u DNS监控模块
DNS监控模块可以让DNS服务器的运维人员轻松的获取DNS的运行信息,并随时分析DNS运行中的安全威胁趋势变化,接受DNS安全事件的告警,从而全面掌控DNS的运行安全问题。
u 一体化旁路部署方式
在DNS防护方式上,绿盟科技ADS-D专项防护产品可以支持串联模式,也可以支持旁路部署方式。根据DNS应用特点,绿盟科技ADS-D系统将流量安全的检测分析和清洗系统有机的集成于同一设备上,从而实现监控和清洗一体化。建议选择旁路部署模式,在正常情况下,ADS-D主要用来作为安全监控设备,一旦发生安全问题,可以由管理员手工或者自动的方式将DNS流量牵引到ADS-D设备上,并进行威胁的清除和清洗。。
四. DNS安全增值业务展望
那么,在保障安全的同时,我们还可以作什么呢?我们可以利用DNS,开展增值业务,找到新的价值点,以促进收益。
4.1 安全上网业务
如图4.1所示,利用DNS+Web信誉系统,可以实现安全上网业务的开展。当用户访问某个网站,输入该网站的URL地址时,当地的DNS系统会和绿盟科技云安全平台中的WEB信誉系统互动,查询该URL地址的信誉值,给出该页面是否安全的建议,DNS专项系统再将此结果反馈给用户,也可以直接阻断该访问。这样,就给用户创造了一个安全的上网环境,使用户可以无忧上网。
图 4.1 安全上网:DNS+WEB信誉系统
4.2 BotNet主机检测业务
通过蜜网技术和DNS专项防护系统的联合,可以实现BotNet主机的检测,如图4.2所示。
使用蜜网技术,可以深入跟踪和分析Botnet的性质和特征。主要过程是,首先通过密罐等手段尽可能多地获得各种流传在网上的bot程序样本;当获得bot程序样本后,采用逆向工程等恶意代码分析手段,获得隐藏在代码中的登录Botnet所需要的属性,如Botnet 服务器地址、服务端口、指定的恶意频道名称及登录密码,以及登录所使用到的用户名称,通过行为分析中心(BAC)对这些些信息的分析,可以有效地跟踪Botnet和获取Botnet的特征。
当用户访问网络时,DNS专项防护产品会和行为分析中心(BAC)互动,BAC会识别该行为是否是BotNet的行为,从而可以实现BotNet主机的检测和定位。
图 4.2 BotNet主机检测:DNS+蜜网
4.3 精准广告推送业务
利用DNS+域名重定向,可以实现广告业务的推送,如图4.3所示。当DNS解析失败时,根据用户行为分析,将用户的访问指向预定义的该用户喜欢的WEB广告页面,从而实现广告业务的精准推送。
