《DNS防护方案电子教案》由会员分享,可在线阅读,更多相关《DNS防护方案电子教案(34页珍藏版)》请在金锄头文库上搜索。
1、,DNS防护解决方案,一、DNS系统安全威胁 二、DNS防护方案 三、DNS防护典型案例,目录,2010年1月,被非法篡改,造成网站无法正常访问,2009年5月,暴风影音事件,造成全国性的网络瘫痪,2009年5月,易名中国6台DNS服务器攻击,上万网站无法打开。 2007年4月,新网DNS服务器遭到大规模攻击并出现故障,造成上万网站无法访问。 2006年9月,新网DNS服务器遭到大规模黑客攻击,造成全国数万网站不能访问。 2001年,万网遭到黑客攻击,导致大量的网站不能正常使用 ,DPtech DNS安全的一些典型案例,DNS攻击实例,典型的虚假域名DDoS攻击,请求的二级域名是,三级域名随机
2、,DNS威胁二:漏洞攻击,BIND系统漏洞 BIND:开源DNS服务器软件,DNS的事实标准 操作系统漏洞 BIND可应用于Windows、UNIX、 Linux等操作系统,系统补丁管理困难,BIND系统漏洞众多,缓存污染 攻击者采用特殊的DNS请求,将虚假信息放入DNS的缓存中 DNS信息劫持 攻击者监听DNS会话,猜测DNS服务器响应ID,抢先将虚假的响应提交给客户端 DNS重定向 将DNS名称查询重定向到恶意DNS服务器,DNS威胁三:DNS欺骗,一、DNS系统安全威胁 二、DNS防护方案 组网介绍 DPtech DNS 防御技术介绍 DPtech DNS 防护硬件介绍 三、DNS防护典
3、型案例,目录,组网方案,透明模式串接负载均衡设备,透明串接模式(IP Anycast),组网方案,1、融合DNS设备工作在二层模式,同时对发往该节点缓存服务器的DNS查询数据包进行监测和侦听。 2、阻断非法报文、恶意报文 3、(开启缓存功能)作为后端DNS服务器群的前置缓存 4、当DPtech DNS防护系统发生故障时,系统自动将上联端口与下联端口进行直通,不对数据包进行监听和截获。 在这种方式下,由于DPtech DNS防护设备对DNS查询流量进行了有效的截获,能够有效降低DNS节点内四层交换机及DNS服务器的负荷。,DPtech DNS防护设备还能够提供DNS攻击防护、Cache、负载均衡
4、一体化解决方案,DNS服务器群,DPtech DNS防护设备,DNS一体化防护解决方案,城域网,DNS攻击防护,DNS Cache,负载均衡,一、DNS系统安全威胁 二、DNS防护方案 组网介绍 DPtech DNS 防御技术介绍 DPtech DNS 防护硬件介绍 三、DNS防护典型案例,目录,DPtech DNS防护设备功能,递归和非递归分离,降低服务器负荷 - 域名缓存200万 - 新建100万QPS,专业特征库全面防御各种系统漏洞,实现虚拟系统补丁,病毒防护.,全面的DNS Flood、 TCP Flood、UDP Flood、SYN Flood、ICMP Flood、HTTP Get
5、等DDoS攻击防御,DNS协议异常智能识别技术,避免DNS欺骗,DPtech 多层次DNS DDoS攻击防御技术,基于 报文行为特征 判断和控制,基于 报文指纹特征判断和控制,客户端 真实性检测,限速,DNS DDoS攻击防御技术基于报文指纹特征控制,受工具限制,DNS攻击报文往往存在一定的相似特征,但指纹特征匹配往往说起来容易,做起来很难。 1、由于多个字段加不同的特征值,记录跟踪消耗大量的资源, 2、完全静态匹配特征无法满足某些特征规律变化的特点,,DPtech DNS 防护设备,大容量缓存 专利的特征匹配技术,DNS DDoS攻击防御技术基于报文行为特征控制,按每源IP的QPS阈值进行攻
6、击识别与防御 告警、限速、清洗功能 自定义源IP,为不同的源IP指定不同的阈值 有效防御少量源发送大量DNS请求的攻击方式 按每Domain(全域名或者二/三级域名)的QPS阈值进行攻击识别与防御 告警、限速、清洗功能 自定义域名,为不同的域名指定不同的阈值 有效防御类似暴风影音事件的发生 按二级/三级Domain的QPS进行识别和防御 自动学习域名排名、解析失败率排名,自动针对高失败率域名进行阻断,基于报文行为特征的控制,DNS DDoS攻击防御技术客户端检测技术,基于TCP反弹的防御技术,DPtech DNS防护设备,DNS,Internet,超过设置的阈值后,要求用户使用TCP的DOMA
