南京信風(fēng)DNS系統(tǒng)加強(qiáng)方案

1、南 京 信 風(fēng) 2010/02 DNS加強(qiáng)系統(tǒng)方案加強(qiáng)系統(tǒng)方案 南京信風(fēng)南京信風(fēng) 需求驅(qū)動(dòng)：需求驅(qū)動(dòng)：DNS成為互聯(lián)網(wǎng)安全的關(guān)鍵環(huán)節(jié)成為互聯(lián)網(wǎng)安全的關(guān)鍵環(huán)節(jié) DNS已經(jīng)成為互聯(lián)網(wǎng)的基礎(chǔ)服務(wù)，DNS異常對(duì)于絕大部分用戶的 表現(xiàn)等同于互聯(lián)網(wǎng)中斷。（1）2007年4月27日，新網(wǎng)DNS服務(wù) 器遭到大規(guī)模攻擊并出現(xiàn)故障，造成上萬(wàn)網(wǎng)站無(wú)法訪問(wèn)；（2） 2009年5月8日，易名中國(guó)6臺(tái)DNS服務(wù)器遭到黑客攻擊，上萬(wàn)網(wǎng) 站無(wú)法打開(kāi)；（3）2009年5月19日，暴風(fēng)網(wǎng)站的域名解析系統(tǒng) 受到網(wǎng)絡(luò)攻擊出現(xiàn)故障，導(dǎo)致江蘇、浙江等6省電信用戶不能正 常上網(wǎng)；（4）2010年1月12日百度的DNS被篡改，導(dǎo)致10多個(gè)

2、小時(shí)服務(wù)中斷。 傳統(tǒng)的DNS“流量清洗”方案，難以對(duì)付針對(duì)DNS的DDOS攻擊。 讓網(wǎng)絡(luò)癱瘓最經(jīng)濟(jì)的攻擊手段是攻擊DNS系統(tǒng)，攻擊方法層出不 窮，需要有一種以不變應(yīng)萬(wàn)變的策略，保護(hù)最關(guān)鍵的DNS服務(wù)系 統(tǒng)。 南京信風(fēng)南京信風(fēng) DNS安全的媒體報(bào)道安全的媒體報(bào)道 南京信風(fēng)南京信風(fēng) DNS安全的媒體報(bào)道安全的媒體報(bào)道 南京信風(fēng)南京信風(fēng) DNS安全引起工信部高度重視安全引起工信部高度重視 南京信風(fēng)南京信風(fēng) DNS異常舉例一：異常舉例一：DNS遭受攻擊遭受攻擊 南京信風(fēng)南京信風(fēng) DNS攻擊包舉例攻擊包舉例 測(cè)試DNS請(qǐng)求包由筆記本電腦合成并發(fā)出。 IP頭 UDP頭 DNS報(bào)文 南京信風(fēng)南京信風(fēng) 某大省

3、現(xiàn)網(wǎng)某大省現(xiàn)網(wǎng)DNS壓力測(cè)試結(jié)果壓力測(cè)試結(jié)果 F5負(fù)載均衡設(shè)備 DNS保護(hù)保護(hù) XX電信骨干電信骨干 壓力測(cè)試筆 記本電腦 南京信風(fēng) DNS保護(hù)系統(tǒng) DNS服務(wù)器群 F5負(fù)載均衡設(shè)備 未開(kāi)啟未開(kāi)啟DNS保護(hù)功能的測(cè)試結(jié)果：保護(hù)功能的測(cè)試結(jié)果： 壓力測(cè)試筆記本電腦僅發(fā)出1/10的測(cè)試壓力， （1）號(hào)稱能提供20萬(wàn)QPS服務(wù)能力的幾組 BIND服務(wù)器無(wú)法正常服務(wù)，CPU滿負(fù)荷； （2）F5會(huì)話溢出無(wú)法正常工作。 開(kāi)啟開(kāi)啟DNS保護(hù)功能的測(cè)試結(jié)果：保護(hù)功能的測(cè)試結(jié)果： 壓力測(cè)試筆記本電腦發(fā)出100%的測(cè)試壓力， 所有BIND服務(wù)器及F5正常工作。 1000M 可調(diào)整測(cè)試 壓力的帶寬 南京信風(fēng)南京信風(fēng)

