1、針對DNS系統(tǒng)的惡意攻擊:發(fā)動DNS DDOS攻擊造成DNS名稱解析癱瘓。
 
2、DNS名稱劫持:修改注冊訊息、劫持解析的結果。
 
當DNS服務器遭遇DNSSpoofing惡意攻擊時,不管是正常DNS查詢封包或非正常的封包都經(jīng)由UDPPort53進到內(nèi)部的DNS服務器,DNS服務器除了要處理正常封包外,還要處理這些垃圾封包,當每秒的封包數(shù)大到一定的量時,DNS服務器肯定無法處理了,此時正常的封包請求,也一定無法得到正常的回應,當查詢網(wǎng)站的IP無法被回應時,用戶當然連接不到網(wǎng)站看不見網(wǎng)頁,如果是查詢郵件服務器時,那郵件也無法被寄出,重要的資料也無法被順利的傳遞了,因此,維護DNS服務的正常運作就是一件非常重要的工作。
 
針對以上的問題AX有一個解決方式,就是DNS應用服務防火墻,AX在這問題有三個有力的方法,可以有效的緩解這些攻擊所造成的影響,
 
1、首先將非DNS協(xié)定的封包過濾(Malformed Query Filter)
 
2、再來將經(jīng)由DNS服務器查詢到的訊息做緩存(DNS Cache)
 
3、如果真的遇到大量的正常查詢、AX可以啟動每秒的連線控制(Connection Rate Limit)
 
Malformed Query Filter:
 
這種非正常的封包通常都是用來將對外網(wǎng)絡的頻寬給撐爆,當然也會造成DNS服務器的忙碌,所以AX在第一線就將這類的封包過濾,正確的封包傳遞到后方的服務器,不正常的封包自動過濾掉避免服務器的負擔。
 
DNS Cache:
 
當DNS查詢的回應回到AX時,AX可以預先設定好哪些Domain要Cache哪些不需要Cache,如果有Cache,當下一個同樣的查詢來到AX時,AX就能從Cache中直接回應,不需要再去DNS服務器查詢,一方面減輕了DNS服務器的負擔,另一方面也加快了回應的速度。
 
再者,當企業(yè)選用此功能時更能僅設定公司的Domain做Cache,而非關此Domain的查詢一律不Cache或者拒絕回應,這樣更能有效的保護企業(yè)的DNS服務器。
 
而ISP之類需提供大量查詢的服務,更適合使用此功能,為DNS服務提供更好更快的回應。
 
Connection RateLimit:
 
當查詢的流量大到一定的程度時,例如同一個Domain每秒超過1000個請求,此時在AX上可以啟動每秒的連線控制,控制進入到后端DNS服務器的查詢量,超過的部分直接丟棄,更嚴格的保護DSN服務器的資源。
 
相信許多人期待在日新月異的網(wǎng)際網(wǎng)絡中看到創(chuàng)新的網(wǎng)絡技術,并能提供更好的網(wǎng)絡應用服務。而確保DNS服務的不間斷持續(xù)運作并讓DNS服務所提供的資訊是正確的,這也是一切網(wǎng)絡應用服務的基礎。
 
本文提及DNS防火墻應用服務功能,除了希望提醒讀者DNS服務的重要外,亦希望讀者對DNS的安全性上有所認知,進而知道如何保護DNS服務器,并在防止被惡意攻擊上提供一些有效的幫助。

分享到

tangrong

相關推薦