7、IN连接请求,发送带TC标志的DNS响应报文,DNS DDoS攻击防御技术客户端检测技术,基于重传校验的防御技术,DPtech DNS防护设备,DNS,Internet,DPtech 大容量DNS Cache,DNS服务器,DNS Reply,提供DNS Cache:提供大容量的DNS Cache,95%以上查询请求设备直接处理 DNS域名自学习:设备通过监控DNS服务器的响应,对于未知域名查询记录及时刷新DNS Cache; DNS域名信誉库:基于迪普公司自主研发域名信誉库,可以直接从工信部获取准确DNS域名记录,从而保证DNS域名完备和准确;,DPtech一体化 DNS防护设备,业界性能最
8、高,1、有效减少后端服务器压力。 2、针对虚假域名请求能有效抑制。,Internet,系统漏洞防护和DNS欺骗防护,DPtech: 通过分析攻击产生原理,定义攻击类型的统一特征,不受攻击变种的影响。技术门槛高,误报低 微软MAPP计划合作伙伴 全面兼容CVE,具有CVE认证 是极少数能发现漏洞并提交国家漏洞库的厂商,有效防御针对BIND系统漏洞的攻击 避免协议异常带来的DNS欺骗,专业的漏洞特征库,卡巴斯基专业防病毒特征库 拥有10万种病毒特征,病毒库,业界最全面,系统病毒防护,多种病毒库升级方式,专业的病毒特征库,可运维可管理的DNS防护系统丰富的报表功能,DNS源IP请求top10,一、D
9、NS系统安全威胁 二、DNS防护方案 组网介绍 DPtech DNS 防御技术介绍 DPtech DNS 防护硬件介绍 三、DNS防护典型案例,目录,DPtech DNS防护系统硬件,业界性能最高的DNS防护系统,多核处理器+大容量FPGA+CrossBar 并行处理技术,一次解析完成所有安全策略 控制平面和数据平面分离 DNS响应能力2000万QPS,防护能力20000万QPS 微秒级的延时,多核多线程,分布式处理,+,电信级高可靠性设计,分布式架构和多种容错设计,可以保证DNS系统环境下的高可靠性和可用性,达到永不断网.,DPtech DNS防护系统方案优点,高性能 整机最大处理能力200
10、0万QPS查询响应能力,5000万条缓存记录,微秒级延迟 一站式DNS防护 支持DNS攻击防护,全面防护针对DNS的离散攻击和线性攻击 支持DNS Cache,独有的DNS信誉库和域名自学习能力 支持DNS负载均衡,智能负载均衡调度算法 深度入侵防御 提供漏洞库、病毒库、协议库三库合一的综合防护能力 专业漏洞研究团队,与微软、卡巴斯基等进行深度合作,具备防御零时差攻击快速响应能力 高可靠、易扩展 智能掉电保护,冗余电源、双机热备 一体化架构,性能、功能、接口可按需扩展,方案特色,一、DNS系统安全威胁 二、DNS防护方案 三、DNS防护典型案例,目录,上海电信一体化DNS系统防护,作为2010
11、年上海世博会网络运营商,上海电信DNS的安全防护非常重要。经过严格的测试和选择,最终选择了DPtech 万兆DNS防护产品。,湖南移动DNS一体化系统防护,各种针对DNS的攻击层出不穷,给运营商网络的稳定运行带来了很大的威胁。单纯通过防火墙,或者增加服务器性能很难起到完善的防护效果 湖南移动在DNS服务器前部署DPtech DNS防护设备,配合原有的防火墙、多服务器负载分担,构成了一个更加安全、可靠的系统。,新疆电信DNS系统防护,新疆电信之前单纯通过防火墙进行防护,在遇到攻击时防护能力有限。为了构建一个稳定运行的网络,新疆电信部署DPtech DNS防护设备在DNS系统中。,部分运营商客户,山东电信 甘肃电信 福州电信 黑龙江电信 成都电信 吉林电信 西藏电信 浙江省电信 南京电信 青海电信 上海业务平台云一期,四川电信 陕西电信 湖南移动 黑龙江移动 宁波移动 福建铁通 黑龙江联通 山东联通 江苏联通 贵州移动 四川移动 广东联通,应用即网络!,杭州有限公司,
