騰訊科技訊 4月7日,在今日召開的第七屆站長大會“域名&IDC產業與發展高峰論壇”上,唯一網絡總經理許淵培表示,DNS安全問題已非常嚴重,唯一網絡將在定期更新服務器、預警和監控、多點部署等方面提升安全保障。
以下為演講實錄:
下面有請唯一網絡總經理許淵培先生。
許淵培:今天在這里非常感謝4.cn給這個機會讓我在這里跟大家交流一點關于DNS在保護方面的經驗或者說方法。
下面要講的是近年來域名安全方面的一些比較大的事件。我們目前DNS服務面臨的安全挑戰。包括我們如何保障DNS服務的安全。唯一網絡DNS安全解決方案。
09年的時候有一個非常著名的事件,就是519的事件,主要是因為一些DNSPOD用戶,域名互相攻擊造成DNSPOD檔機,不斷地向它進行請求,這些所有請求的壓力全部轉到運營商的服務器上去,包括南方六省的服務器全部崩潰,造成整個南方六省的斷網。在這個事件里面,電信在南方六省的網絡基本癱瘓了。包括聯通、鐵通在內也受了很大的影響。移動互聯網的用戶相對少一些,所以他們受的影響相對較小。
2010年1月份有一個很大的事件,就是百度的域名被劫持,主要是因為百度的美國運營商因為安全方面的問題,百度的域名DNS被篡改了。整個DNS被換掉以后,訪問百度以后是一個被黑客黑掉的頁面。2010年另外一個事件,DDOS攻擊,最后攻擊量達到50G。2012年時候,DDOS攻擊,造成Sedo停機3小時,后來官方修復之后也發了公告,包括對域名停放業務的用戶一個很大的補償。
如果一旦DNS出現問題以后,整個互聯網就基本上可以說是完全癱瘓了。DNS我們目前為止面臨的安全挑戰主要有幾個方面。第一是軟件漏洞。目前作為全球DNS服務軟件是最高的使用量,我們目前有13臺服務器,主要的漏洞包括緩沖區的移出漏洞,黑客可以使用簡單的一個查詢的命名,可以讓整個服務器檔機。借此由此獲得整個服務器的權限。
第二個DNS面臨的安全問題就是DNS欺騙。常見的幾種方式,比如說緩存投毒,包括DNS劫持。我們用一些特定的方式可以直接修改緩沖區的一些記錄,因為主要提供的是DNS的服務,基本上把所有的域名投入緩存,最后已經不可控了。所以關于DNS的安全問題是非常非常嚴重的。
DDos攻擊的話又分成很多種形式,比如說用流量攻擊的形式,SYN FLood等等。
在保證DNS服務安全方面,我們認為通過四個方面組成一個有機的整體,保證DNS服務的安全。
首先我們看看軟件服務器方面的安全。我們需要定期的更新相關的服務器,一旦官方報出一些高危漏洞的時候,我們需要及時地彌補它。采取一些認知審核,包括遠程登錄的端口,各種方式保證服務器本身的安全。運維及管理體系,作為域名提供的服務商,我覺得需要一支高效和非常迅速的運維隊伍專門應對DNS的安全事件。在遇到攻擊或者檔機的情況下的時候,我們有一支高效的團隊能夠及時地把問題發現并處理。其實在遇到DNS事件的時候,人為或者管理方面的錯誤造成的檔機事件也是時有發生。比如說09年的時候,瑞典的.SE,就是因為管理員在做配置文件的時候沒有注意少了一個點,讓整個運營在網上消失。
再有就是預警和監控。我們需要在DNS采取7×24小時的監控。包括服務器的本身的響應速度上面都需要有安全的循環和安全的人員做相應的監控。
然后就是網絡安全。現在針對DNS的攻擊大部分都是像DDOS,或者是查詢工具。在這方面我們有自己的一些解決方案。
DNS服務器我們目前建議域名提供商采用多點部署的方案,盡量不要采用單點部署。例如某一個數據中心出問題的時候,那么肯定DNS服務就完全中斷了,采用多點部署,比如幾個不同的數據中心部署不同的DNS服務器,就算有某一個數據中心由于物理連接的問題出問題,至少有其他的數據中心能夠保證服務的延續。
比如說某個數據中心內部的立體式防護,整個互聯網的接入,從柜機交換機下來以后第一層是防火墻的保護,主要做的上層的大流量的清洗,通過這層防火墻的過濾,可以把大部分攻擊過濾掉,通過第二層保護,是針對DNS服務器本身的防御。DNS網關是我們目前正在研發中的一個產品,它有幾個比較重要的一個功能。比如我們DNS網關可以針對域名查詢的一些數據做一個基礎的建模。比如說單位時間內域名解析的總量,整個DNS域名服務器解析的總量,單位時間內域名請求失敗的總量,也可以做一個單位時間內的建模。再有單個域名查詢總量的一個數據,當這三個數據有異常的時候,DNS網關可以針對這個情況做特殊處理。比如說對管理人員報警,有各種聲音的方式、短信的方式、郵件的方式,告訴DNS管理員它已經出現異常了。到底是遇到了DNS攻擊還是流量攻擊,這種情況下對于我們判斷具體的攻擊情況是非常有幫助的。正常的DNS工具有兩種情況,一種是偽造IP的海量查詢,還有一種是真實IP的查詢。通過DNS網站都可以對這兩種查詢做一個基本的判斷。那么在三層防火墻上通過智能的保護切換,包括IP也好,域名也好,這是我們部署的一個方案和建議。希望所有域名界的朋友能夠多交流,對我們日后DNS的安全方面能夠有一個更好的方案來為整個互聯網公眾做服務。
我就講到這里,謝謝大家。
推薦閱讀
創新工場COO陶寧(騰訊科技攝) 騰訊科技訊 (雷建平)4月7日消息,創新工場COO陶寧今日接受騰訊科技時表示,創新工場在成立兩年多時間將第三次搬家,此次搬家地點是鼎好,辦公面積將從原來的1千多平米擴張到7千多平米>>>詳細閱讀
地址:http://m.sdlzkt.com/a/kandian/20120407/48918.html
網友點評
精彩導讀
科技快報
品牌展示