萬方數(shù)據(jù)麗黼日當前域名體蕞主■安全稚息分圻統(tǒng)栗用ｕＤ嚏現(xiàn)服務(wù)。ｕＤＰ服務(wù)最窖島遭受（１牌作系統(tǒng)嗣洞Ｄｏｓ，ＤＤｏｓ攻擊影響。黑客使用操作系統(tǒng)漏洞獲取域名服務(wù)％登Ｈ埔Ｅ存巾毒攻擊錄權(quán)限，以獲得域名系統(tǒng)重

萬方數(shù)據(jù)麗黼日當前域名體蕞主■安全稚息分圻統(tǒng)栗用ｕＤ嚏現(xiàn)服務(wù)。ｕＤＰ服務(wù)最窖島遭受（１牌作系統(tǒng)嗣洞Ｄｏｓ，ＤＤｏｓ攻擊影響。黑客使用操作系統(tǒng)漏洞獲取域名服務(wù)％登Ｈ埔Ｅ存巾毒攻擊錄權(quán)限，以獲得域名系統(tǒng)重要信啟或篡改配置黑客將域名緩存最統(tǒng)中的記錄簋改為非法文件損壞主機系統(tǒng)．采用操作系統(tǒng)的服務(wù)器均結(jié)果ｕ緩存中毒攻擊主要原理是緩存系統(tǒng)中所有ｑ能受到這類攻擊。有數(shù)據(jù)均從外網(wǎng)其他授權(quán)域名服務(wù)器得到黑（２）非法域傳送喜日充相關(guān)域烏授權(quán)服務(wù)器發(fā)送柏莢域名諸域傳送是在多臺域名服務(wù)器閘進行配置同采響應(yīng)包至運苻商域名緩存服務(wù)器．運背商緩步的種機制．黑客利用Ｍｚｓｍ服務(wù)器向ｓｌａｖｅ行服務(wù)器誤認為是真ｆ授權(quán)服務(wù)器發(fā)送的響應(yīng)服務(wù)器進打配置目步時．使用非琺ｓｈｖｃ服務(wù)而接收下來，井緩存在運營商域宅系統(tǒng)中．柑器，妖取拿郵域名配置信包。這些信包可能存莢域名數(shù)據(jù)就被篡改ｎ用戶通過緩存中毒域名在敏感設(shè)備地址或相關(guān)信息，為黑客進一步攻系統(tǒng)解析到∞域袁結(jié)果都屜鍵聰鰒過的．肌ｍ擊提供了依據(jù)。可將用戶流量導(dǎo)向非法網(wǎng)站一影響網(wǎng)絡(luò)安全。（３）ＤＯＳ／ＤＤｏｓ攻擊唧放大式攻擊黑客使用發(fā)包工其莊報短時間內(nèi)Ｐ生大毓黑客通過跳板或杠扦向目標主機發(fā)送兒流解析請求包，同剛發(fā)送給域名系統(tǒng)。域名系統(tǒng)量數(shù)摧包，堵塞目標主機州絡(luò)或電路。蠼營商將消耗＾罱資源處理這些攻擊請求將有限的域名系統(tǒng)目能臺被黑霹用作攻擊跳板，通過運系統(tǒng)資源消耗始盡．造成域名茉統(tǒng)址坪能力下營商域名系統(tǒng)枷被攻士目標主機發(fā)送大流量數(shù)降或癱瘓。ＤＯＳ／ＤＤｏＳ攻擊的目標就是使域名據(jù)乜，系統(tǒng)遲緩或癱瘓。用Ｐ發(fā)送給域名系統(tǒng)請求的數(shù)據(jù)包和搋量ＤＯＳ／ＤＤｎｓ攻擊是ＦＩ目口域名系統(tǒng)面臨醴”ｊ以非常?。蜃阌蚱飨到y(tǒng)近目給用戶結(jié)果ｆｌ寸

