绿盟DNS专项防护产品-产品白皮书
NSF-PROD-WAF(主机版)-V6.0-WH-产品白皮书(打印版)
一. 前言随着网络与信息技术的发展,尤其是互联网的广泛普及和应用,如电子政务、电子商务、网络办公、网络媒体以及虚拟社区的出现,正深刻影响人们生活与工作的方式。
与此同时,信息安全的重要性也在不断提升。
目前,网页篡改问题成为各类网站极为关注的安全问题。
网页篡改,即通过一定攻击手段对网页内容进行非法修改。
一旦攻击得逞,一方面会影响WEB业务的正常开展,从而影响网站声誉甚而引发重大的政治影响和不良的社会影响。
另一方面,网页篡改可视为一种重要的晴雨表,用于评估网站上存在的可被利用漏洞。
面临来自网页篡改的安全挑战,早期国内市场主要有基于网页防篡改软件的解决方案,适用于静态网页环境。
随着现今WEB应用发生的巨大变化,对此类解决方案产生了动态网页环境下的防护需求。
本文内容将包含如下部分:◆网页篡改现状◆网页篡改防护解决思路◆绿盟WEB应用防火墙(主机版)解决方案二. 网页篡改现状2.1 概述中国互联网络信息中心(CNNIC)《第24 次中国互联网络发展状况统计报告》①表明:截至2009年6月30日,中国网民规模达到3.38亿人,普及率达到25.5%。
中国的域名总量达到16,259,562 个,其中域名已有52,477个。
中国的网站数,即域名注册者在中国境内的网站数(包括在境内接入和境外接入)达到306 万个。
相较中国互联网持续快速的发展,国内网络安全基础设施建设、民众的网络安全意识培养处于滞后的状态,网络安全形势严峻。
来自《中国互联网网络安全报告(2008 年上半年)》①/html/Dir/2009/07/15/5637.htm②数据显示:网页篡改事件特别是我国大陆地区政府网页被篡改事件呈现大幅增长趋势。
2008 年上半年,中国大陆被篡改网站总数达到35113 个,同比增加了23.7%。
2008 年1 月至6 月期间,中国大陆政府网站被篡改数量基本保持平稳,各月累计达2242个。
与2007年上半年同期监测情况相比,增加了41%。
绿盟星云产品白皮书
绿盟云安全集中管理系统NCSS产品白皮书【绿盟科技】■ 文档编号 ■ 密级 完全公开■ 版本编号 ■ 日期■ 撰 写 人 ■ 批准人© 2018 绿盟科技■ 版权声明本文中出现的任何文字叙述、文档格式、插图、照片、方法、过程等内容,除另有特别注明,版权均属绿盟科技所有,受到有关产权及版权法保护。
任何个人、机构未经绿盟科技的书面授权许可,不得以任何方式复制或引用本文的任何片断。
■ 版本变更记录时间 版本 说明 修改人2017-09-04 V1.1 起草 冯超目 录一. 云安全风险与挑战 (3)1.1云安全产品缺乏统一管理 (3)1.2安全责任边界界定不清 (3)1.3用户与平台安全边界不清 (3)1.4云安全缺乏有效监督 (3)1.5云计算不可避免的虚拟化安全 (4)二. 设计理念 (4)2.1安全资源池化 (4)2.2云平台安全管理 (4)2.3用户按需服务 (5)2.4合规性原则 (5)2.5符合云计算的特性 (5)三. 绿盟星云 (6)3.1运维门户 (7)3.2租户门户 (7)3.3资源池控制器 (8)3.4日志分析 (8)3.5安全资源池 (8)四. 特色和优势 (8)4.1统一管理 (8)4.2按需服务 (9)4.3便捷部署 (9)4.4弹性扩容 (9)4.5安全合规 (9)4.6高可用性 (10)4.7升级维护方便 (10)4.8开放的资源池兼容性 (10)4.9丰富的服务组合 (11)五. 客户收益 (11)5.1云平台安全保障 (11)5.2等保合规要求 (12)5.3安全责任清晰 (12)5.4安全增值可运营 (12)5.5降低运维成本 (13)六. 部署方式 (13)6.1典型部署 (13)6.2分布式部署 (14)七. 总结 (15)一. 云安全风险与挑战1.1 云安全产品缺乏统一管理与传统环境下安全防护都由硬件设备组成不同,云环境下由传统硬件和虚拟化产品组成;传统环境中可以通过运维管理系统、安全管理中心等对安全设备进行统一管理,但是仍没法解决不同厂家安全设备的策略、管理统一调度的问题,多数的安全设备还需要各自登录设备进行操作管理。
