4月7日,在今日召開的第七屆站長(zhǎng)大會(huì)“域名&IDC產(chǎn)業(yè)與發(fā)展高峰論壇”上,唯一網(wǎng)絡(luò)總經(jīng)理許淵培表示,DNS安全問題已非常嚴(yán)重,唯一網(wǎng)絡(luò)將在定期更新服務(wù)器、預(yù)警和監(jiān)控、多點(diǎn)部署等方面提升安全保障。
以下為演講實(shí)錄:
下面有請(qǐng)唯一網(wǎng)絡(luò)總經(jīng)理許淵培先生。
許淵培:今天在這里非常感謝4.cn給這個(gè)機(jī)會(huì)讓我在這里跟大家交流一點(diǎn)關(guān)于DNS在保護(hù)方面的經(jīng)驗(yàn)或者說(shuō)方法。
下面要講的是近年來(lái)域名安全方面的一些比較大的事件。我們目前DNS服務(wù)面臨的安全挑戰(zhàn)。包括我們?nèi)绾伪U螪NS服務(wù)的安全。唯一網(wǎng)絡(luò)DNS安全解決方案。
09年的時(shí)候有一個(gè)非常著名的事件,就是519的事件,主要是因?yàn)橐恍〥NSPOD用戶,域名互相攻擊造成DNSPOD檔機(jī),不斷地向它進(jìn)行請(qǐng)求,這些所有請(qǐng)求的壓力全部轉(zhuǎn)到運(yùn)營(yíng)商的服務(wù)器上去,包括南方六省的服務(wù)器全部崩潰,造成整個(gè)南方六省的斷網(wǎng)。在這個(gè)事件里面,電信在南方六省的網(wǎng)絡(luò)基本癱瘓了。包括聯(lián)通、鐵通在內(nèi)也受了很大的影響。移動(dòng)互聯(lián)網(wǎng)的用戶相對(duì)少一些,所以他們受的影響相對(duì)較小。
2010年1月份有一個(gè)很大的事件,就是百度的域名被劫持,主要是因?yàn)榘俣鹊拿绹?guó)運(yùn)營(yíng)商因?yàn)榘踩矫娴膯栴},百度的域名DNS被篡改了。整個(gè)DNS被換掉以后,訪問百度以后是一個(gè)被黑客黑掉的頁(yè)面。2010年另外一個(gè)事件,DDOS攻擊,最后攻擊量達(dá)到50G。2012年時(shí)候,DDOS攻擊,造成Sedo停機(jī)3小時(shí),后來(lái)官方修復(fù)之后也發(fā)了公告,包括對(duì)域名停放業(yè)務(wù)的用戶一個(gè)很大的補(bǔ)償。
如果一旦DNS出現(xiàn)問題以后,整個(gè)互聯(lián)網(wǎng)就基本上可以說(shuō)是完全癱瘓了。DNS我們目前為止面臨的安全挑戰(zhàn)主要有幾個(gè)方面。第一是軟件漏洞。目前作為全球DNS服務(wù)軟件是最高的使用量,我們目前有13臺(tái)服務(wù)器,主要的漏洞包括緩沖區(qū)的移出漏洞,黑客可以使用簡(jiǎn)單的一個(gè)查詢的命名,可以讓整個(gè)服務(wù)器檔機(jī)。借此由此獲得整個(gè)服務(wù)器的權(quán)限。
第二個(gè)DNS面臨的安全問題就是DNS欺騙。常見的幾種方式,比如說(shuō)緩存投毒,包括DNS劫持。我們用一些特定的方式可以直接修改緩沖區(qū)的一些記錄,因?yàn)橹饕峁┑氖荄NS的服務(wù),基本上把所有的域名投入緩存,最后已經(jīng)不可控了。所以關(guān)于DNS的安全問題是非常非常嚴(yán)重的。
DDos攻擊的話又分成很多種形式,比如說(shuō)用流量攻擊的形式,SYN FLood等等。
在保證DNS服務(wù)安全方面,我們認(rèn)為通過四個(gè)方面組成一個(gè)有機(jī)的整體,保證DNS服務(wù)的安全。
首先我們看看軟件服務(wù)器方面的安全。我們需要定期的更新相關(guān)的服務(wù)器,一旦官方報(bào)出一些高危漏洞的時(shí)候,我們需要及時(shí)地彌補(bǔ)它。采取一些認(rèn)知審核,包括遠(yuǎn)程登錄的端口,各種方式保證服務(wù)器本身的安全。運(yùn)維及管理體系,作為域名提供的服務(wù)商,我覺得需要一支高效和非常迅速的運(yùn)維隊(duì)伍專門應(yīng)對(duì)DNS的安全事件。在遇到攻擊或者檔機(jī)的情況下的時(shí)候,我們有一支高效的團(tuán)隊(duì)能夠及時(shí)地把問題發(fā)現(xiàn)并處理。其實(shí)在遇到DNS事件的時(shí)候,人為或者管理方面的錯(cuò)誤造成的檔機(jī)事件也是時(shí)有發(fā)生。比如說(shuō)09年的時(shí)候,瑞典的.SE,就是因?yàn)楣芾韱T在做配置文件的時(shí)候沒有注意少了一個(gè)點(diǎn),讓整個(gè)運(yùn)營(yíng)在網(wǎng)上消失。
