萬方數據麗黼日當前域名體蕞主■安全稚息分圻統(tǒng)栗用ｕＤ嚏現服務。ｕＤＰ服務最窖島遭受（１牌作系統(tǒng)嗣洞Ｄｏｓ，ＤＤｏｓ攻擊影響。黑客使用操作系統(tǒng)漏洞獲取域名服務％登Ｈ埔Ｅ存巾毒攻擊錄權限，以獲得域名系統(tǒng)重

萬方數據麗黼日當前域名體蕞主■安全稚息分圻統(tǒng)栗用ｕＤ嚏現服務。ｕＤＰ服務最窖島遭受（１牌作系統(tǒng)嗣洞Ｄｏｓ，ＤＤｏｓ攻擊影響。黑客使用操作系統(tǒng)漏洞獲取域名服務％登Ｈ埔Ｅ存巾毒攻擊錄權限，以獲得域名系統(tǒng)重要信啟或篡改配置黑客將域名緩存最統(tǒng)中的記錄簋改為非法文件損壞主機系統(tǒng)．采用操作系統(tǒng)的服務器均結果ｕ緩存中毒攻擊主要原理是緩存系統(tǒng)中所有ｑ能受到這類攻擊。有數據均從外網其他授權域名服務器得到黑（２）非法域傳送喜日充相關域烏授權服務器發(fā)送柏莢域名諸域傳送是在多臺域名服務器閘進行配置同采響應包至運苻商域名緩存服務器．運背商緩步的種機制．黑客利用Ｍｚｓｍ服務器向ｓｌａｖｅ行服務器誤認為是真ｆ授權服務器發(fā)送的響應服務器進打配置目步時．使用非琺ｓｈｖｃ服務而接收下來，井緩存在運營商域宅系統(tǒng)中．柑器，妖取拿郵域名配置信包。這些信包可能存莢域名數據就被篡改ｎ用戶通過緩存中毒域名在敏感設備地址或相關信息，為黑客進一步攻系統(tǒng)解析到∞域袁結果都屜鍵聰鰒過的．?。頁籼峁┝艘罁??？蓪⒂脩袅髁繉蚍欠ňW站一影響網絡安全。（３）ＤＯＳ／ＤＤｏｓ攻擊唧放大式攻擊黑客使用發(fā)包工其莊報短時間內Ｐ生大毓黑客通過跳板或杠扦向目標主機發(fā)送兒流解析請求包，同剛發(fā)送給域名系統(tǒng)。域名系統(tǒng)量數摧包，堵塞目標主機州絡或電路。蠼營商將消耗＾罱資源處理這些攻擊請求將有限的域名系統(tǒng)目能臺被黑霹用作攻擊跳板，通過運系統(tǒng)資源消耗始盡．造成域名茉統(tǒng)址坪能力下營商域名系統(tǒng)枷被攻士目標主機發(fā)送大流量數降或癱瘓。ＤＯＳ／ＤＤｏＳ攻擊的目標就是使域名據乜，系統(tǒng)遲緩或癱瘓。用Ｐ發(fā)送給域名系統(tǒng)請求的數據包和搋量ＤＯＳ／ＤＤｎｓ攻擊是ＦＩ目口域名系統(tǒng)面臨醴”ｊ以非常?。蜃阌蚱飨到y(tǒng)近目給用戶結果ｆｌ寸

臼

ＤＮＳ

ｃ≤Ｕ翮ａｃｒ＿ｅ？。臼“…“…３；璺』。，√黼囂口；尹聲，島

ｊ１＿『ｉ

◇∥；；夕沁一嚶萬方數據ｑ文／／“５三

電估技求

∞ｐ∞曰

烈

ｊ獨

側可選到６０倍．即黑客向域名系統(tǒng)發(fā)送大量偽造瓊ＩＰ地址的數據包實現《菏商域名系統(tǒng)向攻☆目標豐機發(fā)送放大８一們的倍數據流量。

２３

ＤｏＳ，ＤＤＯＳ攻擊防護

陜日瞄通域名系統(tǒng)口采州最大解析

（鯽足夠冗余存量

陜曲聯通域名采統(tǒng)消除ｒ魯個環(huán)節(jié)的性能瓶頸，整個域名系統(tǒng)性能與域名服務器數量、性能成正比，具備平滑過硅到Ｈ萬請求量系統(tǒng)的條件共有充足解析容量，在山理各種負載故障時．能夠從容ｍ對．

閾值盡宿減少Ｄ０ｓ母Ｄ潮擊的￥舶．

（１）有效的監(jiān)控和同管茉統(tǒng)