4、 與電信運(yùn)營(yíng)商聯(lián)合的與電信運(yùn)營(yíng)商聯(lián)合的DNS攻防演練攻防演練 1。江蘇電信：一臺(tái)筆記本電腦1/10的CPU，攻癱江蘇電信四個(gè)DNS節(jié)點(diǎn)中的 一個(gè)，現(xiàn)網(wǎng)布署測(cè)試現(xiàn)網(wǎng)布署測(cè)試。打開(kāi)信風(fēng)DNS AGC的防護(hù)功能之后，攻擊被攔截。 2。山東網(wǎng)通：一臺(tái)筆記本電腦1/10的CPU，攻癱山東網(wǎng)通四個(gè)DNS節(jié)點(diǎn)中的 一個(gè)，現(xiàn)網(wǎng)布署測(cè)試現(xiàn)網(wǎng)布署測(cè)試。打開(kāi)信風(fēng)DNS AGC的防護(hù)功能之后，攻擊被攔截。 3。云南電信：一臺(tái)筆記本電腦1/10的CPU，攻癱云南電信DNS節(jié)點(diǎn)所有10臺(tái) DNS服務(wù)器，現(xiàn)網(wǎng)布署測(cè)試現(xiàn)網(wǎng)布署測(cè)試。打開(kāi)信風(fēng)DNS AGC的防護(hù)功能之后，攻擊 被攔截。 4。上海電信：一臺(tái)筆記本電腦1/10的C

5、PU，攻癱上海電信南匯信息園實(shí)驗(yàn)環(huán) 境下的DNS服務(wù)器，所有IPS設(shè)備無(wú)法攔截攻擊包，上海電信為了加強(qiáng)世 博會(huì)DNS的安全，緊急部署南京信風(fēng)的DNS AGC系統(tǒng)。 南京信風(fēng)南京信風(fēng) DNS DoS/DDoS的攻與防的攻與防 2。攔截這個(gè)攻擊卻異常的困難，上海電信選型并測(cè)試了半年多的若干 網(wǎng)絡(luò)安全廠商，都無(wú)法攔截這類針對(duì)DNS的DoS/DDoS攻擊，上海 電信用測(cè)試儀表測(cè)試的結(jié)果。 3。2分鐘的演示，直觀感受一下簡(jiǎn)單攻擊的威力及Cache效果。 4。信風(fēng)特有的DPI算法，巧妙地?cái)r截了最復(fù)雜的DoS/DDoS攻擊。 1。攻擊代碼非常簡(jiǎn)單：100多行的C代碼。 南京信風(fēng)南京信風(fēng) 信風(fēng)信風(fēng)DNS加強(qiáng)方

6、法論加強(qiáng)方法論 不依賴復(fù)雜的智能判斷，而是采用大量艱苦計(jì)算但行之有 效的策略； 以不變應(yīng)萬(wàn)變，對(duì)付無(wú)論是主動(dòng)攻擊還是意想不到的事件； 南京信風(fēng)南京信風(fēng) 建議限制省外建議限制省外DNS請(qǐng)求請(qǐng)求 在路由器上限制 而不是讓DNS系 統(tǒng)本身限制 本省DNS 服務(wù)系統(tǒng) 防止這條通道被省 外高流量（例如 10Gbps堵塞） 省內(nèi)省內(nèi) 省外省外 因?yàn)闊o(wú)法管控省外用戶，最有效的策略就是阻止省外的DNS請(qǐng)求及省 外發(fā)往DNS服務(wù)器的其他IP數(shù)據(jù)流量。 南京信風(fēng)南京信風(fēng) DNS保護(hù)策略和目標(biāo)保護(hù)策略和目標(biāo) 本省DNS 服務(wù)系統(tǒng) 管控觸發(fā)條件：管控觸發(fā)條件： 當(dāng)且僅當(dāng)DNS保護(hù)系統(tǒng)發(fā)現(xiàn)DNS請(qǐng)求超越了DNS系統(tǒng)的工