下一代防火墙_绿盟_下一代防火墙产品白皮书
绿盟下一代防火墙产品白皮书© 2014 绿盟科技■版权声明本文中出现的任何文字叙述、文档格式、插图、照片、方法、过程等内容,除另有特别注明,版权均属绿盟科技所有,受到有关产权及版权法保护。
任何个人、机构未经绿盟科技的书面授权许可,不得以任何方式复制或引用本文的任何片断。
目录一. 当今网络边界安全的新挑战 (1)二. 现有防火墙解决方案的不足 (2)三. 绿盟下一代防火墙产品 (3)3.1客户价值 (3)3.1.1 洞察网络应用,识别安全风险 (3)3.1.2 融合安全功能,保障应用安全 (4)3.1.3 高效安全引擎,实现部署无忧 (4)3.1.4 内网风险预警,安全防患未然 (4)3.1.5 云端高效运维,安全尽在掌握 (5)3.2产品概述 (5)3.3产品架构 (6)3.4主要功能 (7)3.4.1 识别和可视性 (7)3.4.2 一体化策略与控制 (8)3.4.3 应用层防护 (9)3.4.4 内网资产风险识别 (10)3.4.5 安全运维云端接入 (11)3.4.6 基础防火墙特性 (12)3.5产品优势 (13)3.5.1 全面的应用、用户识别能力 (13)3.5.2 细致的应用层控制手段 (15)3.5.3 专业的应用层安全防护能力 (16)3.5.4 卓越的应用层安全处理性能 (18)3.5.5 首创的内网资产风险管理 (18)3.5.6 先进的云端安全管理模式 (18)3.5.7 完全涵盖传统防火墙功能特性 (19)3.6典型部署 (19)四. 总结 (20)插图索引图1 核心理念 (5)图2 整体架构 (6)图3 资产管理 (10)图4 云端接入 (11)图5 应用/用户识别 (13)图6 应用控制 (15)图7 一体化安全引擎 (16)图8 双引擎多核并发 (18)图9 典型部署 (19)一. 当今网络边界安全的新挑战现阶段,随着以Web 2.0为代表的下一代网络技术的迅猛发展,Web化应用呈现出爆发式增长趋势,如今网络有近三分之二的流量都是HTTP和HTTPS应用。
绿盟--WEB应用防护
绿盟WEB应用防护系统(可管理系列)产品白皮书【绿盟科技】■密级完全公开■文档编号NSF-PROD-WAF with MSS(原PAMWAF)-V1.0-产品白皮书-V1.2■版本编号V1.2 ■日期2014/6/3 Array© 2014 绿盟科技■版权声明本文中出现的任何文字叙述、文档格式、插图、照片、方法、过程等内容,除另有特别注明,版权均属绿盟科技所有,受到有关产权及版权法保护。
任何个人、机构未经绿盟科技的书面授权许可,不得以任何方式复制或引用本文的任何片断。
■版本变更记录时间版本说明修改人乔建2013/3/10 V0.1 创建文档,内容包括:产品概述、产品架构、产品优势。
2013/3/11 V0.2 添加主要功能。
卢梁2013/3/12 V0.3 添加典型部署。
卢梁李天武2013/3/13 V0.4 添加引言、产品优势、客户利益,修改产品概述、产品架构、产品功能、典型部署。
2013/3/18 V0.5 添加实施与运营流程、总结李天武2013/3/18 V0.6 修改产品体系架构图使用的软件细节李天武2013/3/21 V0.7 修改部分文字描述、更新使用的图片李天武2014/6/3 V1.2 更改产品与技术名称李天武目录一. 引言 (1)二. 绿盟WEB应用防护系统(可管理系列) (1)2.1产品概述 (1)2.2产品架构 (2)2.3产品优势(技术优势&特色) (3)2.4主要功能 (5)2.5典型部署 (8)2.6实施与运营流程 (8)三. 客户利益 (10)四. 