DNS安全管理刻不容缓

　　2013年7月，上海联通移动网络的分组域DNS设备出现故障，导致部分2G、3G用户上网操作时域名解析失败，无法正常上网。

　　2014年1月，中国所有通用顶级域的根服务器出现异常，导致国内大部分用户无法正确解析域名，对全国互联网链接造成系统性影响，引暴互联网DNS安全讨论热潮。

　　“简单来说DNS就是域名解析服务，它就像互联网的一个电话簿，提供终端到IP地址的指向，也就是说没有它或者说攻击它，就会使所有终端都无法找到正确的应用。”Infoblox大中华区的售前经理邱迪解释说。

　　在Gartner研究机构的最近一篇报告中指出：“企业在2013年遭遇的DDoS问题飙升。Gartner估算，从2012年9月到2013年9月DDoS（DNS是DDoS攻击的热点目标之一。）问题咨询量翻了四倍。针对企业网络的更大规模且基于应用的DDoS攻击将迫使首席信息安全官(CISO)和安全团队寻求新的、积极的解决方案，以减少由此造成的宕机时间。”

　　为什么DNS攻击会在近两年愈演愈烈？“因为，它是理想的攻击目标。”邱迪说。

　　据悉，DNS中断造成的损失很大，而攻击成本却不高。邱迪解释，例如要对新浪或者腾讯的服务器发动一次大规模攻击，由于分布式的云解决方案，可能需要大量的资源才能攻下来。但是，如果攻击它的DNS解析，1G或者5G的流量就可以了。

　　除此之外，DNS本身也“漏洞百出”。古老的DNS协议伴随着互联网诞生，现在平均每个月或者每个季度都有一个严重的补丁爆出。“据不完全统计，大概60%以上的用户都没有打补丁，而且仍然在对外提供服务。”邱迪说。

　　看到了这一市场环境，Infoblox结合自身产品推出了Infoblox Advanced DNS Protection（高级DNS防护）解决方案。“这是集成防御分布式拒绝服务（DDoS）攻击、缓存毒害、异常查询、隧道技术以及其他DNS安全威胁的域名系统（DNS）设备。”Infoblox公司中国区总经理王平说。

　　Infoblox解决方案将防御功能直接加入到强化的DNS服务器中，可提供多级防御。包括：首先，独特的威胁检测与削减能力。Infoblox Advanced DNS Protection可智能分析进站DNS查询，并可将真实用户的合法流量与DNS DDoS攻击产生的恶意流量区分开来。通过这些信息，Infoblox设备就会抛弃DDoS流量，而只对合法查询做出响应。这样就能在DDoS攻击时保持业务的持续在线运营，而传统的响应率限制方法只是简单地限制DNS查询响应数量，导致所有流量变慢。其次，持续防护不断进化的威胁。自动更新服务定期向Infoblox Advanced DNS Protection设备发送新规则，确保不断进化的威胁一经发现即可起到保护作用，而传统安全修复与更新则需要等待数周时间。最后，也是最吸引人的集中可见性与透明度。企业和服务供应商可通过一个独立控制界面发现其网络上所有流经Infoblox Advanced DNS Protection的异常DNS流量，实现早期检测，有助于实施更有效的防御。“它可以报告DNS攻击，以及提示遭受攻击的种类，关呈现与攻击相关一些信息、报表，帮助管理员去了解当前这类攻击的情况，以便做出相应防护。”邱迪说。

　　本报记者 王博

关注读览天下微信， 100万篇深度好文， 等你来看……