再有就是預(yù)警和監(jiān)控。我們需要在DNS采取7×24小時(shí)的監(jiān)控。包括服務(wù)器的本身的響應(yīng)速度上面都需要有安全的循環(huán)和安全的人員做相應(yīng)的監(jiān)控。
然后就是網(wǎng)絡(luò)安全。現(xiàn)在針對(duì)DNS的攻擊大部分都是像DDOS,或者是查詢工具。在這方面我們有自己的一些解決方案。
DNS服務(wù)器我們目前建議域名提供商采用多點(diǎn)部署的方案,盡量不要采用單點(diǎn)部署。例如某一個(gè)數(shù)據(jù)中心出問題的時(shí)候,那么肯定DNS服務(wù)就完全中斷了,采用多點(diǎn)部署,比如幾個(gè)不同的數(shù)據(jù)中心部署不同的DNS服務(wù)器,就算有某一個(gè)數(shù)據(jù)中心由于物理連接的問題出問題,至少有其他的數(shù)據(jù)中心能夠保證服務(wù)的延續(xù)。
比如說(shuō)某個(gè)數(shù)據(jù)中心內(nèi)部的立體式防護(hù),整個(gè)互聯(lián)網(wǎng)的接入,從柜機(jī)交換機(jī)下來(lái)以后第一層是防火墻的保護(hù),主要做的上層的大流量的清洗,通過這層防火墻的過濾,可以把大部分攻擊過濾掉,通過第二層保護(hù),是針對(duì)DNS服務(wù)器本身的防御。DNS網(wǎng)關(guān)是我們目前正在研發(fā)中的一個(gè)產(chǎn)品,它有幾個(gè)比較重要的一個(gè)功能。比如我們DNS網(wǎng)關(guān)可以針對(duì)域名查詢的一些數(shù)據(jù)做一個(gè)基礎(chǔ)的建模。比如說(shuō)單位時(shí)間內(nèi)域名解析的總量,整個(gè)DNS域名服務(wù)器解析的總量,單位時(shí)間內(nèi)域名請(qǐng)求失敗的總量,也可以做一個(gè)單位時(shí)間內(nèi)的建模。再有單個(gè)域名查詢總量的一個(gè)數(shù)據(jù),當(dāng)這三個(gè)數(shù)據(jù)有異常的時(shí)候,DNS網(wǎng)關(guān)可以針對(duì)這個(gè)情況做特殊處理。比如說(shuō)對(duì)管理人員報(bào)警,有各種聲音的方式、短信的方式、郵件的方式,告訴DNS管理員它已經(jīng)出現(xiàn)異常了。到底是遇到了DNS攻擊還是流量攻擊,這種情況下對(duì)于我們判斷具體的攻擊情況是非常有幫助的。正常的DNS工具有兩種情況,一種是偽造IP的海量查詢,還有一種是真實(shí)IP的查詢。通過DNS網(wǎng)站都可以對(duì)這兩種查詢做一個(gè)基本的判斷。那么在三層防火墻上通過智能的保護(hù)切換,包括IP也好,域名也好,這是我們部署的一個(gè)方案和建議。希望所有域名界的朋友能夠多交流,對(duì)我們?nèi)蘸驞NS的安全方面能夠有一個(gè)更好的方案來(lái)為整個(gè)互聯(lián)網(wǎng)公眾做服務(wù)。
我就講到這里,謝謝大家。
推薦閱讀
一方面,拉里·佩奇需要面對(duì)Facebook的沖擊,作為一家社交網(wǎng)站,F(xiàn)acebook即將上市;另一方面,佩奇還要面對(duì)蘋果。佩奇稱:“對(duì)諸多公司而言,一個(gè)有效的方法就是表明它們有一個(gè)明確的競(jìng)爭(zhēng)對(duì)手,并要求員工團(tuán)結(jié)一致,>>>詳細(xì)閱讀
本文標(biāo)題:許淵培:域名安全面臨挑戰(zhàn) 存軟件漏洞和DNS欺騙問題
地址:http://www.sdlzkt.com/a/guandian/yejie/20111230/159656.html
網(wǎng)友點(diǎn)評(píng)
精彩導(dǎo)讀
科技快報(bào)
品牌展示