总结 (11)表格索引表 2.1 绿盟WAF WITH MSS响应时间表 (4)插图索引图 2.1 绿盟WAF WITH MSS体系架构 (2)图 2.2 绿盟WAF WITH MSS安全报告 (4)图 2.3 绿盟安全云监控中心 (5)图 2.4 绿盟WAF WITH MSS 智能补丁 (6)图 2.5 绿盟WAF WITH MSS在线部署模式 (9)图 2.6 绿盟WAF WITH MSS旁路部署模式 (10)图 2.7 绿盟WAF WITH MSS实施与运营流程 (8)图 3.1 绿盟WAF WITH MSS APDR模型 (11)一. 引言互联网大潮的影响之下,Web应用(网站)逐渐承载了各行业重要、甚至主流的业务(例如:网上银行系统、网上证券交易系统、网上营业厅系统、电子商务系统、电子政务系统等)。
绿盟Web应用防火墙产品白皮书
绿盟Web应用防火墙产品白皮书eb应用防火墙技术对于网站安全,最理想的做法是:在软件开发生命周期的4个阶段分别采取相应的安全措施(如下图)。
然而,大多数网站的实际情况是:网站已经在线运行,但存在不同级别的安全漏洞,没有通用补丁可用,而“改代码”需要付出的代价(成本)过大。
网站安全生命周期针对这种现状,在网站前端部署专业的Web安全设备是一种合理的选择。
传统的安全设备,如防火墙、IPS,虽然是网络安全策略中不可缺少的重要模块,但受限于自身的产品架构和功能,无法对千变万化的Web应用攻击提供周密的解决方案,只有采用专门设计的产品,才能对攻击进行有效检测和阻断。
Web应用防火墙(以下简称WAF)正是这类专业产品,它提供了网站安全运维过程中的一系列控制手段,基于对HTTP/HTTPS流量的双向检测,为Web应用提供实时的防护。
与传统防火墙、IPS设备相比,WAF最显著的技术差异性体现在:1. 对HTTP有深入的理解:能完整地解析HTTP,包括报文头部、参数及载荷。
支持各种HTTP 编码(如chunked encoding);提供严格的HTTP协议验证;提供HTML限制;支持各类字符集编码;具备response过滤能力。
2. 提供应用层规则:Web应用通常是定制化的,传统的针对已知漏洞的规则往往不够有效。
WAF提供专用的应用层规则,且具备检测变形攻击的能力,如检测SSL加密流量中混杂的攻击。
3. 提供正向安全模型(白名单模型):仅允许已知有效的输入通过,为Web应用提供了一个外部的输入验证机制,安全性更有保障。
4. 提供会话防护机制:HTTP协议最大的弊端在于缺乏一个可靠的会话管理机制。
WAF为此进行有效补充,防护基于会话的攻击类型,如cookie篡改及会话劫持攻击。
绿盟Web应用防火墙概述绿盟Web应用防火墙(又称绿盟Web应用防护系统,简称WAF)是绿盟科技面向企业、政府等各类机构推出的专注于保护Web应用和Web服务的安全产品。
绿盟网络入侵防护系统产品白皮书
绿盟网络入侵防护系统产品白皮书© 2011 绿盟科技■版权声明本文中出现的任何文字叙述、文档格式、插图、照片、方法、过程等内容,除另有特别注明,版权均属绿盟科技所有,受到有关产权及版权法保护。
任何个人、机构未经绿盟科技的书面授权许可,不得以任何方式复制或引用本文的任何片断。
目录一. 前言 (2)二. 为什么需要入侵防护系统 (2)2.1防火墙的局限 (3)2.2入侵检测系统的不足 (3)2.3入侵防护系统的特点 (3)三. 如何评价入侵防护系统 (4)四. 绿盟网络入侵防护系统 (4)4.1体系结构 (5)4.2主要功能 (5)4.3产品特点 (6)4.3.1 多种技术融合的入侵检测机制 (6)4.3.2 2~7层深度入侵防护能力 (8)4.3.3 强大的防火墙功能 (9)4.3.4 先进的Web威胁抵御能力 (9)4.3.5 灵活高效的病毒防御能力 (10)4.3.6 基于对象的虚拟系统 (10)4.3.7 基于应用的流量管理 (11)4.3.8 实用的上网行为管理 (11)4.3.9 灵活的组网方式 (11)4.3.10 强大的管理能力 (12)4.3.11 完善的报表系统 (13)4.3.12 完备的高可用性 (13)4.3.13 丰富的响应方式 (14)4.3.14 高可靠的自身安全性 (14)4.4解决方案 (15)4.4.1 多链路防护解决方案 (15)4.4.2 交换防护解决方案 (16)4.4.3 路由防护解决方案 (16)4.4.4 混合防护解决方案 (17)五. 结论 (18)一. 前言随着网络与信息技术的发展,尤其是互联网的广泛普及和应用,网络正逐步改变着人类的生活和工作方式。
