DNS安全管理刻不容緩

2013年7月，上海聯通移動網絡的分組域DNS設備出現故障，導致部分2G、3G用戶上網操作時域名解析失敗，無法正常上網。

2014年1月，中國所有通用頂級域的根服務器出現異常，導致國內大部分用戶無法正確解析域名，對全國互聯網鏈接造成系統性影響，引暴互聯網DNS安全討論熱潮。

“簡單來說DNS就是域名解析服務，它就像互聯網的一個電話簿，提供終端到IP地址的指向，也就是說沒有它或者說攻擊它，就會使所有終端都無法找到正確的應用。”Infoblox大中華區的售前經理邱迪解釋說。

在Gartner研究機構的最近一篇報告中指出：“企業在2013年遭遇的DDoS問題飆升。Gartner估算，從2012年9月到2013年9月DDoS（DNS是DDoS攻擊的熱點目標之一。）問題咨詢量翻了四倍。針對企業網絡的更大規模且基于應用的DDoS攻擊將迫使首席信息安全官（CISO）和安全團隊尋求新的、積極的解決方案，以減少由此造成的宕機時間。”

為什么DNS攻擊會在近兩年愈演愈烈？“因為，它是理想的攻擊目標。”邱迪說。

據悉，DNS中斷造成的損失很大，而攻擊成本卻不高。邱迪解釋，例如要對新浪或者騰訊的服務器發動一次大規模攻擊，由于分布式的云解決方案，可能需要大量的資源才能攻下來。但是，如果攻擊它的DNS解析，1G或者5G的流量就可以了。

除此之外，DNS本身也“漏洞百出”。古老的DNS協議伴隨著互聯網誕生，現在平均每個月或者每個季度都有一個嚴重的補丁爆出。“據不完全統計，大概60%以上的用戶都沒有打補丁，而且仍然在對外提供服務。”邱迪說。

看到了這一市場環境，Infoblox結合自身產品推出了Infoblox Advanced DNS Protection（高級DNS防護）解決方案。“這是集成防御分布式拒絕服務（DDoS）攻擊、緩存毒害、異常查詢、隧道技術以及其他DNS安全威脅的域名系統（DNS）設備。”Infoblox公司中國區總經理王平說。

Infoblox解決方案將防御功能直接加入到強化的DNS服務器中，可提供多級防御。包括：首先，獨特的威脅檢測與削減能力。Infoblox Advanced DNS Protection可智能分析進站DNS查詢，并可將真實用戶的合法流量與DNS DDoS攻擊產生的惡意流量區分開來。通過這些信息，Infoblox設備就會拋棄DDoS流量，而只對合法查詢做出響應。這樣就能在DDoS攻擊時保持業務的持續在線運營，而傳統的響應率限制方法只是簡單地限制DNS查詢響應數量，導致所有流量變慢。其次，持續防護不斷進化的威脅。自動更新服務定期向Infoblox Advanced DNS Protection設備發送新規則，確保不斷進化的威脅一經發現即可起到保護作用，而傳統安全修復與更新則需要等待數周時間。最后，也是最吸引人的集中可見性與透明度。企業和服務供應商可通過一個獨立控制界面發現其網絡上所有流經Infoblox Advanced DNS Protection的異常DNS流量，實現早期檢測，有助于實施更有效的防御。“它可以報告DNS攻擊，以及提示遭受攻擊的種類，關呈現與攻擊相關一些信息、報表，幫助管理員去了解當前這類攻擊的情況，以便做出相應防護。”邱迪說。