DNS网络攻击防护,泰尔英福版“攻略”大放送!

7月12日,《中国互联网站发展状况及其安全报告(2017)》(以下简称《网络安全报告》)在2017(第十六届)中国互联网大会分论坛——2017中国网络安全论坛上正式发布。《网络安全报告》由中国互联网协会和国家互联网应急中心联合发布,获得了北京泰尔英福网络科技有限责任公司、中国电信集团等单位支持。

《网络安全报告》指出,1G以上DDoS攻击事件数量日均452起,下降60%,但500G以上攻击事件明显增多,10G以上攻击事件数量全年持续增长,第四季度日均发生事件数量是第一季度的2.1倍。从攻击目标来看,67%涉及互联网地下黑色产业链。

据北京泰尔英福网络科技有限责任公司(Teleinfo)域名事业部总经理吕洪泽介绍,针对域名系统的攻击已成为互联网最重大的威胁之一,拒绝服务(DDoS)攻击、域名劫持、缓存投毒等频发。据统计,DNS是全球受攻击最为严重的三大互联网业务之一,DNS是全球DDoS攻击的第二大目标。国内外域名安全事件层出不穷,影响范围广,破坏性强,域名体系的桥梁作用被恶意利用,成为攻击互联网的手段。如反射放大攻击利用了DNS递归请求等特性,以较低的成本向网络发动巨大的流量攻击。

DNS是Internet的重要基础,包括Web访问、Email服务在内的众多网络服务都和DNS息息相关,DNS的安全直接关系到整个互联网应用能否正常使用。近年来,针对DNS的攻击越来越多,影响也越来越大,因此如何保护DNS系统的安全就成为了目前互联网安全的首要问题之一。

作为当前全球最大最复杂的分布式层次数据库系统,由于其开放、庞大、复杂的特性以及设计之初对于安全性的考虑不足,再加上人为攻击和破坏,DNS系统面临非常严重的安全威胁,因此如何解决DNS安全问题并寻求相关解决方案是当今DNS亟待解决的问题。

DNS安全防护主要面临如下威胁:(1)针对DNS的DDoS攻击;(2)DNS欺骗;(3)系统漏洞。

    各国高度重视域名解析系统安全,提升域名系统的安全性已成为全球业界协作的发力点。目前,DNSSEC在根和顶级域的部署取得阶段性进展,根服务器已全部部署了DNSSEC验证服务,截至2015年底,已有80.3%的顶级域名服务器部署了DNSSEC。此外,在反垃圾邮件、治理钓鱼网站等方面的国际合作近年来继续加强。

域名防护技术近年来主要在如下几方面取得了较大进展:

(一)DNS系统DDoS攻击防护

目前业界主流的针对DNS的DDoS攻击,通常采用判断DNS请求流量阈值的方法来识别。

(二)DNS协议异常防护与漏洞防护

针对DNS欺骗和系统漏洞的防护,最有效的办法是能够准确识别各种协议异常和攻击行为。业界采用专业的漏洞库,通过分析攻击产生原理,定义攻击类型的统一特征的方式来识别攻击。这种方式不受攻击变种的影响,虽具有较高的技术门槛,但是可以将误报降至最低。

(三)资源公共密钥基础架构

资源公共密钥基础架构(RPKI)是一个专用的PKI框架,它使用X.509证书扩展来传输IP路由来源信息,适用于IPv4和IPv6两个地址空间。

基于RPKI认证体系,IP地址的持有者可以发布一种称为ROA(Route Origin Attestation)的签名对象,将IP地址前缀授权给特定的AS进行路由通告。

根据RPKI Dashboard网站的数据,目前只有不到5%的全球路由表使用ROA保护,其中南美洲和加勒比海地区数量最多。南美洲和加勒比海地区有接近20%的网络信息中心路由处于RPKI有效状态,大约占全球路由表的2.5%。

    北京泰尔英福网络科技有限责任公司(Teleinfo)依托“.信息”顶级域,自建了面向全球的域名全生命周期服务平台,是完全覆盖域名实/命名验证、解析托管、云注册局、监测服务等环节的域名全生命周期服务商。Teleinfo负责运营托管的新顶级域已然超过10个,包括“.信息”、“.在线”、“.中文网”等。泰尔英福是中文域名应用创新的坚定推动者,致力于实现更广范围的互联互通,更优质的网络在线服务和用户体验。

极客网企业会员

免责声明:本网站内容主要来自原创、合作伙伴供稿和第三方自媒体作者投稿,凡在本网站出现的信息,均仅供参考。本网站将尽力确保所提供信息的准确性及可靠性,但不保证有关资料的准确性及可靠性,读者在使用前请进一步核实,并对任何自主决定的行为负责。本网站对有关资料所引致的错误、不确或遗漏,概不负任何法律责任。任何单位或个人认为本网站中的网页或链接内容可能涉嫌侵犯其知识产权或存在不实内容时,应及时向本网站提出书面权利通知或不实情况说明,并提供身份证明、权属证明及详细侵权或不实情况证明。本网站在收到上述法律文件后,将会依法尽快联系相关文章源头核实,沟通删除相关内容或断开相关链接。