南京信風(fēng)DNS系統(tǒng)加強方案

1、南 京 信 風(fēng) 2010/02 DNS加強系統(tǒng)方案加強系統(tǒng)方案 南京信風(fēng)南京信風(fēng) 需求驅(qū)動：需求驅(qū)動：DNS成為互聯(lián)網(wǎng)安全的關(guān)鍵環(huán)節(jié)成為互聯(lián)網(wǎng)安全的關(guān)鍵環(huán)節(jié) DNS已經(jīng)成為互聯(lián)網(wǎng)的基礎(chǔ)服務(wù)，DNS異常對于絕大部分用戶的 表現(xiàn)等同于互聯(lián)網(wǎng)中斷。（1）2007年4月27日，新網(wǎng)DNS服務(wù) 器遭到大規(guī)模攻擊并出現(xiàn)故障，造成上萬網(wǎng)站無法訪問；（2） 2009年5月8日，易名中國6臺DNS服務(wù)器遭到黑客攻擊，上萬網(wǎng) 站無法打開；（3）2009年5月19日，暴風(fēng)網(wǎng)站的域名解析系統(tǒng) 受到網(wǎng)絡(luò)攻擊出現(xiàn)故障，導(dǎo)致江蘇、浙江等6省電信用戶不能正 常上網(wǎng)；（4）2010年1月12日百度的DNS被篡改，導(dǎo)致10多個

2、小時服務(wù)中斷。 傳統(tǒng)的DNS“流量清洗”方案，難以對付針對DNS的DDOS攻擊。 讓網(wǎng)絡(luò)癱瘓最經(jīng)濟的攻擊手段是攻擊DNS系統(tǒng)，攻擊方法層出不 窮，需要有一種以不變應(yīng)萬變的策略，保護最關(guān)鍵的DNS服務(wù)系 統(tǒng)。 南京信風(fēng)南京信風(fēng) DNS安全的媒體報道安全的媒體報道 南京信風(fēng)南京信風(fēng) DNS安全的媒體報道安全的媒體報道 南京信風(fēng)南京信風(fēng) DNS安全引起工信部高度重視安全引起工信部高度重視 南京信風(fēng)南京信風(fēng) DNS異常舉例一：異常舉例一：DNS遭受攻擊遭受攻擊 南京信風(fēng)南京信風(fēng) DNS攻擊包舉例攻擊包舉例 測試DNS請求包由筆記本電腦合成并發(fā)出。 IP頭 UDP頭 DNS報文 南京信風(fēng)南京信風(fēng) 某大省

3、現(xiàn)網(wǎng)某大省現(xiàn)網(wǎng)DNS壓力測試結(jié)果壓力測試結(jié)果 F5負載均衡設(shè)備 DNS保護保護 XX電信骨干電信骨干 壓力測試筆 記本電腦 南京信風(fēng) DNS保護系統(tǒng) DNS服務(wù)器群 F5負載均衡設(shè)備 未開啟未開啟DNS保護功能的測試結(jié)果：保護功能的測試結(jié)果： 壓力測試筆記本電腦僅發(fā)出1/10的測試壓力， （1）號稱能提供20萬QPS服務(wù)能力的幾組 BIND服務(wù)器無法正常服務(wù)，CPU滿負荷； （2）F5會話溢出無法正常工作。 開啟開啟DNS保護功能的測試結(jié)果：保護功能的測試結(jié)果： 壓力測試筆記本電腦發(fā)出100%的測試壓力， 所有BIND服務(wù)器及F5正常工作。 1000M 可調(diào)整測試 壓力的帶寬 南京信風(fēng)南京信風(fēng)