越来越多的政府、企业组织建立了依赖于网络的业务信息系统,比如电子政务、电子商务、网上银行、网络办公等,对社会的各行各业产生了巨大深远的影响,信息安全的重要性也在不断提升。
近年来,企业所面临的安全问题越来越复杂,安全威胁正在飞速增长,尤其混合威胁的风险,如黑客攻击、蠕虫病毒、木马后门、间谍软件、僵尸网络、DDoS攻击、垃圾邮件、网络资源滥用(P2P下载、IM即时通讯、网游、视频)等,极大地困扰着用户,给企业的信息网络造成严重的破坏。
绿盟下一代网络入侵防护系统产品白皮书
绿盟下一代网络入侵防护系统产品白皮书【绿盟科技】■密级完全公开■文档编号NSF-PROD-NIPS-产品白皮书-V1.0■版本编号V1.0 ■日期2015-11-14■撰写人戴永涛■批准人Array© 2016 绿盟科技■版权声明本文中出现的任何文字叙述、文档格式、插图、照片、方法、过程等内容,除另有特别注明,版权均属绿盟科技所有,受到有关产权及版权法保护。
任何个人、机构未经绿盟科技的书面授权许可,不得以任何方式复制或引用本文的任何片断。
■版本变更记录时间版本说明修改人2015-11-14 V1.0 新建周帅奇2016-04-28 V1.1 增加周帅奇目录一. 前言 (1)二. 攻防的新特点 (1)三. 绿盟下一代网络入侵防护系统 (2)3.1体系结构 (3)3.2主要功能 (3)3.3产品特点 (4)3.3.1 全新的高性能软硬件架构 (4)3.3.2 用户身份识别与控制功能 (5)3.3.3 更精细的应用层安全控制 (5)3.3.4 基于用户身份的行为分析 (5)3.3.5 全面支持IPv6 (6)3.3.6 多种技术融合的入侵检测机制 (6)3.3.7 2~7层深度入侵防护能力 (8)3.3.8 先进的Web威胁抵御能力 (9)3.3.9 恶意文件防御和取证能力 (9)3.3.10 基于应用的流量管理 (10)3.3.11 部署极其简便 (10)3.3.12 强大的管理能力 (11)3.3.13 完善的报表系统 (11)3.3.14 完备的高可用性 (12)3.3.15 丰富的响应方式 (13)3.3.16 高可靠的自身安全性 (14)3.3.17 威胁可视化 (14)3.4解决方案 (15)3.4.1 多链路防护解决方案 (15)3.4.2 混合防护解决方案 (16)四. 结论 (17)插图索引图 3.1 绿盟网络入侵防护系统体系架构 (3)图 3.2 虚拟IPS功能实现示意图........................................................................................ 错误!未定义书签。
绿盟科技安全服务白皮书-中国安全网
绿盟科技安全评估服务白皮书(节选)目录绿盟科技安全评估服务白皮书(节选) (1)目录 (1)安全评估服务 (2)应用安全评估 (3)应用安全评估服务简介 (3)服务内容 (3)服务案例 (8)安全评估服务要获得有针对性的安全服务,就需要专业安全顾问在对您的信息系统进行充分调研和访谈的基础上,配合使用专业的安全工具,对系统实际情况进行专业的安全现状分析和报告,并以此为基础进行后续的定制和设计工作。
这个针对信息系统的安全分析和报告的过程就是常说的安全评估服务。
