DNS請求的攻擊方式按每Domain(全域名或者二/三級域名)的QPS閾值進行攻擊識別與防御告警���、限速、清洗功能自定義域名��,為不同的域名指定不同的閾值有效防御類似暴風影音事件的發(fā)生按二級/三級Domain的QPS進行識別和防御自動學習域名排名、解析失敗率排名�����,自動針對高失敗率域名進行阻斷基于報文行為特征的控制DNSDDoS攻擊