4、 與電信運營商聯(lián)合的與電信運營商聯(lián)合的DNS攻防演練攻防演練 1。江蘇電信：一臺筆記本電腦1/10的CPU，攻癱江蘇電信四個DNS節(jié)點中的 一個，現(xiàn)網(wǎng)布署測試現(xiàn)網(wǎng)布署測試。打開信風(fēng)DNS AGC的防護功能之后，攻擊被攔截。 2。山東網(wǎng)通：一臺筆記本電腦1/10的CPU，攻癱山東網(wǎng)通四個DNS節(jié)點中的 一個，現(xiàn)網(wǎng)布署測試現(xiàn)網(wǎng)布署測試。打開信風(fēng)DNS AGC的防護功能之后，攻擊被攔截。 3。云南電信：一臺筆記本電腦1/10的CPU，攻癱云南電信DNS節(jié)點所有10臺 DNS服務(wù)器，現(xiàn)網(wǎng)布署測試現(xiàn)網(wǎng)布署測試。打開信風(fēng)DNS AGC的防護功能之后，攻擊 被攔截。 4。上海電信：一臺筆記本電腦1/10的C

5、PU，攻癱上海電信南匯信息園實驗環(huán) 境下的DNS服務(wù)器，所有IPS設(shè)備無法攔截攻擊包，上海電信為了加強世 博會DNS的安全，緊急部署南京信風(fēng)的DNS AGC系統(tǒng)。 南京信風(fēng)南京信風(fēng) DNS DoS/DDoS的攻與防的攻與防 2。攔截這個攻擊卻異常的困難，上海電信選型并測試了半年多的若干 網(wǎng)絡(luò)安全廠商，都無法攔截這類針對DNS的DoS/DDoS攻擊，上海 電信用測試儀表測試的結(jié)果。 3。2分鐘的演示，直觀感受一下簡單攻擊的威力及Cache效果。 4。信風(fēng)特有的DPI算法，巧妙地攔截了最復(fù)雜的DoS/DDoS攻擊。 1。攻擊代碼非常簡單：100多行的C代碼。 南京信風(fēng)南京信風(fēng) 信風(fēng)信風(fēng)DNS加強方

6、法論加強方法論 不依賴復(fù)雜的智能判斷，而是采用大量艱苦計算但行之有 效的策略； 以不變應(yīng)萬變，對付無論是主動攻擊還是意想不到的事件； 南京信風(fēng)南京信風(fēng) 建議限制省外建議限制省外DNS請求請求 在路由器上限制 而不是讓DNS系 統(tǒng)本身限制 本省DNS 服務(wù)系統(tǒng) 防止這條通道被省 外高流量（例如 10Gbps堵塞） 省內(nèi)省內(nèi) 省外省外 因為無法管控省外用戶，最有效的策略就是阻止省外的DNS請求及省 外發(fā)往DNS服務(wù)器的其他IP數(shù)據(jù)流量。 南京信風(fēng)南京信風(fēng) DNS保護策略和目標保護策略和目標 本省DNS 服務(wù)系統(tǒng) 管控觸發(fā)條件：管控觸發(fā)條件： 當且僅當DNS保護系統(tǒng)發(fā)現(xiàn)DNS請求超越了DNS系統(tǒng)的工

7、作能 力之后，保護系統(tǒng)對DNS請求進行管控； 源地址請求管控：源地址請求管控： 分別對每個撥號用戶、專線用戶等發(fā)出的DNS請求進行不同級 的控制，對超出部分丟棄； 域名解析管控：域名解析管控： 系統(tǒng)保留有正常的域名TOP20000，當某個域名突然上升時進行 告警，當某個域名超越預(yù)先設(shè)置的數(shù)值時，對超出部分進行丟棄； 也可對指定的域名進行代應(yīng)答； 域名白名單機制域名白名單機制 / 人工干預(yù)：人工干預(yù)： 當任何管控措施都無效的情況下，啟動4級白名單機制：保護系 統(tǒng)只放行對白名單域名的DNS請求，丟棄任何非白名單內(nèi)的 DNS請求（或進行代應(yīng)答）。 域名請求域名請求/應(yīng)答應(yīng)答 DPI 審查：審查： 丟

