騰訊科技訊 4月7日,在今日召開的第七屆站長大會“域名&IDC產(chǎn)業(yè)與發(fā)展高峰論壇”上,唯一網(wǎng)絡(luò)總經(jīng)理許淵培表示,DNS安全問題已非常嚴(yán)重,唯一網(wǎng)絡(luò)將在定期更新服務(wù)器、預(yù)警和監(jiān)控、多點部署等方面提升安全保障。
以下為演講實錄:
下面有請唯一網(wǎng)絡(luò)總經(jīng)理許淵培先生。
許淵培:今天在這里非常感謝4.cn給這個機會讓我在這里跟大家交流一點關(guān)于DNS在保護(hù)方面的經(jīng)驗或者說方法。
下面要講的是近年來域名安全方面的一些比較大的事件。我們目前DNS服務(wù)面臨的安全挑戰(zhàn)。包括我們?nèi)绾伪U螪NS服務(wù)的安全。唯一網(wǎng)絡(luò)DNS安全解決方案。
09年的時候有一個非常著名的事件,就是519的事件,主要是因為一些DNSPOD用戶,域名互相攻擊造成DNSPOD檔機,不斷地向它進(jìn)行請求,這些所有請求的壓力全部轉(zhuǎn)到運營商的服務(wù)器上去,包括南方六省的服務(wù)器全部崩潰,造成整個南方六省的斷網(wǎng)。在這個事件里面,電信在南方六省的網(wǎng)絡(luò)基本癱瘓了。包括聯(lián)通、鐵通在內(nèi)也受了很大的影響。移動互聯(lián)網(wǎng)的用戶相對少一些,所以他們受的影響相對較小。
2010年1月份有一個很大的事件,就是百度的域名被劫持,主要是因為百度的美國運營商因為安全方面的問題,百度的域名DNS被篡改了。整個DNS被換掉以后,訪問百度以后是一個被黑客黑掉的頁面。2010年另外一個事件,DDOS攻擊,最后攻擊量達(dá)到50G。2012年時候,DDOS攻擊,造成Sedo停機3小時,后來官方修復(fù)之后也發(fā)了公告,包括對域名停放業(yè)務(wù)的用戶一個很大的補償。
如果一旦DNS出現(xiàn)問題以后,整個互聯(lián)網(wǎng)就基本上可以說是完全癱瘓了。DNS我們目前為止面臨的安全挑戰(zhàn)主要有幾個方面。第一是軟件漏洞。目前作為全球DNS服務(wù)軟件是最高的使用量,我們目前有13臺服務(wù)器,主要的漏洞包括緩沖區(qū)的移出漏洞,黑客可以使用簡單的一個查詢的命名,可以讓整個服務(wù)器檔機。借此由此獲得整個服務(wù)器的權(quán)限。
第二個DNS面臨的安全問題就是DNS欺騙。常見的幾種方式,比如說緩存投毒,包括DNS劫持。我們用一些特定的方式可以直接修改緩沖區(qū)的一些記錄,因為主要提供的是DNS的服務(wù),基本上把所有的域名投入緩存,最后已經(jīng)不可控了。所以關(guān)于DNS的安全問題是非常非常嚴(yán)重的。
DDos攻擊的話又分成很多種形式,比如說用流量攻擊的形式,SYN FLood等等。
在保證DNS服務(wù)安全方面,我們認(rèn)為通過四個方面組成一個有機的整體,保證DNS服務(wù)的安全。
首先我們看看軟件服務(wù)器方面的安全。我們需要定期的更新相關(guān)的服務(wù)器,一旦官方報出一些高危漏洞的時候,我們需要及時地彌補它。采取一些認(rèn)知審核,包括遠(yuǎn)程登錄的端口,各種方式保證服務(wù)器本身的安全。運維及管理體系,作為域名提供的服務(wù)商,我覺得需要一支高效和非常迅速的運維隊伍專門應(yīng)對DNS的安全事件。在遇到攻擊或者檔機的情況下的時候,我們有一支高效的團(tuán)隊能夠及時地把問題發(fā)現(xiàn)并處理。其實在遇到DNS事件的時候,人為或者管理方面的錯誤造成的檔機事件也是時有發(fā)生。比如說09年的時候,瑞典的.SE,就是因為管理員在做配置文件的時候沒有注意少了一個點,讓整個運營在網(wǎng)上消失。