臼

ＤＮＳ

ｃ≤Ｕ翮ａｃｒ＿ｅ？。臼“…“…３；璺』。，√黼囂口；尹聲，島

ｊ１＿『ｉ

◇∥；；夕沁一嚶萬方數(shù)據(jù)ｑ文／／“５三

電估技求

∞ｐ∞曰

烈

ｊ獨

側(cè)可選到６０倍．即黑客向域名系統(tǒng)發(fā)送大量偽造瓊ＩＰ地址的數(shù)據(jù)包實現(xiàn)《菏商域名系統(tǒng)向攻☆目標豐機發(fā)送放大８一們的倍數(shù)據(jù)流量。

２３

ＤｏＳ，ＤＤＯＳ攻擊防護

陜?nèi)彰橥ㄓ蛎到y(tǒng)口采州最大解析

（鯽足夠冗余存量

陜曲聯(lián)通域名采統(tǒng)消除ｒ魯個環(huán)節(jié)的性能瓶頸，整個域名系統(tǒng)性能與域名服務(wù)器數(shù)量、性能成正比，具備平滑過硅到Ｈ萬請求量系統(tǒng)的條件共有充足解析容量，在山理各種負載故障時．能夠從容ｍ對．

閾值盡宿減少Ｄ０ｓ母Ｄ潮擊的￥舶．

（１）有效的監(jiān)控和同管茉統(tǒng)

管理員可實時ｒ解、查看域名系統(tǒng)當前、∞史狀眥，準確掌握域名樂統(tǒng)蟛行狀態(tài)及存舟的隱患。

目陜西聯(lián)通口蛙譬睦蛹鼬愀

２１操作系統(tǒng)漏洞防御

酞日旺姐Ｉ）Ｎｓ｝二簧是道址搬怍系統(tǒng)ｉ拿加…柬＿、現(xiàn)劃芙安食ｑ題ｆ々蝻ｐ±ｇ包特ＸⅧ忙＾…Ｆｎ：【補Ｔ“％等ｒ脞．

器生

（∞采用分椎式集蛘架掬

嚷西聯(lián)通域名系統(tǒng)采川基于

“）清除各類性能瓶頸

陜西聯(lián)通域名系統(tǒng)經(jīng)過了所有環(huán)節(jié)優(yōu)化梢除ｒⅡ能精在十電齬、４層＆防止墻設(shè)備卅＊∞性能瓶頸隱患．在囂類攻擊發(fā)生后整個系統(tǒng)ｕｆ以高燭ｉ搿７、，

＾…川技術(shù)的分肅式集群集構(gòu)

Ｅ

分布到牟肯５個地ｒＨ弛６十＊點．＊４構(gòu)ｑ有效抵抗ＤＯＳ／ＤＤｏ￥攻。ｂ，域＃

２

２非法域傳送

調(diào)整ＢＩＮＤ配置文件、限制

系統(tǒng)可迅速實現(xiàn)節(jié)點間流量的保護目換，目使出現(xiàn)Ｐｔ故障．域袁系統(tǒng)也可以將故障囪敢隔離在單個竹電內(nèi)腓不會精＿｛！＝省用戶帶來影響。

（５墚Ｊ１１分布式戟佴安全待護黼

陜口聯(lián)通粟用分布式蛾名安全防護

訪問瑞ｕ實現(xiàn)非法域傳送攻擊的防護。

幕統(tǒng)，幣會臻ｃＩ－在個節(jié)點業(yè)榮蝴

Ｉ．進打ｊ或名安全防護，而是分敞到多個

萬方數(shù)據(jù)

目墨甚衛(wèi)臣Ｅ阻寶羞塞全墮垃助掃重萱監(jiān)型～————

節(jié)點、多條電路多個服務(wù)器上寅時安能。壘省所有服務(wù)器均可以提供針對壘防護，實現(xiàn)ｒ分散式處理機制．給整一個或多個１ｐ地址域名解析服務(wù)?？聜€系統(tǒng)帶來強大抗攻擊能力的捌時，系效屏蔽，隔離．減弱省內(nèi)域名系統(tǒng)的統(tǒng)資源占用也達到ｒ最低。ＤＯＳ／ＤＤｏ￥攻擊；繼續(xù)采用３層設(shè)備

