绿盟发现了很多漏洞,这是在软件漏洞方面所做的事情。02年发布的产品,为新网和外网的域名解决服务商进行了相关的防护,在5.19事件之后,绿盟对于这个事件进行了研究,这是对于攻击方面所做的工作。在2010年,绿盟科技发布了网站监测的服务,不仅是对网站本身进行监测,同时对于一些钓鱼网站和挂码都进行了监测,而且和网站进行合作,为不同的网站提供了这样的服务。在2010年8月开放了接口,发布了反钓鱼联盟,所做的这些事情其实都是想为网民提供健康安全的网络环境,让大家不再被受到恶意网址和非法域名的困扰。
对于大家关注最多的安全问题,在2010年10月的时候,绿盟科技提出了DNS安全防护,可以进行全面的保护,而且同时可以与Web新用户相结合,将相关的僵尸网络的检测和域名阻断做到非常好的防护。在2012年12月,绿盟科技提供了实时监测的服务,可以监测你的域名解析是否正确,包括记录的配置核查和网站域名监测服务等等,共同构成了在安全领域所做的完整的体系。刚才所谈到的是就整个绿盟体系而言所做的一些事情。
我们再深入到一个具体的DNS系统来看安全是怎么样的,我们应该如何去做。这里给出了一个系统抽象模型,不仅仅是对于DNS,对于其他任何一个系统其实都是这样的,一个系统大概可以分为两个主要的构成部分:一是系统自身,二是它所承载的数据或者信息。对于系统而言,包括大家平常所说的很多层次,在这里给出了三个非常关键的网络主机和应用,当然还有其他。DNS异常有哪些方面?对于系统层面而言,主要的DNS异常就是业务可用性的异常,对于上面所承载的信息而言,对于DNS这个系统主要是解析结果异常,对于业务信息可以分为两类:一是业务中断,会导致很多查询定位服务器对业务进行中断,不能为用户继续提供服务。二是业务时延过大,导致时延超过了正常的阀值。对于解析结果异常,最突出的就是解析结果的错误,解析结果的错误因为它遭到了劫持被篡改,我们来分析DNS业务的异常有这样两类。这里(PPT)给出了表格,除了解析异常、服务异常还有技术的异常,包括对于它的相关描述和原因都进行了比较细致的分析,我就不一一赘述了。
对于这些异常,现在不管是域名服务提供商还是一些解析以及服务器的运营厂商而言,他们都采取了一些相应的应对手段以及措施,我们来看这些措施有哪些。一般来说有这样几项,包括部署防火墙,打补丁,更换升级安全的DNS系统,这个DNS系统有一些可以是商业化的,另外还有一些可能是改进的安全系统,还有部署实施协议,以及扩展均衡,大概有这样几个手段。每种手段都有它的不足,部署防火墙是无法阻止DNS投毒的攻击,甚至有可能本身就会成为攻击的目标,很可能会成为一个瓶颈。对于打补丁而言往往是滞后的,而且对于投毒基本上是没有办法防护的,如果用商业化的成本非常高,而且对于厂家的依赖安全能力也是有限的,如果对于改进的在二次开发的DNS系统而言,很多时候依赖于厂家的安全能力,而且对于这样的攻击其实是非常困难的。存在的问题就是会增加系统的负荷,所以很多业界人士认为这个攻击起不到好的防护作用,相反会成为一个瓶颈。如果扩容从10万扩展到20万,成本不止是翻倍这样简单,而且扩容的容量远远跟不上攻击流量增长的速度。在5.19的时候发现,后面的DNS服务器没有瘫痪,但是负载均衡设备本身全已经被瘫痪了,所以本身可能会成为一个瓶颈。
对于现在应有手段的不足,我们来看绿盟科技的建议以及做法是怎么样的。通常对于一个安全而言有这样两个原则:一是增强攻击难度,增加系统的健壮性,不管是上防火墙还是安全设备,都是为了增强攻击难度。还有就是降低损失,这个攻击一旦形成之后,怎么样使损失降到最小,对于电信而言有一个选择,DNS也是这样,攻击一旦造成,恢复业务是首要的选择。在这两个原则之下我们来看相应的具体细则或者是做法。对于增强攻击难度首先就是业务监测,进行可视化的实时监控,我们从流量表可以看到一些异常的行为,可以及时的采取措施。攻击防护包括传统的和专门针对DNS的攻击等等。还有就是防投毒的攻击,在域名控制方面对域名进行限速,这样就可以导致一类的攻击的发生。另外还有一些对于域名的异常查询有一个限定,包括长度和内容,这样就会极大的减小系统的负荷。