再有就是預(yù)警和監(jiān)控。我們需要在DNS采取7×24小時的監(jiān)控。包括服務(wù)器的本身的響應(yīng)速度上面都需要有安全的循環(huán)和安全的人員做相應(yīng)的監(jiān)控。
然后就是網(wǎng)絡(luò)安全。現(xiàn)在針對DNS的攻擊大部分都是像DDOS,或者是查詢工具。在這方面我們有自己的一些解決方案。
DNS服務(wù)器我們目前建議域名提供商采用多點部署的方案,盡量不要采用單點部署。例如某一個數(shù)據(jù)中心出問題的時候,那么肯定DNS服務(wù)就完全中斷了,采用多點部署,比如幾個不同的數(shù)據(jù)中心部署不同的DNS服務(wù)器,就算有某一個數(shù)據(jù)中心由于物理連接的問題出問題,至少有其他的數(shù)據(jù)中心能夠保證服務(wù)的延續(xù)。
比如說某個數(shù)據(jù)中心內(nèi)部的立體式防護(hù),整個互聯(lián)網(wǎng)的接入,從柜機交換機下來以后第一層是防火墻的保護(hù),主要做的上層的大流量的清洗,通過這層防火墻的過濾,可以把大部分攻擊過濾掉,通過第二層保護(hù),是針對DNS服務(wù)器本身的防御。DNS網(wǎng)關(guān)是我們目前正在研發(fā)中的一個產(chǎn)品,它有幾個比較重要的一個功能。比如我們DNS網(wǎng)關(guān)可以針對域名查詢的一些數(shù)據(jù)做一個基礎(chǔ)的建模。比如說單位時間內(nèi)域名解析的總量,整個DNS域名服務(wù)器解析的總量,單位時間內(nèi)域名請求失敗的總量,也可以做一個單位時間內(nèi)的建模。再有單個域名查詢總量的一個數(shù)據(jù),當(dāng)這三個數(shù)據(jù)有異常的時候,DNS網(wǎng)關(guān)可以針對這個情況做特殊處理。比如說對管理人員報警,有各種聲音的方式、短信的方式、郵件的方式,告訴DNS管理員它已經(jīng)出現(xiàn)異常了。到底是遇到了DNS攻擊還是流量攻擊,這種情況下對于我們判斷具體的攻擊情況是非常有幫助的。正常的DNS工具有兩種情況,一種是偽造IP的海量查詢,還有一種是真實IP的查詢。通過DNS網(wǎng)站都可以對這兩種查詢做一個基本的判斷。那么在三層防火墻上通過智能的保護(hù)切換,包括IP也好,域名也好,這是我們部署的一個方案和建議。希望所有域名界的朋友能夠多交流,對我們?nèi)蘸驞NS的安全方面能夠有一個更好的方案來為整個互聯(lián)網(wǎng)公眾做服務(wù)。
我就講到這里,謝謝大家。
推薦閱讀
創(chuàng)新工場COO陶寧(騰訊科技攝) 騰訊科技訊 (雷建平)4月7日消息,創(chuàng)新工場COO陶寧今日接受騰訊科技時表示,創(chuàng)新工場在成立兩年多時間將第三次搬家,此次搬家地點是鼎好,辦公面積將從原來的1千多平米擴張到7千多平米>>>詳細(xì)閱讀
本文標(biāo)題:唯一網(wǎng)絡(luò)總經(jīng)理許淵培:DNS安全問題已很嚴(yán)重
地址:http://www.xglongwei.com/a/kandian/20120407/48918.html
網(wǎng)友點評
精彩導(dǎo)讀
科技快報
品牌展示