u 指定不接受区域请求
u 系统资源限制
u 定义ACL地址名
u 控制管理接口
u 设置重试查询次数
3.5.3 渗透测试
通过采用渗透测试的方式,完成DNS系统的渗透测试,找出面临的威胁,发现弱点、了解设计和执行的缺陷,提前做针对性的防范工作。
3.5.4 安全巡检服务
对DNS系统进行定期的安全状态巡查,借助专业工具在实际环境中检验系统的运作情况,检测、分析系统的运行健康状况、策略的适用情况、安全方案应用的实际效果等,对其中发现的问题及时进行修复,并提供优化建议。
3.5.5 安全值守服务
在重大/特定时期,提供DNS安全值守服务,即提供现场及远程的7*24小时DNS安全监控服务,及时发现DNS的安全问题,随时处理,保障DNS的安全运营。
3.5.6 应急响应
当DNS系统遭受攻击,或出现异常情况时,提供应急响应服务,使DNS系统恢复正常业务。同时,针对域名系统可能发生的DDoS攻击、权威解析篡改、缓存投毒等安全事件,协助客户编写应急预案并组织应急演练,完善安全事件的联动处理流程。
3.6 绿盟ADS-D专项防护系统优势
u DNS专项DDoS防护模块
绿盟科技利用自己常年在DDoS领域的防护经验,利用反欺骗、协议栈行为分析、特定应用防护、用户行为模式分析、动态指纹识别、流量限速等机制,专门开发了针对DNS专项DDoS攻击的防护手段,可以有效的对伪造源IP DNS攻击、DNS畸形包DoS攻击、随机域名DNS Query Flood等攻击进行清洗,将一般只有1万到10万QPS查询容量的DNS系统,提高到可以对千万级QPS DDoS攻击进行防护的能力,从而确保DNS长期稳定的对外提供服务。
u 安全域名缓存
绿盟科技ADS-D专项防护系统,内置了安全域名缓存模块,利用这个安全域名缓存,可以协助进行DNS应用层DDoS攻击判断、对DNS的ID/Port等碰撞投毒攻击的检测,同时还可以实现诸如域名解析加速、Fast Flux检测、域名控制、域名分析、域名保护、重点域名容灾等功能,从而实现域名容错类安全问题的防护。
u DNS投毒防控
绿盟科技ADS-D专项防护系统利用安全域名缓存、缓存锁定机制、以及特征识别等方式可以有效的检测、防御DNS投毒过程,有效的防控ID 检查机制投毒、源端口非随机性投毒、生日攻击投毒、粘合投毒(Kaminski attack)等,从而为DNS的域名安全和正确解析提供保障。