7、作能 力之后，保護(hù)系統(tǒng)對(duì)DNS請(qǐng)求進(jìn)行管控； 源地址請(qǐng)求管控：源地址請(qǐng)求管控： 分別對(duì)每個(gè)撥號(hào)用戶、專線用戶等發(fā)出的DNS請(qǐng)求進(jìn)行不同級(jí) 的控制，對(duì)超出部分丟棄； 域名解析管控：域名解析管控： 系統(tǒng)保留有正常的域名TOP20000，當(dāng)某個(gè)域名突然上升時(shí)進(jìn)行 告警，當(dāng)某個(gè)域名超越預(yù)先設(shè)置的數(shù)值時(shí)，對(duì)超出部分進(jìn)行丟棄； 也可對(duì)指定的域名進(jìn)行代應(yīng)答； 域名白名單機(jī)制域名白名單機(jī)制 / 人工干預(yù)：人工干預(yù)： 當(dāng)任何管控措施都無(wú)效的情況下，啟動(dòng)4級(jí)白名單機(jī)制：保護(hù)系 統(tǒng)只放行對(duì)白名單域名的DNS請(qǐng)求，丟棄任何非白名單內(nèi)的 DNS請(qǐng)求（或進(jìn)行代應(yīng)答）。 域名請(qǐng)求域名請(qǐng)求/應(yīng)答應(yīng)答 DPI 審查：審查： 丟

8、棄不符合DNS規(guī)范的請(qǐng)求、應(yīng)答。 DNS保護(hù)保護(hù) 省內(nèi)骨干網(wǎng) 目標(biāo)：目標(biāo)： 化解各種意想不到的攻擊模式，有效解決DNS系統(tǒng)最薄弱的環(huán) 節(jié)：遞歸DNS解析類DDOS攻擊，并對(duì)DNS投毒進(jìn)行預(yù)警。 南京信風(fēng)南京信風(fēng) DNS Cache策略和目標(biāo)策略和目標(biāo) 本省DNS 服務(wù)系統(tǒng) 減輕減輕BIND負(fù)擔(dān)：負(fù)擔(dān)： 對(duì)于TTL未過(guò)期的域名請(qǐng)求，Cache系統(tǒng)代應(yīng)答； 加強(qiáng)加強(qiáng)DNS系統(tǒng)的可用性：系統(tǒng)的可用性： 當(dāng)BIND出故障的時(shí)候，Cache系統(tǒng)可以繼續(xù)提供DNS服務(wù)。 省內(nèi)骨干網(wǎng) DNS Cache 目標(biāo)：目標(biāo)： 提供超強(qiáng)的DNS服務(wù)能力，減少BIND系統(tǒng)擴(kuò)容投資，并提供更 好的服務(wù)； 配合配合DNS保

9、護(hù)單元的工作：保護(hù)單元的工作： 承擔(dān)DNS保護(hù)單元的部分工作（Cache功能從保護(hù)系統(tǒng)中 拆分出來(lái)）。 南京信風(fēng)南京信風(fēng) DNS加強(qiáng)系統(tǒng)功能簡(jiǎn)介加強(qiáng)系統(tǒng)功能簡(jiǎn)介 1.限制省外 DNS請(qǐng)求總量； 2.對(duì)每個(gè)DNS請(qǐng)求進(jìn)行DPI，拋棄不合規(guī)范的DNS請(qǐng)求； 3.按需要限制每個(gè)寬帶帳號(hào)/每個(gè)企業(yè)用戶的DNS請(qǐng)求總量； 4.按需要限制針對(duì)每個(gè)域名的請(qǐng)求總量； 5.按需要對(duì)指定的域名進(jìn)行特別應(yīng)答； 6.按需要強(qiáng)制矯正被投毒或篡改的域名信息； 7.提供優(yōu)先保障域名機(jī)制，確保重點(diǎn)域名優(yōu)先得到保障； 8.對(duì)DNS的解析/應(yīng)答進(jìn)行實(shí)時(shí)多維統(tǒng)計(jì)，統(tǒng)計(jì)的維度包括域名解析量、解析 成功率、解析速度、用戶、節(jié)點(diǎn)、電路等

