隨著信息化的高速發展，目前的網絡安全現狀和前幾年相比，已經發生了很大的改變。蠕蟲、病毒、木馬、漏洞攻擊、DDoS攻擊等威脅互相結合，對網絡的穩定運行和應用安全造成了較大的威脅和不良影響。其中針對DNS(域名服務器，Domain Name Service)的攻擊也已成為較嚴重的威脅之一。DNS是Internet的重要基礎，包括WEB訪問、Email服務在內的眾多網絡服務都和DNS息息相關，因此DNS的安全直接關系到整個互聯網應用能否正常使用。

DNS系統作為當前全球較大較復雜的分布式層次數據庫系統，由于其開放、龐大、復雜的特性以及設計之初對于安全性的考慮不足，再加上人為攻擊和破壞，面臨非常嚴重的安全威脅，因此如何解決DNS安全問題并尋求相關解決方案是當今DNS亟待解決的問題。DNS安全防護主要面臨如下威脅：

■ 針對DNS的DDoS攻擊

DDoS (Distributed Denial of Service)攻擊通過僵尸網絡利用各種服務請求耗盡被攻擊網絡的系統資源，造成被攻擊網絡無法處理合法用戶的請求。而針對DNS的DDoS攻擊又可按攻擊發起者和攻擊特征進行分類。主要表現特征如下：

按攻擊發起者分類

僵尸網絡：控制大批僵尸網絡利用真實DNS協議棧發起大量域名查詢請求;

模擬工具：利用工具軟件偽造源IP發送海量DNS查詢。

按攻擊特征分類

Flood攻擊：發送海量DNS查詢報文導致網絡帶寬耗盡而無法傳送正常DNS 查詢請求;

資源消耗攻擊：發送大量非法域名查詢報文引起DNS服務器持續進行迭代查詢，從而達到較少的攻擊流量消耗大量服務器資源的目的。

■ DNS欺騙

DNS欺騙是較常見的DNS安全問題之一。當一個DNS服務器由于自身的設計缺陷，接收了一個錯誤信息，那么就將做出錯誤的域名解析，從而引起眾多安全問題，例如將用戶引導到錯誤的互聯網站點，甚至是一個釣魚網站;又或者發送一個電子郵件到一個未經授權的郵件服務器。攻擊者通常通過三種方法進行DNS欺騙：

緩存污染

攻擊者采用特殊的DNS請求，將虛假信息放入DNS的緩存中。

DNS信息劫持

攻擊者監聽DNS會話，猜測DNS服務器響應ID，搶先將虛假的響應提交給客戶端。

DNS重定向

將DNS名稱查詢重定向到惡意DNS服務器。

■ 系統漏洞眾多

BIND(Berkeley Internet Name Domain)是較常用的DNS服務軟件，具有廣泛的使用基礎，Internet上的絕大多數DNS服務器都采用這個軟件。BIND提供高效服務的同時也存在著眾多的安全性漏洞。CNCERT/CC在2009年安全報告中指出：2009年7月底被披露的“Bind9”高危漏洞，影響波及全球數萬臺域名解析服務器，我國有數千臺政府和重要信息系統部門、基礎電信運營企業以及域名注冊管理和服務機構的域名解析服務器受到影響。

除此之外，DNS服務器的自身安全性也是非常重要。目前主流的操作系統如Windows、UNIX、Linux均存在不同程度的系統漏洞和安全風險，而補丁的管理也是安全管理工作中非常重要和困難的一個組成部分，因此針對操作系統的漏洞防護也是DNS安全防護工作中的重點。

迪普科技基于多年在網絡安全領域的研究與積累，提出了全面的DNS攻擊防護解決方案，通過專業的DNS防護設備，從攻擊防護、DNS緩存、負載均衡三方面來解決上述問題。

圖1

DPtech DNS防護設備部署于DNS服務器前，對所有經過的DNS請求進行檢查，當發現異常訪問時，通過獨有的DNS攻擊防護技術進行實時防護;DNS防護設備還具有DNS緩存功能，針對正常訪問的DNS查詢請求，如在緩存中存在，則直接發送域名解析地址回復，可有效的減輕DNS服務器的訪問壓力;同時，迪普科技DNS攻擊防護解決方案還可提供DNS服務器負載均衡功能，針對DNS服務器集群實現智能、動態的負載均衡，確保很大程度上提升DNS服務器的使用效率。

迪普科技DNS攻擊防護解決方案是業界性能高、功能全面的解決方案，主要具有以下特點：

■ 全面的DDoS攻擊防護

目前業界主流的針對DNS的DDoS攻擊識別，通常采用判斷DNS請求流量閾值的方法來判斷發生攻擊，這種判斷方法有以下局限：

熱點事件產生的正常DNS請求流量超限的情況，容易產生誤報;針對通過非法域名以小博大的攻擊方法，由于其流量未超限會產生漏報。迪普科技采用智能的DNS DDoS攻擊識別技術，通過實時分析DNS解析失敗率、DNS響應報文與請求報文的比例關系等方法，準確識別各種針對DNS的DDoS攻擊，避免產生漏報和誤報，并且通過專業的線性DNS攻擊防御技術和離散DNS攻擊防御技術有效的防御了DNS DDoS攻擊。同時，迪普科技還通過流量異常檢測、SYN Cookie、SYN Proxy、連接限制、連接速率限制等技術實現了全面的TCP Flood、UDP Flood、SYN Flood、ICMP Flood、HTTP Get、CC等DDoS攻擊防御，全面確保了DNS服務器不會受到DDoS攻擊。

■ 專業的漏洞庫，及時有效的升級機制

針對DNS欺騙和系統漏洞的防護，有效的辦法是能夠準確識別各種協議異常和攻擊行為。傳統的攻擊識別方式是通過簡單定義攻擊特征來實現對已知攻擊的檢測，這種方式實現起來很簡單，但是會導致誤報較多，無法準確的識別攻擊。迪普科技專業的漏洞庫，通過分析攻擊產生的原理，定義基于攻擊類型統一特征的方式來識別攻擊，這種方式不受攻擊變種的影響，具有較高的技術門檻，但是可以將誤報降至低。迪普科技專家團隊及時跟蹤業界動態，對新產生的攻擊可以以快速度升級漏洞庫，避免受到零日攻擊的威脅。

■ 大容量DNS緩存

迪普科技專有的大容量緩存，可高達500萬條緩存記錄，相當于一個高性能DNS代理服務器，可在DNS查詢請求達到DNS服務器之前，由DNS防護設備在第一時間直接回復給請求者，可大大減輕DNS服務器的訪問壓力。

■ 智能負載均衡

在運營級網絡中，往往具有多臺DNS服務器同時提供服務，迪普科技DNS攻擊防護解決方案還具有智能負載均衡功能，可將多臺DNS服務器做成集群，并實現動態的資源調度，提高服務器利用率。

■ 業界高性能

由于DNS服務器承載著大量的域名查詢請求，因此也需要能夠提供高性能的解決方案，確保不會成為網絡中的瓶頸。迪普科技DNS攻擊防護解決方案是目前業界高性能的解決方案，可提供高達400Gbps吞吐能力、2000萬QPS查詢響應能力，是目前業界性能高的DNS防護解決方案。

迪普科技DNS攻擊防護解決方案集攻擊防護、DNS緩存、負載均衡于一身，目前已經規模應用于國內各大運營商，是有效可靠的DNS防護解決方案。