8、棄不符合DNS規(guī)范的請求、應(yīng)答。 DNS保護保護 省內(nèi)骨干網(wǎng) 目標：目標： 化解各種意想不到的攻擊模式，有效解決DNS系統(tǒng)最薄弱的環(huán) 節(jié)：遞歸DNS解析類DDOS攻擊，并對DNS投毒進行預(yù)警。 南京信風(fēng)南京信風(fēng) DNS Cache策略和目標策略和目標 本省DNS 服務(wù)系統(tǒng) 減輕減輕BIND負擔：負擔： 對于TTL未過期的域名請求，Cache系統(tǒng)代應(yīng)答； 加強加強DNS系統(tǒng)的可用性：系統(tǒng)的可用性： 當BIND出故障的時候，Cache系統(tǒng)可以繼續(xù)提供DNS服務(wù)。 省內(nèi)骨干網(wǎng) DNS Cache 目標：目標： 提供超強的DNS服務(wù)能力，減少BIND系統(tǒng)擴容投資，并提供更 好的服務(wù)； 配合配合DNS保

9、護單元的工作：保護單元的工作： 承擔DNS保護單元的部分工作（Cache功能從保護系統(tǒng)中 拆分出來）。 南京信風(fēng)南京信風(fēng) DNS加強系統(tǒng)功能簡介加強系統(tǒng)功能簡介 1.限制省外 DNS請求總量； 2.對每個DNS請求進行DPI，拋棄不合規(guī)范的DNS請求； 3.按需要限制每個寬帶帳號/每個企業(yè)用戶的DNS請求總量； 4.按需要限制針對每個域名的請求總量； 5.按需要對指定的域名進行特別應(yīng)答； 6.按需要強制矯正被投毒或篡改的域名信息； 7.提供優(yōu)先保障域名機制，確保重點域名優(yōu)先得到保障； 8.對DNS的解析/應(yīng)答進行實時多維統(tǒng)計，統(tǒng)計的維度包括域名解析量、解析 成功率、解析速度、用戶、節(jié)點、電路等

10、，提供多種報表； 9.過濾針對DNS系統(tǒng)各種DOS和DDOS攻擊包（包括遞歸域名解析攻擊包）； 10. 提供DNS被投毒的預(yù)警功能； 11. 大幅度提升DNS系統(tǒng)的抗攻擊性能：將DNS抗攻擊性能提升100倍以上； 12. 大幅度提升DNS系統(tǒng)的服務(wù)性能：將DNS服務(wù)性能提升10到100倍； 13. 大幅度加強DNS系統(tǒng)的可用性：DNS系統(tǒng)本身故障及根域名系統(tǒng)故障時還能 繼續(xù)提供服務(wù)； 單位QPS的價格僅為電信運營商原來建設(shè)DNS系統(tǒng)的幾十分之一 。 此外，信風(fēng)將協(xié)助電信運營商對原有DNS服務(wù)系統(tǒng)或DNS抗攻擊系統(tǒng)進行安全測試。 南京信風(fēng)南京信風(fēng) 一體化一體化DNS保護及保護及Cache系統(tǒng)弊端

11、系統(tǒng)弊端 1000M DNS服務(wù)器群 電信運營商骨干電信運營商骨干 DNS Cache DNS 保護保護 缺陷：Cache系統(tǒng)邏輯簡單，保護系統(tǒng)邏輯 復(fù)雜，復(fù)雜邏輯必定降低可靠性復(fù)雜邏輯必定降低可靠性。電信某大 省出現(xiàn)過保護系統(tǒng)誤動作導(dǎo)致DNS系統(tǒng)中斷 2小時。 中國電信集團運維安全專家建議： 保護系統(tǒng)平常只運行在并接狀態(tài)。 南京信風(fēng)南京信風(fēng) DNS服務(wù)系統(tǒng)遭遇服務(wù)系統(tǒng)遭遇DDOS攻擊攻擊 DNS服務(wù)器群 DNS保護保護 DNS Cache 電信運營商骨干電信運營商骨干 DNS服務(wù)器群 遭遇DDOS攻擊 可切換到串接 DNS保護保護 DNS Cache 電信運營商骨干電信運營商骨干 南京信風(fēng)南