10、，提供多種報(bào)表； 9.過(guò)濾針對(duì)DNS系統(tǒng)各種DOS和DDOS攻擊包（包括遞歸域名解析攻擊包）； 10. 提供DNS被投毒的預(yù)警功能； 11. 大幅度提升DNS系統(tǒng)的抗攻擊性能：將DNS抗攻擊性能提升100倍以上； 12. 大幅度提升DNS系統(tǒng)的服務(wù)性能：將DNS服務(wù)性能提升10到100倍； 13. 大幅度加強(qiáng)DNS系統(tǒng)的可用性：DNS系統(tǒng)本身故障及根域名系統(tǒng)故障時(shí)還能 繼續(xù)提供服務(wù)； 單位QPS的價(jià)格僅為電信運(yùn)營(yíng)商原來(lái)建設(shè)DNS系統(tǒng)的幾十分之一 。 此外，信風(fēng)將協(xié)助電信運(yùn)營(yíng)商對(duì)原有DNS服務(wù)系統(tǒng)或DNS抗攻擊系統(tǒng)進(jìn)行安全測(cè)試。 南京信風(fēng)南京信風(fēng) 一體化一體化DNS保護(hù)及保護(hù)及Cache系統(tǒng)弊端

11、系統(tǒng)弊端 1000M DNS服務(wù)器群 電信運(yùn)營(yíng)商骨干電信運(yùn)營(yíng)商骨干 DNS Cache DNS 保護(hù)保護(hù) 缺陷：Cache系統(tǒng)邏輯簡(jiǎn)單，保護(hù)系統(tǒng)邏輯 復(fù)雜，復(fù)雜邏輯必定降低可靠性復(fù)雜邏輯必定降低可靠性。電信某大 省出現(xiàn)過(guò)保護(hù)系統(tǒng)誤動(dòng)作導(dǎo)致DNS系統(tǒng)中斷 2小時(shí)。 中國(guó)電信集團(tuán)運(yùn)維安全專家建議： 保護(hù)系統(tǒng)平常只運(yùn)行在并接狀態(tài)。 南京信風(fēng)南京信風(fēng) DNS服務(wù)系統(tǒng)遭遇服務(wù)系統(tǒng)遭遇DDOS攻擊攻擊 DNS服務(wù)器群 DNS保護(hù)保護(hù) DNS Cache 電信運(yùn)營(yíng)商骨干電信運(yùn)營(yíng)商骨干 DNS服務(wù)器群 遭遇DDOS攻擊 可切換到串接 DNS保護(hù)保護(hù) DNS Cache 電信運(yùn)營(yíng)商骨干電信運(yùn)營(yíng)商骨干 南京信風(fēng)南

12、京信風(fēng) 信風(fēng)信風(fēng)DNS保護(hù)及保護(hù)及Cache系統(tǒng)處理性能系統(tǒng)處理性能 DNS保護(hù)保護(hù) DNS Cache 10GE版：?jiǎn)螜C(jī)250萬(wàn)QPS GE版：?jiǎn)螜C(jī)80萬(wàn)QPS DNS服務(wù)器群 10GE版：?jiǎn)螜C(jī)處理1000萬(wàn)QPS DDOS攻擊 GE版：?jiǎn)螜C(jī)處理120萬(wàn)QPS DDOS攻擊 電信運(yùn)營(yíng)商骨干電信運(yùn)營(yíng)商骨干 性能太強(qiáng)了性能太強(qiáng)了! 南京信風(fēng)南京信風(fēng) 信風(fēng)信風(fēng)DNS Cache系統(tǒng)的流量經(jīng)營(yíng)功能系統(tǒng)的流量經(jīng)營(yíng)功能 DNS保護(hù)保護(hù) DNS服務(wù)器群 DNS Cache 電信運(yùn)營(yíng)商骨干電信運(yùn)營(yíng)商骨干 流量經(jīng)營(yíng)： 1。對(duì)不存在的域名，114劫持后不Cache； 2。未達(dá)到DNS服務(wù)系統(tǒng)的工作能力時(shí)，Cac

