通信世界网(CWW)10月22日消息 今天,OWASP 2010中国峰会在北京举行,国内外知名的应用安全专家、厂商代表共聚一堂,就应用安全及业务安全发展及技术创新等话题进行广泛而深入的讨论。
OWASP是一个开源的、非盈利的全球性安全组织,致力于应用软件的安全研究,是全球顶级的Web应用安全组织。
通信世界网作为本次大会的直播媒体,将对本次大会进行全面、深入的报道。
图为 Arbor公司中国区技术总监 郭庆
演讲实录:
郭庆:大家都知道DNS很重要,WEB也很重要。DNS在中国最大的三个威胁是什么?第一个是DNSDDOS,第二个是有人做毒化,第三个是DNS存在异常查询。我们的简单方式是在网络测速,人只有两种选择,一种选择是改变,我们把代码程序改好,一个BUG也没有也是不可能的。第二种是(英文),放一个东西进去,原来的东西不需要动就能够做,然后我替你查一等于、二等于二什么的。这个方式为什么能卖呢?就是我不需要你动(英文)。
中国DNS里面有一中包叫(英文),来自于这个域名,这个域名是干什么的呢?有好多种猜测,大家可以上互联网查。那么DNS发生了故障会导致什么事情?比如说我的一个校园(英文)毒化了,然后大家上不了互联网了,学校的网站不能上了大家第一反映是著名的网站流量下来了,这些网站肯定会打电话给运营商问是不是线路有问题,它一查是某某DNS被注册了,反正就是被攻击了。DNS解决方案有四种,第一种方法是Infrastructure,第二种是Firewall/PS,第三种是DNS安全服务器,第四种是DNS清洗中心。Google很聪明,它做了8.8888,实际是一个安全服务器,服务器后面肯定有程序,究竟它干什么还不知道。
下面我讲一些技术。第一个,DNS攻击应该是旁路还是串连?串连的人讲了好多,说一个包就可以截住。其实我个人认为你有个系统能够在四层做检测旁路是比较理想的方案,也就是说我先做(英文),我只看四层就够了。但是如果我发现(英文)或者(英文)多了,我可以使流量过过我这个设备。平时我只是监控在旁路,你走你的道,突然我发现你比昨天高了三倍,但是我也不知道你是不是走问题,(英文),如果没事我做个统计,如果有事我就开始。这是我自己想推广的方案就是(英文),天天要讲的方案就是七层一介入,客户问的第一个问题就是怎么(英文),我放一个东西看,看完以后弄过来再做,这是我们讲故事。
DNS攻击影响的东西是什么呢?这个什么用啊?第一个包、第二个包过去就过去了,没有用。如果你肯转,那是符合标准协议的,如果你不转就歇一下。我们现在DSN对(英文)不验证,撞上就撞上了,你给我回一个我也不知道是不是(英文),这个东西怎么办呢?因为它要猜这个(英文),所以给你做一个简单的(英文),你不能说给我回来我问你一下(英文)是谁,你给我发上一万个(英文),你应该告诉我就是多少多少多少,那我可以做一个(英文)。(英文)大家都懂,比如我查个域名不存在,域名很长,都是乱的,(英文)也很简单,现在的攻击者一般在(英文)里面攻击的时候,都会写一个记录LOGO,是需要手动抓一下包,一般人没有无名英雄,一般都会在包里写点标识,肯定会看到的。
我们看这个模板,我们下面有举一个暴风影音的例子,我的新加坡、美国的朋友都在一起查有什么问题吗。它把注册DNS,暴风点COM5秒钟就需要更新。过一会肯定有人(英文),一查它正在改注册DNS,改到(英文),但是它同时把那个间隔DNS改大,对底下的做解析改到10个小时。大家看这个DNS有什么问题吗?这是它新改的DNS注册,这个OK。就算这个OK有问题,它贮备DNS在一个网端,也是很危险的,如果这个网站不通你的备机和主机一样。
再查暴风影音(英文)的这些地址,(英文)来回的扫描,是这样一个过程,每个客户在问(英文)活不活?活着呢。然后在问(英文)点COM在不在?它不停换这三个语音循环着查。有些人问(英文)这么弱么?很多人说其实你不用做这个,你可以弄一个(英文),你把(英文)直接回一个包,这也是解决方案。也可以做这个,但是人们不想动这个服务器,其实你要真的想改服务器很多事情做起来很简单。就像早上起来要跑步很简单,但是你不想跑,想吃药瘦。刚才那个攻击很著名,我们会讲到你用什么方法?第一,如果今天的暴风影音比昨天的查询量大很多肯定是出问题了,第二,如果你当时截可以限制速度,第三,你可以用任何限制机制,因为PPS打的太高交换机和路由器先挂了,打的再高(英文),(英文)最大的问题是那个包超长。
我总结一下,DNS的发展前途是做业务,任何一个事的发展前途都是做业务,一旦它业务多了,有安全问题不怕了,主要是安全是辅助业务成长的,不是阻碍业务的,DNS要成为业务。第二,在网络恻如果想防的话无法就是DDOS,对于毒化这个东西可以做一个简单的域名的限速。我们现在的解决方案是DNS部署了很多,我们现在有三个方案给客户讲,第一个是买一个新的DNS(英文),第二个客户问你需要动什么,你最好说啥也不需要动,往那一接挂一个路由器,然后这边发一个检测的碰到这边,这边看如果不行就不过这个,如果行了就过。
综上所述,今天我讲的DNS技术不是很多,实际上DOOS不是控制不了,是没有太多人愿意付费,要给付费的人区别没付费的人,不然大家都一样了这生活怎么过呢,谢谢大家!