12、京信風(fēng) 信風(fēng)信風(fēng)DNS保護及保護及Cache系統(tǒng)處理性能系統(tǒng)處理性能 DNS保護保護 DNS Cache 10GE版：單機250萬QPS GE版：單機80萬QPS DNS服務(wù)器群 10GE版：單機處理1000萬QPS DDOS攻擊 GE版：單機處理120萬QPS DDOS攻擊 電信運營商骨干電信運營商骨干 性能太強了性能太強了! 南京信風(fēng)南京信風(fēng) 信風(fēng)信風(fēng)DNS Cache系統(tǒng)的流量經(jīng)營功能系統(tǒng)的流量經(jīng)營功能 DNS保護保護 DNS服務(wù)器群 DNS Cache 電信運營商骨干電信運營商骨干 流量經(jīng)營： 1。對不存在的域名，114劫持后不Cache； 2。未達到DNS服務(wù)系統(tǒng)的工作能力時，Cac

13、he不代服務(wù)。 3。支持策略劫持：按比例將未命中的域名劫持。 南京信風(fēng)南京信風(fēng) 建議省級運營商標準的部屬方案建議省級運營商標準的部屬方案 原有DNS系統(tǒng) DNS Cache 電信運營商骨干電信運營商骨干 DNS保護保護 DNS Cache SiSiSiSi DNS保護保護 1000M 10GE 10GE DNS Cache DNS保護保護 DNS Cache SiSiSiSi DNS保護保護 1000M 10GE 10GE DNS節(jié)點節(jié)點1DNS節(jié)點節(jié)點2 統(tǒng)計管理服務(wù)器群 4x10GE接口，接口，1000萬萬QPS DNS解析性能解析性能 抵御抵御4000萬萬QPS針對針對DNS的的DDOS

14、攻擊攻擊 原有DNS系統(tǒng) 管理中心管理中心 南京信風(fēng)南京信風(fēng) 施工與割接施工與割接 1。DNS Cache及保護系統(tǒng)，都沒有IP地址，透明橋接在原有DNS系統(tǒng)之中， 割接簡易，對最終用戶也沒有任何影響； 2。管理系統(tǒng)占用機架約8U，實際功率消耗約2000瓦； 3。DNS Cache及保護系統(tǒng)，每個節(jié)點共占用機架約4U， 實際功率消耗約1500瓦； 4。機架位、電源、通信線纜可以預(yù)先準備，除此之外的施工和調(diào)試周期 為3到5天； 南京信風(fēng)南京信風(fēng) 投資預(yù)算投資預(yù)算 一、一、4 x 10GE 標準配置：標準配置： （1）2個標準10GE加強節(jié)點，每個節(jié)點2套DNS Cache和DNS防護單機； （1

15、）1000萬QPS的DNS服務(wù)能力； （2）抵御4000萬QPS針對DNS的DOS和DDOS攻擊； 單位服務(wù)能力價格：單位服務(wù)能力價格： 10萬QPS的DNS解析 + 40萬QPS的DNS防護，軟硬件價格約4萬元人民幣； 二、二、8 x GE 標準配置：標準配置： （1）4個標準GE加強節(jié)點，每個節(jié)點2套DNS Cache和DNS防護單機； （1）640萬QPS的DNS服務(wù)能力； （2）抵御960萬QPS針對DNS的DOS和DDOS攻擊； 單位服務(wù)能力價格：單位服務(wù)能力價格： 10萬QPS的DNS解析 + 15萬QPS的DNS防護，軟硬件價格約5萬元人民幣； 南京信風(fēng)南京信風(fēng) 高可靠電信服務(wù)專家高可靠電信服務(wù)專家 中國電信及中國網(wǎng)通若干省的幾百條10G POS骨干，若干條