發(fā)揮包交換能力強不會出現(xiàn)性能瓶

２．４緩存中毒，劫持預(yù)的優(yōu)勢；能夠平滑擴容至百２３ＱＰＳ有效啊ｌｌ緩存中毒攻Ⅲ∞療法是級的域名系統(tǒng)。

ＤＮＳＳ眠目坍ｒ有域名女＆進打數(shù)字箍名，

ｆＭＤＮＳＳｅｃ規(guī)范Ⅱ４披熟。陵西嘲頂防３，３增加緩存中毒攻擊防護系統(tǒng)埋存中毒，蜥｝的方式±霉有呲ｆ幾種。分布式緩存攻擊防護系統(tǒng)．可以‘１Ｊ采用Ｈ新版奉ＢＩＮＤ轉(zhuǎn)侖肯的緩存巾毒攻擊分解到不同地晶新版本ＢｌＮＤｆＢｌＮＤ９＾２以市。不同服務(wù)器上殼成桐關(guān)的判斷和上）茉蛹。ｆ以有效減少域若系統(tǒng)受班攔敝．詿系統(tǒng)荊斷是針對緩存，Ｉｒ毒攻擊的影響。擊特＾完成的，可以有做阻止緩存巾塒采用再點域名保護蕞繾毒及相關(guān)的衍生攻擊行為。重點域名讎護系統(tǒng)?！灰浴埃晔乇?/p>

域名進行自動榆側(cè)ｗ拉障排除，比＾３．４全新域名害蟲和窖錯系統(tǒng)工方式盟ｍ有效．日速度鯉快。域名窖鉛系統(tǒng)可以住域名系虢中

實時采集域名解析的正確結(jié)果．自動

２５艟大式玻擊更新最新域名數(shù)據(jù)到窖錯數(shù)據(jù)庫．相陵兩聯(lián)埔采州以下方，℃臧小放大據(jù)需哥設(shè)定爭部或個別域名ＴＴＬ．并式攻擊蛤域名每統(tǒng)帶來的影響。可定期請理和備份窖錯數(shù)據(jù)。該系統(tǒng)（１）凋攘ＥＤＮＳＯ協(xié)波可處理日常域名解析故障．大規(guī)模斷諺工作方武。Ｊ以把放大式攻擊可網(wǎng)，封鎖以及大型眭冊代理商系統(tǒng)崩能給域名基統(tǒng)帶來的影響堿至最小，湍等各種影響域名系統(tǒng)安全和穩(wěn)定的“目１所Ⅲ。書件．

∽采用蟲食防護系統(tǒng)域書解析異常自動榆刪功能．可陵西聯(lián)西地名安全防護系統(tǒng)可有發(fā)現(xiàn)目為域名所有音問題引發(fā)的域名效譴小放大式攻女影響虹邕２所Ⅲ。系統(tǒng)故障。桿發(fā)生大規(guī)模事件時。Ｊ

自動或手動將容錨系統(tǒng)數(shù)據(jù)回注到緩

目計刪采用刨新型的安全防存最統(tǒng)，避免解析景統(tǒng)崩冊。域名容護系統(tǒng)錯系統(tǒng)主要ｍ客錯數(shù)據(jù)處理巾Ｃ、、容口ｆｔ陸：ｒｑ“】ｍ＃名ｇ，Ｆ口龜＋十ｉ镕域ｇ解析Ｐ。ｍｌ系統(tǒng)、窖錯域名監(jiān)終＃％”向Ｈ“目絲齜】】＿｛矗｝≯捧系統(tǒng)和現(xiàn)有的域名解析緩存系統(tǒng)組目≮＃會掛Ⅲ“Ｔ優(yōu)＊Ⅲ№成奔錯藪據(jù)處理中心則可分為數(shù)據(jù)

％集系統(tǒng)和數(shù)據(jù)庫系統(tǒng)兩類。

３１堅持Ａｎｖ∞８ｔ技術(shù)船構(gòu)，實現(xiàn)容鍺數(shù)據(jù)黼拄系統(tǒng)運行在現(xiàn)有域各地市分布式部署名解析緩存系統(tǒng)｝．件將數(shù)據(jù)傳送精仝靠ｊ｝ｔ式涮ｍｌＭ州ｊ，¨輯錨數(shù)據(jù)處理中心．輯鋯教據(jù)處理中