13、he不代服務(wù)。 3。支持策略劫持：按比例將未命中的域名劫持。 南京信風(fēng)南京信風(fēng) 建議省級(jí)運(yùn)營(yíng)商標(biāo)準(zhǔn)的部屬方案建議省級(jí)運(yùn)營(yíng)商標(biāo)準(zhǔn)的部屬方案 原有DNS系統(tǒng) DNS Cache 電信運(yùn)營(yíng)商骨干電信運(yùn)營(yíng)商骨干 DNS保護(hù)保護(hù) DNS Cache SiSiSiSi DNS保護(hù)保護(hù) 1000M 10GE 10GE DNS Cache DNS保護(hù)保護(hù) DNS Cache SiSiSiSi DNS保護(hù)保護(hù) 1000M 10GE 10GE DNS節(jié)點(diǎn)節(jié)點(diǎn)1DNS節(jié)點(diǎn)節(jié)點(diǎn)2 統(tǒng)計(jì)管理服務(wù)器群 4x10GE接口，接口，1000萬(wàn)萬(wàn)QPS DNS解析性能解析性能 抵御抵御4000萬(wàn)萬(wàn)QPS針對(duì)針對(duì)DNS的的DDOS

14、攻擊攻擊 原有DNS系統(tǒng) 管理中心管理中心 南京信風(fēng)南京信風(fēng) 施工與割接施工與割接 1。DNS Cache及保護(hù)系統(tǒng)，都沒(méi)有IP地址，透明橋接在原有DNS系統(tǒng)之中， 割接簡(jiǎn)易，對(duì)最終用戶也沒(méi)有任何影響； 2。管理系統(tǒng)占用機(jī)架約8U，實(shí)際功率消耗約2000瓦； 3。DNS Cache及保護(hù)系統(tǒng)，每個(gè)節(jié)點(diǎn)共占用機(jī)架約4U， 實(shí)際功率消耗約1500瓦； 4。機(jī)架位、電源、通信線纜可以預(yù)先準(zhǔn)備，除此之外的施工和調(diào)試周期 為3到5天； 南京信風(fēng)南京信風(fēng) 投資預(yù)算投資預(yù)算 一、一、4 x 10GE 標(biāo)準(zhǔn)配置：標(biāo)準(zhǔn)配置： （1）2個(gè)標(biāo)準(zhǔn)10GE加強(qiáng)節(jié)點(diǎn)，每個(gè)節(jié)點(diǎn)2套DNS Cache和DNS防護(hù)單機(jī)； （1

15、）1000萬(wàn)QPS的DNS服務(wù)能力； （2）抵御4000萬(wàn)QPS針對(duì)DNS的DOS和DDOS攻擊； 單位服務(wù)能力價(jià)格：?jiǎn)挝环?wù)能力價(jià)格： 10萬(wàn)QPS的DNS解析 + 40萬(wàn)QPS的DNS防護(hù)，軟硬件價(jià)格約4萬(wàn)元人民幣； 二、二、8 x GE 標(biāo)準(zhǔn)配置：標(biāo)準(zhǔn)配置： （1）4個(gè)標(biāo)準(zhǔn)GE加強(qiáng)節(jié)點(diǎn)，每個(gè)節(jié)點(diǎn)2套DNS Cache和DNS防護(hù)單機(jī)； （1）640萬(wàn)QPS的DNS服務(wù)能力； （2）抵御960萬(wàn)QPS針對(duì)DNS的DOS和DDOS攻擊； 單位服務(wù)能力價(jià)格：?jiǎn)挝环?wù)能力價(jià)格： 10萬(wàn)QPS的DNS解析 + 15萬(wàn)QPS的DNS防護(hù)，軟硬件價(jià)格約5萬(wàn)元人民幣； 南京信風(fēng)南京信風(fēng) 高可靠電信服務(wù)專家高可靠電信服務(wù)專家 中國(guó)電信及中國(guó)網(wǎng)通若干省的幾百條10G POS骨干，若干條