DNS服务器安全问题已很严重范文
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
DNS服务器安全问题已很严重
4月7日,在第七届站长大会“域名&IDC产业与发展高峰论坛”上,唯一网络总经理许渊培表示,DNS安全问题已非常严重,唯一网络将在定期更新服务器、预警和监控、多点部署等方面提升安全保障。
4月7日,在第七届站长大会“域名&IDC产业与发展高峰论坛”上,唯一网络总经理许渊培表示,DNS 安全问题已非常严重,唯一网络将在定期更新服务器、预警和监控、多点部署等方面提升安全保障。
以下为演讲实录:
今天在这里非常感谢给这个机会让我在这里跟大家交流一点关于DNS在保护方面的经验或者说方法。
下面要讲的是近年来域名安全方面的一些比较大的事件。我们目前DNS服务面临的安全挑战。包括我们如何保障DNS服务的安全。唯一网络DNS安全解决方案。
09年的时候有一个非常著名的事件,就是519的事件,主要是因为一些DNSPOD用户,域名互相攻击造成DNSPOD档机,不断地向它进行请求,这些所有请求的压力全部转到运营商的服务器上去,包括南方六省的服务器全部崩溃,造成整个南方六省的断网。在这个事件里面,电信在南方六省的网络基本瘫痪了。包括联通、铁通在内也受了很大的影响。移动互联网的用户相对少一些,所以他们受的影响相对较小。
2010年1月份有一个很大的事件,就是百度的域名被劫持,主要是因为百度的美国运营商因为安全方面的问题,百度的域名DNS被篡改了。整个DNS被换掉以后,访问百度以后是一个被黑客黑掉的页面。2010年另外一个事件,DDOS攻击,最后攻击量达到50G。2012年时候,DDOS攻击,造成Sedo停机3小时,后来官方修复之后也发了公告,包括对域名停放业务的用户一个很大的补偿。
如果一旦DNS出现问题以后,整个互联网就基本上可以说是完全瘫痪了。DNS我们目前为止面临的安全挑战主要有几个方面。第一是软件漏洞。目前作为全球DNS服务软件是最高的使用量,我们目前有13台服务器,主要的漏洞包括缓冲区的移出漏洞,黑客可以使用简单的一个查询的命名,可以让整个服务器档机。借此由此获得整个服务器的权限。
第二个DNS面临的安全问题就是DNS欺骗。常见的几种方式,比如说缓存投毒,包括DNS 劫持。我们用一些特定的方式可以直接修改缓冲区的一些记录,因为主要提供的是DNS的服务,基本上把所有的域名投入缓存,最后已经不可控了。所以关于DNS的安全问题是非常非常严重的。
DDos攻击的话又分成很多种形式,比如说用流量攻击的形式,SYN FLood等等。
在保证DNS服务安全方面,我们认为通过四个方面组成一个有机的整体,保证DNS服务的安全。
首先我们看看软件服务器方面的安全。我们需要定期的更新相关的服务器,一旦官方报出一些高危漏洞的时候,我们需要及时地弥补它。采取一些认知审核,包括远程登录的端口,各种方式保证服务器本身的安全。运维及管理体系,作为域名提供的服务商,我觉得需要一支高效和非常迅速的运维队伍专门应对DNS的安全事件。在遇到攻击或者档机的情况下的时候,我们有一支高效的团队能够及时地把问题发现并处理。其实在遇到DNS事件的时候,人为或者管理方面的错误造成的档机事件也是时有发生。比如说09年的时候,瑞典的.SE,就是因为管理员在做配置文件的时候没有注意少了一个点,让整个运营在网上消失。
再有就是预警和监控。我们需要在DNS采取7×24小时的监控。包括服务器的本身的响应速度上面都需要有安全的循环和安全的人员做相应的监控。
然后就是网络安全。现在针对DNS的攻击大部分都是像DDOS,或者是查询工具。在这方面我们有自己的一些解决方案。
DNS服务器我们目前建议域名提供商采用多点部署的方案,尽量不要采用单点部署。例如某一个数据中心出问题的时候,那么肯定DNS服务就完全中断了,采用多点部署,比如几个不同的数据中心部署不同的DNS服务器,就算有某一个数据中心由于物理连接的问题出问题,至少有其他的数据中心能够保证服务的延续。
比如说某个数据中心内部的立体式防护,整个互联网的接入,从柜机交换机下来以后第一层是防火墙的保护,主要做的上层的大流量的清洗,通过这层防火墙的过滤,可以把大部分攻击过滤掉,通过第二层保护,是针对DNS服务器本身的防御。DNS网关是我们目前正在研发中的一个产品,它有几个比较重要的一个功能。比如我们DNS网关可以针对域名查询的一些数据做一个基础的建模。比如说单位时间内域名解析的总量,整个DNS域名服务器解析的总量,单位时间内域名请求失败的总量,也可以做一个单位时间内的建模。再有单个域名查询总量的一个数据,当这三个数据有异常的时候,DNS网关可以针对这个情况做特殊处理。比如说对管理人员报警,有各种声音的方式、短信的方式、邮件的方式,告诉DNS管理员它已经出现异常了。到底是遇到了DNS攻击还是流量攻击,这种情况下对于我们判断具体的攻击情况是非常有帮助的。正常的DNS工具有两种情况,一种是伪造IP的海量查询,还有一种是真实IP的查询。通过DNS网站都可以对这两种查询做一个基本的判
断。那么在三层防火墙上通过智能的保护切换,包括IP也好,域名也好,这是我们部署的一个方案和建议。希望所有域名界的朋友能够多交流,对我们日后DNS的安全方面能够有一个更好的方案来为整个互联网公众做服务。
就算那些嚣张一时的攻击威胁是愚蠢的言论,我们也不妨来假设一下,如果黑客真的要击垮整个互联网,他们将如何下手?在前面提到的威胁中,黑客显然将矛头指向了DNS漏洞,这是否也给IT安全经理们敲响了警钟?他们在未来应该更加关注DNS漏洞,因为一旦DNS的漏洞被利用,就可能带来难性的后果。
四个主要的DNS漏洞:
· DNS IPv6漏洞——从“DNS Quad-A attack”攻击场景到IPv4与IPv6的交叉穿织,都为攻击者指出了一条发动DDoS洪水攻击的途径。
·公用DNS服务器上的漏洞——公用DNS(BIND, DJBDNS, MS, OpenDNS) 域名根服务器允许缓存域名记录在被删除的情况下依然活跃。这也许不是什么漏洞和错误,但的确是DNS在设计上的一个瑕疵。
·内部威胁——当今黑客发起攻击的目的已经不仅仅是为了获取经济利益。近来,我们看到了一个让人不安的趋势,一些信息安全专业人士也加入了黑客队伍之中,其目的是为了某种意义上的“正义”。
·社会工程学——在过去的24个月中,每一起破坏较大的网络攻击在初期所采取的入侵策略都是利用各种社会工程学漏洞(这一点多见于以经济利益为目的的攻击行为)。
当今黑客得逞的动力:
以Anonymous 和LulzSec为代表的黑客组织,究竟具备哪些特征才最终得逞呢?黑客攻击之所以得逞,主要源于以下几点:
·狂热的激情——黑客的斗志是攻击得逞的关键因素。
·不断收集可利用的漏洞——Anonymous的成员会收集全世界范围内所有有关DNS根域名服务器运行、设计和安全的知识,并找出加入利用和攻击的弱点和潜在漏洞。