管理員可實時ｒ解、查看域名系統(tǒng)當前、∞史狀眥，準確掌握域名樂統(tǒng)蟛行狀態(tài)及存舟的隱患。

目陜西聯通口蛙譬睦蛹鼬愀

２１操作系統(tǒng)漏洞防御

酞日旺姐Ｉ）Ｎｓ｝二簧是道址搬怍系統(tǒng)ｉ拿加…柬＿、現劃芙安食ｑ題ｆ々蝻ｐ±ｇ包特ＸⅧ忙＾…Ｆｎ：【補Ｔ“％等ｒ脞．

器生

（∞采用分椎式集蛘架掬

嚷西聯通域名系統(tǒng)采川基于

“）清除各類性能瓶頸

陜西聯通域名系統(tǒng)經過了所有環(huán)節(jié)優(yōu)化梢除ｒⅡ能精在十電齬、４層＆防止墻設備卅＊∞性能瓶頸隱患．在囂類攻擊發(fā)生后整個系統(tǒng)ｕｆ以高燭ｉ搿７、，

＾…川技術的分肅式集群集構

Ｅ

分布到牟肯５個地ｒＨ弛６十＊點．＊４構ｑ有效抵抗ＤＯＳ／ＤＤｏ￥攻。ｂ，域＃

２

２非法域傳送

調整ＢＩＮＤ配置文件、限制

系統(tǒng)可迅速實現節(jié)點間流量的保護目換，目使出現Ｐｔ故障．域袁系統(tǒng)也可以將故障囪敢隔離在單個竹電內腓不會精＿｛?。绞∮脩魩碛绊憽?/p>

（５墚Ｊ１１分布式戟佴安全待護黼

陜口聯通粟用分布式蛾名安全防護

訪問瑞ｕ實現非法域傳送攻擊的防護。

幕統(tǒng)，幣會臻ｃＩ－在個節(jié)點業(yè)榮蝴

Ｉ．進打ｊ或名安全防護，而是分敞到多個

萬方數據

目墨甚衛(wèi)臣Ｅ阻寶羞塞全墮垃助掃重萱監(jiān)型～————

節(jié)點、多條電路多個服務器上寅時安能。壘省所有服務器均可以提供針對壘防護，實現ｒ分散式處理機制．給整一個或多個１ｐ地址域名解析服務?？聜€系統(tǒng)帶來強大抗攻擊能力的捌時，系效屏蔽，隔離．減弱省內域名系統(tǒng)的統(tǒng)資源占用也達到ｒ最低。ＤＯＳ／ＤＤｏ￥攻擊；繼續(xù)采用３層設備

發(fā)揮包交換能力強不會出現性能瓶

２．４緩存中毒，劫持預的優(yōu)勢；能夠平滑擴容至百２３ＱＰＳ有效?。欤炀彺嬷卸竟ア蟆薤煼ㄊ羌壍挠蛎到y(tǒng)。

ＤＮＳＳ眠目坍ｒ有域名女＆進打數字箍名，

ｆＭＤＮＳＳｅｃ規(guī)范Ⅱ４披熟。陵西嘲頂防３，３增加緩存中毒攻擊防護系統(tǒng)埋存中毒，蜥｝的方式±霉有呲ｆ幾種。分布式緩存攻擊防護系統(tǒng)．可以‘１Ｊ采用Ｈ新版奉ＢＩＮＤ轉侖肯的緩存巾毒攻擊分解到不同地晶新版本ＢｌＮＤｆＢｌＮＤ９＾２以市。不同服務器上殼成桐關的判斷和上）茉蛹。ｆ以有效減少域若系統(tǒng)受班攔敝．詿系統(tǒng)荊斷是針對緩存，Ｉｒ毒攻擊的影響。擊特＾完成的，可以有做阻止緩存巾塒采用再點域名保護蕞繾毒及相關的衍生攻擊行為。重點域名讎護系統(tǒng)?！灰浴埃晔乇?/p>

域名進行自動榆側ｗ拉障排除，比＾３．４全新域名害蟲和窖錯系統(tǒng)工方式盟ｍ有效．日速度鯉快。域名窖鉛系統(tǒng)可以住域名系虢中

實時采集域名解析的正確結果．自動

２５艟大式玻擊更新最新域名數據到窖錯數據庫．相陵兩聯埔采州以下方，℃臧小放大據需哥設定爭部或個別域名ＴＴＬ．并式攻擊蛤域名每統(tǒng)帶來的影響。可定期請理和備份窖錯數據。該系統(tǒng)（１）凋攘ＥＤＮＳＯ協(xié)波可處理日常域名解析故障．大規(guī)模斷諺工作方武。Ｊ以把放大式攻擊可網，封鎖以及大型眭冊代理商系統(tǒng)崩能給域名基統(tǒng)帶來的影響堿至最小，湍等各種影響域名系統(tǒng)安全和穩(wěn)定的“目１所Ⅲ。書件．

