1、針對(duì)DNS系統(tǒng)的惡意攻擊:發(fā)動(dòng)DNS DDOS攻擊造成DNS名稱(chēng)解析癱瘓。
 
2、DNS名稱(chēng)劫持:修改注冊(cè)訊息、劫持解析的結(jié)果。
 
當(dāng)DNS服務(wù)器遭遇DNSSpoofing惡意攻擊時(shí),不管是正常DNS查詢(xún)封包或非正常的封包都經(jīng)由UDPPort53進(jìn)到內(nèi)部的DNS服務(wù)器,DNS服務(wù)器除了要處理正常封包外,還要處理這些垃圾封包,當(dāng)每秒的封包數(shù)大到一定的量時(shí),DNS服務(wù)器肯定無(wú)法處理了,此時(shí)正常的封包請(qǐng)求,也一定無(wú)法得到正常的回應(yīng),當(dāng)查詢(xún)網(wǎng)站的IP無(wú)法被回應(yīng)時(shí),用戶(hù)當(dāng)然連接不到網(wǎng)站看不見(jiàn)網(wǎng)頁(yè),如果是查詢(xún)郵件服務(wù)器時(shí),那郵件也無(wú)法被寄出,重要的資料也無(wú)法被順利的傳遞了,因此,維護(hù)DNS服務(wù)的正常運(yùn)作就是一件非常重要的工作。
 
針對(duì)以上的問(wèn)題AX有一個(gè)解決方式,就是DNS應(yīng)用服務(wù)防火墻,AX在這問(wèn)題有三個(gè)有力的方法,可以有效的緩解這些攻擊所造成的影響,
 
1、首先將非DNS協(xié)定的封包過(guò)濾(Malformed Query Filter)
 
2、再來(lái)將經(jīng)由DNS服務(wù)器查詢(xún)到的訊息做緩存(DNS Cache)
 
3、如果真的遇到大量的正常查詢(xún)、AX可以啟動(dòng)每秒的連線(xiàn)控制(Connection Rate Limit)
 
Malformed Query Filter:
 
這種非正常的封包通常都是用來(lái)將對(duì)外網(wǎng)絡(luò)的頻寬給撐爆,當(dāng)然也會(huì)造成DNS服務(wù)器的忙碌,所以AX在第一線(xiàn)就將這類(lèi)的封包過(guò)濾,正確的封包傳遞到后方的服務(wù)器,不正常的封包自動(dòng)過(guò)濾掉避免服務(wù)器的負(fù)擔(dān)。
 
DNS Cache:
 
當(dāng)DNS查詢(xún)的回應(yīng)回到AX時(shí),AX可以預(yù)先設(shè)定好哪些Domain要Cache哪些不需要Cache,如果有Cache,當(dāng)下一個(gè)同樣的查詢(xún)來(lái)到AX時(shí),AX就能從Cache中直接回應(yīng),不需要再去DNS服務(wù)器查詢(xún),一方面減輕了DNS服務(wù)器的負(fù)擔(dān),另一方面也加快了回應(yīng)的速度。
 
再者,當(dāng)企業(yè)選用此功能時(shí)更能僅設(shè)定公司的Domain做Cache,而非關(guān)此Domain的查詢(xún)一律不Cache或者拒絕回應(yīng),這樣更能有效的保護(hù)企業(yè)的DNS服務(wù)器。
 
而ISP之類(lèi)需提供大量查詢(xún)的服務(wù),更適合使用此功能,為DNS服務(wù)提供更好更快的回應(yīng)。
 
Connection RateLimit:
 
當(dāng)查詢(xún)的流量大到一定的程度時(shí),例如同一個(gè)Domain每秒超過(guò)1000個(gè)請(qǐng)求,此時(shí)在AX上可以啟動(dòng)每秒的連線(xiàn)控制,控制進(jìn)入到后端DNS服務(wù)器的查詢(xún)量,超過(guò)的部分直接丟棄,更嚴(yán)格的保護(hù)DSN服務(wù)器的資源。
 
相信許多人期待在日新月異的網(wǎng)際網(wǎng)絡(luò)中看到創(chuàng)新的網(wǎng)絡(luò)技術(shù),并能提供更好的網(wǎng)絡(luò)應(yīng)用服務(wù)。而確保DNS服務(wù)的不間斷持續(xù)運(yùn)作并讓DNS服務(wù)所提供的資訊是正確的,這也是一切網(wǎng)絡(luò)應(yīng)用服務(wù)的基礎(chǔ)。
 
本文提及DNS防火墻應(yīng)用服務(wù)功能,除了希望提醒讀者DNS服務(wù)的重要外,亦希望讀者對(duì)DNS的安全性上有所認(rèn)知,進(jìn)而知道如何保護(hù)DNS服務(wù)器,并在防止被惡意攻擊上提供一些有效的幫助。

分享到

tangrong

相關(guān)推薦