DNS防護(hù)方案課件

DNS防護(hù)解決方案一、DNS系統(tǒng)安全威脅二、DNS防護(hù)方案三、DNS防護(hù)典型案例目錄2010年1月，被非法篡改，造成網(wǎng)站無法正常訪問2009年5月，暴風(fēng)影音事件，造成全國(guó)性的網(wǎng)絡(luò)癱瘓2009年5月，易名中國(guó)6臺(tái)DNS服務(wù)器攻擊，上萬網(wǎng)站無法打開。2007年4月，新網(wǎng)DNS服務(wù)器遭到大規(guī)模攻擊并出現(xiàn)故障，造成上萬網(wǎng)站無法訪問。2006年9月，新網(wǎng)DNS服務(wù)器遭到大規(guī)模黑客攻擊，造成全國(guó)數(shù)萬網(wǎng)站不能訪問。2001年，萬網(wǎng)遭到黑客攻擊，導(dǎo)致大量的網(wǎng)站不能正常使用……DPtechDNS安全的一些典型案例DNS威脅一：DDoS拒絕服務(wù)攻擊攻擊源肉雞攻擊工具攻擊攻擊特征帶寬攻擊資源消耗攻擊DNS攻擊實(shí)例

典型的虛假域名DDoS攻擊，請(qǐng)求的二級(jí)域名是67，三級(jí)域名隨機(jī)DNS威脅二：漏洞攻擊BIND系統(tǒng)漏洞BIND:開源DNS服務(wù)器軟件，DNS的事實(shí)標(biāo)準(zhǔn)操作系統(tǒng)漏洞BIND可應(yīng)用于Windows、UNIX、Linux等操作系統(tǒng)，系統(tǒng)補(bǔ)丁管理困難BIND系統(tǒng)漏洞眾多組網(wǎng)方案DNS1DNS2DNS3DNS4負(fù)載均衡DPtechDNS防護(hù)設(shè)備接入路由器DNS1DNS2DNS3DNS4DPtechDNS防護(hù)設(shè)備接入路由器透明模式串接負(fù)載均衡設(shè)備透明串接模式（IPAnycast）組網(wǎng)方案1、融合DNS設(shè)備工作在二層模式，同時(shí)對(duì)發(fā)往該節(jié)點(diǎn)緩存服務(wù)器的DNS查詢數(shù)據(jù)包進(jìn)行監(jiān)測(cè)和偵聽。2、阻斷非法報(bào)文、惡意報(bào)文3、（開啟緩存功能）作為后端DNS服務(wù)器群的前置緩存4、當(dāng)DPtechDNS防護(hù)系統(tǒng)發(fā)生故障時(shí)，系統(tǒng)自動(dòng)將上聯(lián)端口與下聯(lián)端口進(jìn)行直通，不對(duì)數(shù)據(jù)包進(jìn)行監(jiān)聽和截獲。

在這種方式下，由于DPtechDNS防護(hù)設(shè)備對(duì)DNS查詢流量進(jìn)行了有效的截獲，能夠有效降低DNS節(jié)點(diǎn)內(nèi)四層交換機(jī)及DNS服務(wù)器的負(fù)荷。DPtechDNS防護(hù)設(shè)備還能夠提供DNS攻擊防護(hù)、Cache、負(fù)載均衡一體化解決方案DNS服務(wù)器群DPtechDNS防護(hù)設(shè)備DNS一體化防護(hù)解決方案城域網(wǎng)DNS攻擊防護(hù)DNSCache負(fù)載均衡異常訪問進(jìn)行安全防御1正常訪問在緩存中，直接回復(fù)2正常訪問不在緩存中，智能調(diào)度到各DNS中3一、DNS系統(tǒng)安全威脅二、DNS防護(hù)方案組網(wǎng)介紹