绿盟科技的安全评估服务包括全面的风险评估服务、远程安全扫描、本地安全评估、应用安全评估和渗透性测试等多种方式,通过安全评估服务可以帮助您明确目前信息系统或者应用系统面临着什么样的信息安全风险,同时在业务发展过程中可能会遇到什么安全问题?安全风险可能导致的损失是多少?当前主要的安全威胁是什么,应如何划分安全区域和安全建设的优先级等一系列问题。
绿盟科技的安全评估服务包括如下模块:模块编号模块名称模块说明SES-0401 全面风险评估全面风险评估是对信息系统的影响、威胁和脆弱性进行全方位评估,归纳并总结信息系统所面临的安全风险,为信息系统的安全建设提供决策依据。
SES-0402 远程漏洞扫描利用安全评估系统对客户信息系统进行远程技术脆弱性评估。
SES-0403 本地安全检查利用安全工具和人工服务对客户信息系统进行远程或本地的技术脆弱性评估。
SES-0404 应用安全评估利用人工或自动的方式,评估客户应用系统的安全性并协助进行改善和增强。
SES-0405 渗透测试评估利用各种主流的攻击技术对网络做模拟攻击测试,以发现系统中的安全漏洞和风险点。
应用安全评估应用安全评估服务简介应用系统评估服务是绿盟科技在2002年就开始为用户提供的评估服务模块之一。
早期主要以评估CGI程序的安全性为主要内容。
经过两年的工作,绿盟科技的应用系统评估的范围,已经扩展到了更多的评估项目和更有体系的评估方法。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
绿盟DNS专项防护产品白皮书© 2011 绿盟科技■版权声明本文中出现的任何文字叙述、文档格式、插图、照片、方法、过程等内容,除另有特别注明,版权均属绿盟科技所有,受到有关产权及版权法保护。
任何个人、机构未经绿盟科技的书面授权许可,不得以任何方式复制或引用本文的任何片断。
目录一. DNS是如何工作的 (3)二. DNS相关的安全挑战 (5)2.1DD O S分布式拒绝服务攻击 (5)2.2DNS缓存投毒 (6)2.3DNS服务器权限入侵 (8)2.4DNS信息泄露 (8)2.5其他DNS相关安全问题 (8)三. 传统的DNS安全手段的不足 (9)3.1安全加固 (9)3.2系统扩容 (10)3.3部署DNSSEC (10)3.4防火墙 (11)四. 绿盟科技DNS防护方案 (11)4.2绿盟科技DNS专项防护产品 (11)4.3核心原理 (13)4.3.1 DNS专项DDoS防护模块 (13)4.3.2 DNS投毒监控 (14)4.3.3 安全域名缓存 (15)4.3.4 DNS监控模块 (15)4.4旁路部署方式 (15)五. 结论 (16)插图索引图 1.1 DNS基本原理图 (4)图 2.1 DNS DDOS攻击示意图 (6)图 2.2 DNS缓存投毒过程 (7)图 2.3 DNS查询ID、端口信息 (7)图 2.4 DRDOS攻击过程 (9)图 4.1 DNS安全防护体系 (11)图 4.2 DNS安全防护体系 (12)图 4.3 DNS专项DDOS防护机制 (13)图 4.4 DNS投毒监控机制 (14)图 4.5 旁路部署方案 (16)一.前言DNS服务器作为互联网的组成部分,承担着重要的作用,DNS的任何故障(系统瘫痪、解析错误),都会引起非常严重的网络稳定性问题以及安全问题。
而DNS域名解析的集中性、服务器的开放性特点,则加大了这类安全问题的几率和效果。
因此DNS服务器和域名解析的安全防护也成为国家监管机构、运营商、企业、个人非常关心的一个课题。
但是,由于DNS的安全防护技术的复杂性,以及相应技术应用范围较小,使得很少有专业安全厂商涉及此类防护技术,大多数的DNS服务器还是利用传统的网络防火墙、IPS等产品进行保护,其安全防护效果必然有局限性。
本文展示了绿盟科技在DNS专项安全防护方面的研究成果,并针对DNS特点,提供了多种安全防护机制,并在自主研发的ADS-D系列产品中予以实现。
本文内容将主要包含如下部分:◆DNS基本情况综述;◆DNS相关的攻击手段;◆绿盟DNS安全专项防护技术。
