保护DNS安全刻不容缓

　　恐怕还会有不少人记得，就在一年前，中国大陆境内所有的通用顶级域遭DNS劫持。该事件造成了大面积的断网，影响颇为广泛。

　　其实，针对DNS的网络攻击近年来日趋频繁，这是因为针对DNS的攻击发起较为容易，同时又能造成较为广泛、严重的后果。近日，Infoblox公司中国区总经理王平和Infoblox公司大中华区售前经理邱迪接受了本报记者的采访，再次谈及DNS安全。他们认为，DNS安全这一领域并未受到足够的重视，而企业应该真正重视起来，避免遭受不必要的损失。

　　针对DNS的攻击增多

　　说针对DNS的攻击越来越多并非毫无根据，通过近年来频繁发生的安全事件即可发现，由于DNS机制上天然的缺陷，网络上的恶意攻击者越来越倾向于利用DNS进行攻击。

　　“Infoblox曾经发布的一个报告指出，现在的网络攻击大多是混合型的，在所有的DDoS攻击中，有约80%的DDoS攻击包含了针对http的攻击，约60%的DDoS攻击包含了针对DNS的攻击。”王平告诉记者。

　　王平指出，除了攻击DNS成本低，并且能够产生较为广泛的破坏性以外，还有一个原因是，利用DNS可以使攻击变得更加隐蔽，不容易被发现行踪。

　　“现在企业面临的安全威胁早已经不是病毒了，而是木马等恶意软件。这些恶意软件要窃取受害者的数据和信息，就需要对外建立网络连接。攻击者如果使用固定的IP地址来传输盗取的数据，就很容易被监测到并阻断连接，这样即使受害者被植入了恶意软件，攻击者也达不到盗取数据的目的。但是如果使用动态域名来替代固定的IP地址，传输盗取数据的隐蔽性就大大提高，让防范更加困难。”邱迪说。

　　显然，DNS一直是互联网服务的重要一个环节。只要网络应用依赖于域名系统，DNS就扮演着举足轻重的角色。而且，正因为上述原因，DNS安全对于企业也具有越来越重要的意义。2014年9月，Forrester研究机构副总裁兼首席分析师John Kindervag指出“DNS是关键基础设施，网络罪犯正企图利用DNS攻击组织机构”，突显了DNS安全对于企业的重要性。

　　DNS防护的三个层面

　　DNS如此重要，但是众多企业对DNS安全的重视程度却严重不足。邱迪告诉记者，在他接触过的很多客户的网络运维管理团队中，精通DNS管理的非常少见。“所以，要保障DNS的安全，使用专业的设备非常必要。”邱迪表示。

　　邱迪认为，保障DNS安全需要从三个层面来考虑。一是保护DNS平台，二是防御DNS攻击，三是防止恶意软件利用DNS实施信息盗取和恶意攻击。

　　事实上，通常企业中针对DNS的防护都是通过服务器实现的。然而，传统的服务器防护方式存在很多问题，比如服务器存在很多开放端口，用户拥有服务器上OS级别的账户权限等都会让安全性降低，同时这种方式难于管理和维护，一旦遭到攻击很难应对。所以，Infoblox推出了专门的DNS防护设备解决方案Infoblox Advanced DNS Protection来抵御DNS攻击。

　　邱迪表示，虽然下一代防火墙、IPS、负载均衡器甚至云端防护都可以对某些DNS攻击进行一定程度的防护，但是如DNS劫持、缓存中毒等很多特定的DNS攻击是无法防护的，无法针对DNS进行全面的防护。

　　此外，防范恶意软件的方式有很多，然而从DNS的角度去阻断恶意软件对外建立的网络连接，也是较为简单而且行之有效的防护方式之一。“Infoblox DNS Firewall正是这样一个专门的设备，它可以防止恶意软件和APT利用DNS对企业进行攻击，盗取企业的敏感信息和数据。”邱迪说，通过对其连接DNS的阻断，让企业即使被植入恶意软件，也不会遭到事实上的损失，因为恶意软件无法将盗取的数据通过网络传送出去。

　　Infoblox的解决方案近年来在能源行业得到了广泛的应用。邱迪告诉记者：“有一个真实的案例，一个能源企业的社区网为大约10万用户提供互联网接入业务，然而其DNS服务近年来经常遭到攻击，导致其用户网络缓慢或中断，恢复时间很长，无法有效地排除故障，使用防DDoS设备的效果也不明显。”后来，这个企业采用了Infoblox Advanced DNS Protection解决方案，部署了两台防护设备，大大缓解了DNS攻击导致的服务延迟。同时，该企业通过Infoblox配套的监控和报表手段，定位了攻击类型和来源，并通过优化配置，提升了访问速度，提升了用户体验。

　　推陈出新

　　当然，Infoblox的解决方案不仅围绕在DNS安全领域。2015年伊始，Infoblox又推出了业界首创的Infoblox DNS Traffic Control解决方案，这是首个将广域网服务器负载均衡(GSLB)技术添加到企业级DNS设备的创举。该方案可通过使用一台独立设备提供关键DNS网络服务。同时，借助DNS，通过流量智能导向至相应服务器，可进一步优化网络性能。

　　到目前为止，GSLB通常需要专用设备来完成。这种设备价格昂贵，需要专门管理，提供的功能也超出许多组织机构的需要。而Infoblox DNS Traffic Control的推出，则极大地改变了这一现状。

　　事实上，Infoblox在过去的一年里推陈出新，推出的新产品、新功能和升级达八次之多，涵盖物理环境和虚拟环境两大领域。

　　“我们热切希望各个企业能够将DNS安全重视起来，无论对于某个企业还是对于整个网络环境，DNS都至关重要。而经过多年的发展，Infoblox的产品和技术在国内金融、能源等行业得到了广泛的应用。所有新产品和新方案的推出，都在饯行Infoblox帮用户以更低的成本管理更方便、更安全的承诺。”王平表示。

　　链接 Infoblox近一年的产品更新

　　2014年4月14日推出面向XenServer的Infoblox Virtual Appliance Software。它将Infoblox全系列的企业级网络控制技术带到开源XenServer虚拟化平台。该产品的推出使得作为虚拟设备的Infoblox DDI解决方案，包括了三大服务器虚拟化管理程序——VMware ESXi、Microsoft Hyper-V和XenServer。

　　2014年6月14日推出LINCX。该产品是全新的面向生产系统的、开源的软件定义网络交换机，完全可编程。

　　2014年8月18日推出面向VMware 的Infoblox IPAM plug-in增强版，可在构建、移动或卸除虚拟机时，为其自动配置并解除IP地址和DNS记录，该插件可从根本上缩减服务的时间，提升网络灵活性，同时降低运维成本。

　　2014年9月8日推出Infoblox Advanced DNS Protection 增强版，可自动防御企业与服务供应商网络中现有任意产品所带来的各种DNS攻击。借助Infoblox，组织机构可构建安全的DNS。

　　2014年9月22日推出Infoblox Network Insight增强版。该解决方案将此前不同的实时网络设备数据带到一个单独的权威数据库，使企业网络管理更方便且更安全。

　　2014年11月3日推出Infoblox NetMRI增强版。这是首个可在多厂商环境中变更并配置多个虚拟路由网络的网络自动化方案。

　　2014年11月17日推出Infoblox OpenStack Adapter，这是Infoblox推出的首款开源连接器，将企业级网络控制功能带到OpenStack平台。

　　2014年11月24日推出DNS Firewall Virtual Evaluation，这是一款免费的DNS评估产品，可帮助企业找出其网络中犯罪分子蓄意隐藏的恶意软件。

　　本报记者 程彦博