DPtechDNS防御技術(shù)介紹DPtechDNS防護(hù)硬件介紹三、DNS防護(hù)典型案例目錄DPtechDNS防護(hù)設(shè)備功能DNSCacheDDoS攻擊防護(hù)DNS欺騙防護(hù)系統(tǒng)漏洞防護(hù)DPtech一體化DNS防護(hù)遞歸和非遞歸分離，降低服務(wù)器負(fù)荷-域名緩存200萬-新建100萬QPS專業(yè)特征庫(kù)全面防御各種系統(tǒng)漏洞，實(shí)現(xiàn)虛擬系統(tǒng)補(bǔ)丁,病毒防護(hù).全面的DNSFlood、TCPFlood、UDPFlood、SYNFlood、ICMPFlood、HTTPGet等DDoS攻擊防御DNS協(xié)議異常智能識(shí)別技術(shù)，避免DNS欺騙DPtech多層次DNSDDoS攻擊防御技術(shù)基于報(bào)文行為特征判斷和控制基于報(bào)文指紋特征判斷和控制客戶端真實(shí)性檢測(cè)限速DNSDDoS攻擊防御技術(shù)——基于報(bào)文指紋特征控制受工具限制，DNS攻擊報(bào)文往往存在一定的相似特征，但指紋特征匹配往往說起來容易，做起來很難。1、由于多個(gè)字段加不同的特征值，記錄跟蹤消耗大量的資源，2、完全靜態(tài)匹配特征無法滿足某些特征規(guī)律變化的特點(diǎn)，DPtechDNS防護(hù)設(shè)備大容量緩存專利的特征匹配技術(shù)版本首部長(zhǎng)度服務(wù)類型總長(zhǎng)度（字節(jié)數(shù)）16位標(biāo)識(shí)標(biāo)志片偏移TTL協(xié)議類型首部校驗(yàn)和源IP目的IP選項(xiàng)（options）數(shù)據(jù)源端口目的端口用戶數(shù)據(jù)包長(zhǎng)度檢查和數(shù)據(jù)標(biāo)識(shí)標(biāo)志問題數(shù)資源記錄數(shù)授權(quán)資源記錄數(shù)額外資源記錄數(shù)查詢問題回答（資源記錄數(shù)可變）授權(quán)（資源記錄數(shù)可變）額外信息（資源記錄數(shù)可變）IP報(bào)文UDP報(bào)文DNS報(bào)文DNSDDoS攻擊防御技術(shù)——基于報(bào)文行為特征控制按每源IP的QPS閾值進(jìn)行攻擊識(shí)別與防御告警、限速、清洗功能自定義源IP，為不同的源IP指定不同的閾值有效防御少量源發(fā)送大量DNS請(qǐng)求的攻擊方式按每Domain(全域名或者二/三級(jí)域名)的QPS閾值進(jìn)行攻擊識(shí)別與防御告警、限速、清洗功能自定義域名，為不同的域名指定不同的閾值有效防御類似暴風(fēng)影音事件的發(fā)生按二級(jí)/三級(jí)Domain的QPS進(jìn)行識(shí)別和防御自動(dòng)學(xué)習(xí)域名排名、解析失敗率排名，自動(dòng)針對(duì)高失敗率域名進(jìn)行阻斷基于報(bào)文行為特征的控制DNSDDoS攻擊防御技術(shù)——客戶端檢測(cè)技術(shù)基于TCP反彈的防御技術(shù)DPtechDNS防護(hù)設(shè)備DNSInternet超過設(shè)置的閾值后，要求用戶使用TCP的DOMAIN連接請(qǐng)求，發(fā)送帶TC標(biāo)志的DNS響應(yīng)報(bào)文DNS

Flood攻擊攻擊主機(jī)攻擊主機(jī)攻擊主機(jī)不會(huì)重發(fā)TCP的DNS請(qǐng)求報(bào)文，因此所有DNS攻擊報(bào)文被防護(hù)設(shè)備阻擋正常主機(jī)正常主機(jī)會(huì)重發(fā)TCP的DNS請(qǐng)求報(bào)文將TCP的DOMAIN請(qǐng)求轉(zhuǎn)化為UDP后發(fā)給DNS服務(wù)器，防止DNS服務(wù)器負(fù)載過大DNSDDoS攻擊防御技術(shù)——客戶端檢測(cè)技術(shù)基于重傳校驗(yàn)的防御技術(shù)DPtechDNS防護(hù)設(shè)備DNSInternetDNS