一. DNS是如何工作的DNS 是域名系统(Domain Name System)的缩写,它用于命名组织到域层次结构中的计算机和网络服务。
DNS 命名用于Internet 等TCP/IP 网络中,通过用户友好的名称查找计算机和服务,当用户在应用程序中输入DNS 名称时,DNS 服务可以将此名称解析为与之相关的IP 地址等信息。
DNS域名服务器可进行正向查询和反向查询。
正向查询将名称解析成IP地址,而反向查询则将IP地址解析成名称。
在DNS的系统中,有一套复杂的、遍布世界的树状分布式域名数据库服务器构成,共同为完成域名解析工作。
根据不同DNS参与者在安全角度所扮演角色不同,这里将DNS系统分成三个层次,如图1.1 所示:图 1.1 DNS基本原理图1. 最左侧为客户端,主要是DNS的查询的发起者和使用者,如用户个人电脑等,称之为DNS客户端;2. 第二个层面是运营商或者企业为用户提供DNS服务的DNS缓存(递归、查询)服务器,通常DNS客户端直接向DNS缓存服务器发起递归查询的请求,询问某域名的IP地址,此类服务器称为DNS缓存服务器;3. 第三个层面是遍布全球的DNS服务器,主要是为了给缓存服务器提供迭代查询的服务,这类服务器从“.”开始的13个根服务器,一直到末梢保存权威域名解析地址的授权域(权威)服务器,统一称为迭代服务器,由于末梢的授权域服务器是最重要的,因此,本文中更多提及的是授权域(权威)服务器。
DNS查询过程分为递归查询和迭代查询,相应方式如下:1. 递归查询的工作方式递归查询是最常见的查询方式,域名服务器(通常为DNS缓存服务器)将代替提出请求的客户端(或者下级DNS服务器)进行域名查询,若域名服务器不能直接回答,则域名服务器会在域各树中的各分支的上下进行查询,最终将返回查询结果给客户机,在域名服务器查询期间,客户机将完全处于等待状态。
2. 迭代查询的工作方式迭代查询又称重指引,当服务器使用迭代查询时能够使其他服务器返回一个最佳的查询点提示或主机地址,若此最佳的查询点中包含需要查询的主机地址,则返回主机地址信息,若此时服务器不能够直接查询到主机地址,则是按照提示的指引依次查询,直到服务器给出的提示中包含所需要查询的主机地址为止,一般的,每次指引都会更靠近根服务器(向上),查寻到根域名服务器后,则会再次根据提示向下查找。
二. DNS相关的安全挑战DNS服务器是为整个网络服务的关键业务点,任何DNS服务的不可用或者解析错误,都可能导致用户网络中断或者引起后续更加复杂的安全问题——如用户信息泄露或者被挂马,因此DNS服务器和域名解析的安全防护也成为国家监管机构、运营商、企业、个人非常关心的一个课题。
2009年5月19日,由于DDoS攻击,造成了全国6个省份DNS失效,在若干小时内无法正常上网(5.19事件)。
各类DNS安全问题依旧层出不穷,如2009年6月22日,新网互联发表公告确认DNS解析服务器遭受攻击,2010年1月12日,百度DNS 服务遭受劫持攻击。
这些安全问题给当事单位和公司除了造成经济损失外,也造成了巨大的信誉伤害。
现在绝大部分DNS服务器都使用了BIND的系统,(一款开放源码的DNS服务器软件,BIND由美国加州大学Berkeley分校开发,现由ISC机构维护,全名为Berkeley Internet Name Domain),尽管现在已经进入到V9版本,并进行了一系列功能和性能的改进,但是受制于历史原因,并且由于现在DNS服务器已经数以万计,遍布全球,相互之间密切关联,很难统一进行大规模整改,因此,整个DNS系统长期面临着重大安全隐患。
DNS服务器安全问题和其自身特点有直接关系,相对于运营商骨干网络上的高性能、封闭操作系统、比较安全的核心路由器,DNS具有的开源性、开放性、以及缺乏专业安全防护手段的问题,这都使得DNS服务器成为最容易攻击的目标之一。
DNS的安全问题,主要分为以下几类:2.1 DDoS分布式拒绝服务攻击DDoS是DNS面临的最大安全威胁问题。