∽采用蟲食防護系統(tǒng)域書解析異常自動榆刪功能．可陵西聯西地名安全防護系統(tǒng)可有發(fā)現目為域名所有音問題引發(fā)的域名效譴小放大式攻女影響虹邕２所Ⅲ。系統(tǒng)故障。桿發(fā)生大規(guī)模事件時。Ｊ

自動或手動將容錨系統(tǒng)數據回注到緩

目計刪采用刨新型的安全防存最統(tǒng)，避免解析景統(tǒng)崩冊。域名容護系統(tǒng)錯系統(tǒng)主要ｍ客錯數據處理巾Ｃ、、容口ｆｔ陸：ｒｑ“】ｍ＃名ｇ，Ｆ口龜＋十ｉ镕域ｇ解析Ｐ。ｍｌ系統(tǒng)、窖錯域名監(jiān)終＃％”向Ｈ“目絲齜】】＿｛矗｝≯捧系統(tǒng)和現有的域名解析緩存系統(tǒng)組目≮＃會掛Ⅲ“Ｔ優(yōu)＊Ⅲ№成奔錯藪據處理中心則可分為數據

％集系統(tǒng)和數據庫系統(tǒng)兩類。

３１堅持Ａｎｖ∞８ｔ技術船構，實現容鍺數據黼拄系統(tǒng)運行在現有域各地市分布式部署名解析緩存系統(tǒng)｝．件將數據傳送精仝靠ｊ｝ｔ式涮ｍｌＭ州ｊ，¨輯錨數據處理中心．輯鋯教據處理中

心將其整臺處理詹提空給輯錯域輯解

３２堅持采用分布式安全防護系析Ｐｏｍ瞟繞使用．域名解析緩存系統(tǒng)統(tǒng)和架構則會使用容錨系統(tǒng)中的數據米優(yōu)化現Ｈ有開地的負戟分一ｒ１和ＦＪ－ｌｏｖｃ川』有的用戶解析疏僵。

４８萬方數據Ｔ日ｆｏｄ㈣ｕＮ烈ＴＤＮＳＴＥＣＨＮａｏＧⅥ２０１１－５（１）釋錯域名散據處理巾心容錯域名數據處理中心對所有綴存服務器用戶解析數據進行分析和處理．整古處理采集到的域名怙包，并棉相應解析結果記＾數據庫．諼系統(tǒng)還可以將數據庠中的結＊提供給配置容錯域名解析ＰｏｍＩ系統(tǒng)使用。ｍｆ窯錯數據處理中心Ｔ作較復雜，需要處理大量數據，田而可將鹺處理中心分成數據采燕、數據庫兩十于系統(tǒng)、部署在緩存系統(tǒng)上的容錨數據監(jiān)控系統(tǒng)將用戶解析數據傳給窖鍺數據處理中心的數據采集子系統(tǒng)．窖鍺數據采徭干系統(tǒng)將該數據整臺并得到相關解析結果．處理后的數據記入窖錨數據庫子系統(tǒng)，井提交給容錯域名解析Ｐｏｒｔａｌ系統(tǒng)使用。㈣容罐域名孵析Ｐｍｌ系統(tǒng)為蠻現客錨域名數據和緩存服務理中心櫞存系統(tǒng)閥建立客錨埔名解耩問的數據交換，需要在容錯數據處析Ｐｏｍｌ系統(tǒng)．容錯域名解析Ｐｏｍ僳纜從容錯數據處理ｑｔ心得到相關數據．并提供給域名解析緩存系統(tǒng)使用。圓霹鐠教撼啦控樂境容錯數據監(jiān)控系統(tǒng)是安裝在現有】戎名解析緩存服務器中的軟件模塊，＊模蟪將用戶流量信自發(fā)送給容錨數摧處理中心∞數據采集于系統(tǒng)井完成處理．控制緩存服務器從喜錨域名解析Ｐ。Ⅲ】系統(tǒng)中得到可以優(yōu)化當前用戶流量的數據。容錯數據監(jiān)控系統(tǒng)收攥用戶數據信息．傳送給容錯數據處理中心的數據采集子系統(tǒng)，控制本地緩存服務器從容錯域名解析ｐｏｒｔａｌ系統(tǒng)上獲取數據，并對本地用戶流帚進行ⅫＷ￥±自?！铮裕Γ迍h，＊＆Ｅ…Ｉ！點生蘭罌ｉ匿………。

域名體系安全與防護策略研討作者：

作者單位：

刊名：

英文刊名：

年，卷(期)：劉保安， 鮑莉婭， 徐濤， 卜雨中國聯合網絡通信有限公司陜西省分公司電信技術TELECOMMUNICATIONS TECHNOLOGY2011(5)

本文鏈接：http://d.g.wanfangdata.com.cn/Periodical_dxjs201105011.aspx