Flood攻擊攻擊主機(jī)攻擊主機(jī)攻擊主機(jī)不會(huì)重發(fā)DNS請(qǐng)求報(bào)文，因此所有DNS攻擊報(bào)文被防護(hù)設(shè)備阻擋正常主機(jī)正常主機(jī)會(huì)重發(fā)的DNS請(qǐng)求報(bào)文將正常主機(jī)發(fā)送的通過合法校驗(yàn)的重傳報(bào)文發(fā)送給DNS服務(wù)器發(fā)現(xiàn)服務(wù)器受攻擊后，防護(hù)設(shè)備收到后續(xù)每個(gè)DNS請(qǐng)求會(huì)話的第一個(gè)報(bào)文時(shí)不會(huì)直接轉(zhuǎn)給服務(wù)器，先在本地緩存DPtech大容量DNSCacheDNSQueryDNS服務(wù)器DNSReply提供DNSCache：提供大容量的DNSCache，95%以上查詢請(qǐng)求設(shè)備直接處理DNS域名自學(xué)習(xí)：設(shè)備通過監(jiān)控DNS服務(wù)器的響應(yīng)，對(duì)于未知域名查詢記錄及時(shí)刷新DNSCache；DNS域名信譽(yù)庫(kù)：基于迪普公司自主研發(fā)域名信譽(yù)庫(kù)，可以直接從工信部獲取準(zhǔn)確DNS域名記錄，從而保證DNS域名完備和準(zhǔn)確；DPtech一體化

DNS防護(hù)設(shè)備業(yè)界性能最高1、有效減少后端服務(wù)器壓力。2、針對(duì)虛假域名請(qǐng)求能有效抑制。Internet系統(tǒng)漏洞防護(hù)和DNS欺騙防護(hù)DPtech：通過分析攻擊產(chǎn)生原理，定義攻擊類型的統(tǒng)一特征，不受攻擊變種的影響。技術(shù)門檻高，誤報(bào)低微軟MAPP計(jì)劃合作伙伴全面兼容CVE，具有CVE認(rèn)證是極少數(shù)能發(fā)現(xiàn)漏洞并提交國(guó)家漏洞庫(kù)的廠商有效防御針對(duì)BIND系統(tǒng)漏洞的攻擊避免協(xié)議異常帶來的DNS欺騙專業(yè)的漏洞特征庫(kù)卡巴斯基專業(yè)防病毒特征庫(kù)擁有10萬種病毒特征病毒庫(kù)業(yè)界最全面系統(tǒng)病毒防護(hù)手工升級(jí)自動(dòng)在線統(tǒng)一升級(jí)升級(jí)方式多種病毒庫(kù)升級(jí)方式專業(yè)的病毒特征庫(kù)可運(yùn)維可管理的DNS防護(hù)系統(tǒng)——豐富的報(bào)表功能DNS源IP請(qǐng)求top10一、DNS系統(tǒng)安全威脅二、DNS防護(hù)方案組網(wǎng)介紹

DPtechDNS防御技術(shù)介紹DPtechDNS防護(hù)硬件介紹三、DNS防護(hù)典型案例目錄DPtechDNS防護(hù)系統(tǒng)硬件DNS防護(hù)單板：DNSCache：500萬

DNS查詢及響應(yīng)：200萬QPS

DNS防護(hù)能力：2000萬QPS4*10GE+24*GE其他支持業(yè)務(wù)板：防火墻、負(fù)載均衡等接口板：4*10GE、8*10GE、48*GE4*2.5GPOS等。DPX8000A3/A5/A12DNS防護(hù)單板框式設(shè)備單板：

DNSCache：200萬

DNS查詢及響應(yīng)：100萬QPS

DNS防護(hù)能力：1000萬QPS

端口：2*10GE+24*GEDPtechDNS防護(hù)設(shè)備盒式設(shè)備業(yè)界性能最高的DNS防護(hù)系統(tǒng)多核處理器+大容量FPGA+CrossBar并行處理技術(shù)，一次解析完成所有安全策略控制平面和數(shù)據(jù)平面分離DNS響應(yīng)能力2000萬QPS，防護(hù)能力20000萬QPS微秒級(jí)的延時(shí)多核多線程分布式處理