多年年来,全国各地都有检测到对DNS的DDoS攻击的记录,只是由于影响地域范围相比5.19事件小得多,因此没有受到太多关注。
由于攻击DNS导致断网不容易给黑客带来直接的经济收益,因此黑客对DNS进行DDoS的攻击动机通常是政治性展示、对运营商报复、或者仅仅是个人技术表演。
未来一段时间,如果有传统的一些政治性、公众性的事件出现时,DNS服务器将会成为安全威胁的重点。
图 2.1 DNS DDoS攻击示意图DNS Query FLood(DNS查询泛洪攻击)是专门针对DNS服务器的最常见DDoS攻击类型。
如上图中,黑客控制的僵尸网络的主机不断发出DNS Query的查询包,这些域名/IP 根据不同的攻击变种可能有所变化,但最经常的是一些不可能存在的域名,本地DNS的缓存中不存在这种域名解析,故每个地址都需要进行完全的迭代查询。
如果僵尸网络的查询数量过多,占据了全部DNS服务器的资源,则最终形成DDoS,这样正常用户的查询就得不到DNS服务器的响应了。
事实上,现有的DNS系统在查找算法上并不高效。
用BIND举例,如果我要查找一个,BIND需要先查找,然后再查找www. 。
如果www. 不存在,那么再去找*,直至找到或者找不到结果,再给用户返回。
在www. 存在的情况下,BIND需要查找2次。
如果不存在,BIND需要查找3次甚至4次。
如果攻击者构造一个恶意的域名,比如a.b.c.d.e.f.g.h.i.j.k. ,按照上面的查找方法,这个域名需要查找至少13次。
除了上述DNS Query Flood攻击,传统的流量型DDoS也可以对DNS服务器造成影响,如SYN Flood、Connection Flood、UDP Flood、ICMP Flood等类型攻击,可以很容易完成对DNS服务器资源的消耗,从而使DNS同样无法响应正常用户的需求。
2.2 DNS缓存投毒DNS缓存投毒,也叫DNS缓存污染,通常是针对缓存服务器进行的攻击,攻击者可以通过猜测DNS解析过程中的报文序列号来伪造DNS权威服务器的应答,从而达到“污染”高速缓存(Cache)中的记录的目的,即将错误的域名指向信息注入DNS服务器,最终导致受到污染的DNS服务器将对外提供错误的解析结果,此类攻击被称之为DNS缓存投毒。
DNS缓存投毒的传统过程如下:图 2.2 DNS缓存投毒过程假设,黑客的恶意网站地址为2.2.2.2,要替代合法网站1.1.1.1下面的。
黑客通常首先会利用僵尸网络进行DDoS攻击,将的授权域服务器压制住;之后黑客主动进行访问;由于本地DNS服务器会有缓存过期,因此,需要重新查询的授权域服务器,但此时,授权域服务器正在被DDoS攻击无法进行正式回应,黑客不断尝试发送的假的回应报文:2.2.2.2,从而最终使本地DNS服务器缓存被改写。
以后一旦正常用户访问网站,就会被指向到了2.2.2.2,在黑客的恶意网站上,通常会进行钓、鱼挂马等后续攻击。
对于DNS缓存投毒,主要攻击手法为暴力猜测法。
DNS在查询过程中,其查询报文和回应报文的认证关系依赖端口号和ID号两个信息,如下图:图 2.3 DNS查询ID、端口信息在查询数据报文中,ID和Port为16位的两个字段,即使在一个固定的情况下,理论上攻击者也需要进行32768个猜测才能猜到。
但是很多DNS服务器的ID或者Port是固定数字、顺序增加、采用伪随机算法、NAT转换、端口限制、放弃某些位的变换、或者存在生日攻击漏洞,这些使得攻击者的猜中概率大幅增加,从而成为DNS投毒的一个渠道。
除此之外,粘合投毒(Classic Glue Poison),特别是Kaminski Attack,也是DNS服务器投毒的一类重要手法,其基本方式是在正常DNS解析应答的报文后,附加其他域名的解析信息,从而形成DNS缓存投毒攻击。
2.3 DNS服务器权限入侵由于DNS服务器通常采用UNIX/LINUX操作系统以及BIND软件,这样操作系统和软件不可避免出现的漏洞,为黑客的直接DNS攻击提供了可乘之机。