心將其整臺處理詹提空給輯錯域輯解

３２堅持采用分布式安全防護系析Ｐｏｍ瞟繞使用．域名解析緩存系統(tǒng)統(tǒng)和架構(gòu)則會使用容錨系統(tǒng)中的數(shù)據(jù)米優(yōu)化現(xiàn)Ｈ有開地的負戟分一ｒ１和ＦＪ－ｌｏｖｃ川』有的用戶解析疏僵。

４８萬方數(shù)據(jù)Ｔ日ｆｏｄ㈣ｕＮ烈ＴＤＮＳＴＥＣＨＮａｏＧⅥ２０１１－５（１）釋錯域名散據(jù)處理巾心容錯域名數(shù)據(jù)處理中心對所有綴存服務(wù)器用戶解析數(shù)據(jù)進行分析和處理．整古處理采集到的域名怙包，并棉相應(yīng)解析結(jié)果記＾數(shù)據(jù)庫．諼系統(tǒng)還可以將數(shù)據(jù)庠中的結(jié)＊提供給配置容錯域名解析ＰｏｍＩ系統(tǒng)使用。ｍｆ窯錯數(shù)據(jù)處理中心Ｔ作較復(fù)雜，需要處理大量數(shù)據(jù)，田而可將鹺處理中心分成數(shù)據(jù)采燕、數(shù)據(jù)庫兩十于系統(tǒng)、部署在緩存系統(tǒng)上的容錨數(shù)據(jù)監(jiān)控系統(tǒng)將用戶解析數(shù)據(jù)傳給窖鍺數(shù)據(jù)處理中心的數(shù)據(jù)采集子系統(tǒng)．窖鍺數(shù)據(jù)采徭干系統(tǒng)將該數(shù)據(jù)整臺并得到相關(guān)解析結(jié)果．處理后的數(shù)據(jù)記入窖錨數(shù)據(jù)庫子系統(tǒng)，井提交給容錯域名解析Ｐｏｒｔａｌ系統(tǒng)使用。㈣容罐域名孵析Ｐｍｌ系統(tǒng)為蠻現(xiàn)客錨域名數(shù)據(jù)和緩存服務(wù)理中心櫞存系統(tǒng)閥建立客錨埔名解耩問的數(shù)據(jù)交換，需要在容錯數(shù)據(jù)處析Ｐｏｍｌ系統(tǒng)．容錯域名解析Ｐｏｍ僳纜從容錯數(shù)據(jù)處理ｑｔ心得到相關(guān)數(shù)據(jù)．并提供給域名解析緩存系統(tǒng)使用。圓霹鐠教撼啦控樂境容錯數(shù)據(jù)監(jiān)控系統(tǒng)是安裝在現(xiàn)有】戎名解析緩存服務(wù)器中的軟件模塊，＊模蟪將用戶流量信自發(fā)送給容錨數(shù)摧處理中心∞數(shù)據(jù)采集于系統(tǒng)井完成處理．控制緩存服務(wù)器從喜錨域名解析Ｐ。Ⅲ】系統(tǒng)中得到可以優(yōu)化當前用戶流量的數(shù)據(jù)。容錯數(shù)據(jù)監(jiān)控系統(tǒng)收攥用戶數(shù)據(jù)信息．傳送給容錯數(shù)據(jù)處理中心的數(shù)據(jù)采集子系統(tǒng)，控制本地緩存服務(wù)器從容錯域名解析ｐｏｒｔａｌ系統(tǒng)上獲取數(shù)據(jù)，并對本地用戶流帚進行ⅫＷ￥±自?！铮裕Γ迍h，＊＆Ｅ…Ｉ！點生蘭罌ｉ匿………。

域名體系安全與防護策略研討作者：

作者單位：

刊名：

英文刊名：

年，卷(期)：劉保安， 鮑莉婭， 徐濤， 卜雨中國聯(lián)合網(wǎng)絡(luò)通信有限公司陜西省分公司電信技術(shù)TELECOMMUNICATIONS TECHNOLOGY2011(5)

本文鏈接：http://d.g.wanfangdata.com.cn/Periodical_dxjs201105011.aspx