+電信級(jí)高可靠性設(shè)計(jì)不間斷重啟/NSF主備倒換時(shí)通過不間斷重啟特性維持和對(duì)端協(xié)議狀態(tài)NSF確保倒換對(duì)轉(zhuǎn)發(fā)沒有影響在線升級(jí)確保升級(jí)對(duì)業(yè)務(wù)無影響降低維護(hù)壓力熱補(bǔ)丁通過熱補(bǔ)丁解決軟件bug相對(duì)升級(jí)軟件推出速度更快高可靠關(guān)鍵部件冗余設(shè)計(jì);選擇性二層回退(bypass功能)分布式架構(gòu)和多種容錯(cuò)設(shè)計(jì)，可以保證DNS系統(tǒng)環(huán)境下的高可靠性和可用性，達(dá)到永不斷網(wǎng).DPtechDNS防護(hù)系統(tǒng)方案優(yōu)點(diǎn)DNS一體化防護(hù)方案一體化DNS防護(hù)，2000萬QPS響應(yīng)能力，20000萬QPS防護(hù)能力高性能DNSDDoS攻擊防護(hù)DNSCacheDNS服務(wù)器負(fù)載均衡一體化雙電源，二層回退機(jī)制，硬件bypass機(jī)制。高可靠遞歸和非遞歸分離，降低服務(wù)器負(fù)荷卸載服務(wù)器性能處理能力無License限制無License限制大大降低CAPEX，OPEX無需新增網(wǎng)絡(luò)節(jié)點(diǎn)減少投資高性能整機(jī)最大處理能力2000萬QPS查詢響應(yīng)能力，5000萬條緩存記錄，微秒級(jí)延遲一站式DNS防護(hù)支持DNS攻擊防護(hù)，全面防護(hù)針對(duì)DNS的離散攻擊和線性攻擊支持DNSCache，獨(dú)有的DNS信譽(yù)庫(kù)和域名自學(xué)習(xí)能力支持DNS負(fù)載均衡，智能負(fù)載均衡調(diào)度算法深度入侵防御提供漏洞庫(kù)、病毒庫(kù)、協(xié)議庫(kù)三庫(kù)合一的綜合防護(hù)能力專業(yè)漏洞研究團(tuán)隊(duì)，與微軟、卡巴斯基等進(jìn)行深度合作，具備防御零時(shí)差攻擊快速響應(yīng)能力高可靠、易擴(kuò)展智能掉電保護(hù)，冗余電源、雙機(jī)熱備一體化架構(gòu)，性能、功能、接口可按需擴(kuò)展方案特色一、DNS系統(tǒng)安全威脅二、DNS防護(hù)方案三、DNS防護(hù)典型案例目錄上海電信一體化DNS系統(tǒng)防護(hù)作為2010年上海世博會(huì)網(wǎng)絡(luò)運(yùn)營(yíng)商，上海電信DNS的安全防護(hù)非常重要。經(jīng)過嚴(yán)格的測(cè)試和選擇，最終選擇了DPtech萬兆DNS防護(hù)產(chǎn)品。DNS服務(wù)器DNS服務(wù)器DNS服務(wù)器DNS服務(wù)器DNS服務(wù)器DNS服務(wù)器DPtechDNS防護(hù)設(shè)備南匯槽溪沈家宅城域網(wǎng)DPtechDNS防護(hù)設(shè)備DPtechDNS防護(hù)設(shè)備DPtechDNS防護(hù)設(shè)備湖南移動(dòng)DNS一體化系統(tǒng)防護(hù)湖南CMNET省網(wǎng)FWFWDPtechDNS防護(hù)設(shè)備L4交換機(jī)L4交換機(jī)DNS1DNS2DNS3各種針對(duì)DNS的攻擊層出不窮，給運(yùn)營(yíng)商網(wǎng)絡(luò)的穩(wěn)定運(yùn)行帶來了很大的威脅。單純通過防火墻，或者增加服務(wù)器性能很難起到完善的防護(hù)效果湖南移動(dòng)在DNS服務(wù)器前部署DPtechDNS防護(hù)設(shè)備，配合原有的防火墻、多服務(wù)器負(fù)載分擔(dān)，構(gòu)成了一個(gè)更加安全、可靠的系統(tǒng)。新疆電信DNS系統(tǒng)防護(hù)新疆電信之前單純通過防火