萬(wàn)方數(shù)據(jù)麗黼日當(dāng)前域名體蕞主■安全稚息分圻統(tǒng)栗用ｕＤ嚏現(xiàn)服務(wù)。ｕＤＰ服務(wù)最窖島遭受（１牌作系統(tǒng)嗣洞Ｄｏｓ，ＤＤｏｓ攻擊影響。黑客使用操作系統(tǒng)漏洞獲取域名服務(wù)％登Ｈ埔Ｅ存巾毒攻擊錄權(quán)限，以獲得域名系統(tǒng)重

萬(wàn)方數(shù)據(jù)麗黼日當(dāng)前域名體蕞主■安全稚息分圻統(tǒng)栗用ｕＤ嚏現(xiàn)服務(wù)。ｕＤＰ服務(wù)最窖島遭受（１牌作系統(tǒng)嗣洞Ｄｏｓ，ＤＤｏｓ攻擊影響。黑客使用操作系統(tǒng)漏洞獲取域名服務(wù)％登Ｈ埔Ｅ存巾毒攻擊錄權(quán)限，以獲得域名系統(tǒng)重要信啟或篡改配置黑客將域名緩存最統(tǒng)中的記錄簋改為非法文件損壞主機(jī)系統(tǒng)．采用操作系統(tǒng)的服務(wù)器均結(jié)果ｕ緩存中毒攻擊主要原理是緩存系統(tǒng)中所有ｑ能受到這類(lèi)攻擊。有數(shù)據(jù)均從外網(wǎng)其他授權(quán)域名服務(wù)器得到黑（２）非法域傳送喜日充相關(guān)域?yàn)跏跈?quán)服務(wù)器發(fā)送柏莢域名諸域傳送是在多臺(tái)域名服務(wù)器閘進(jìn)行配置同采響應(yīng)包至運(yùn)苻商域名緩存服務(wù)器．運(yùn)背商緩步的種機(jī)制．黑客利用Ｍｚｓｍ服務(wù)器向ｓｌａｖｅ行服務(wù)器誤認(rèn)為是真ｆ授權(quán)服務(wù)器發(fā)送的響應(yīng)服務(wù)器進(jìn)打配置目步時(shí)．使用非琺ｓｈｖｃ服務(wù)而接收下來(lái)，井緩存在運(yùn)營(yíng)商域宅系統(tǒng)中．柑器，妖取拿郵域名配置信包。這些信包可能存莢域名數(shù)據(jù)就被篡改ｎ用戶(hù)通過(guò)緩存中毒域名在敏感設(shè)備地址或相關(guān)信息，為黑客進(jìn)一步攻系統(tǒng)解析到∞域袁結(jié)果都屜鍵聰鰒過(guò)的．?。?yè)籼峁┝艘罁?jù)?？蓪⒂脩?hù)流量導(dǎo)向非法網(wǎng)站一影響網(wǎng)絡(luò)安全。（３）ＤＯＳ／ＤＤｏｓ攻擊唧放大式攻擊黑客使用發(fā)包工其莊報(bào)短時(shí)間內(nèi)Ｐ生大毓黑客通過(guò)跳板或杠扦向目標(biāo)主機(jī)發(fā)送兒流解析請(qǐng)求包，同剛發(fā)送給域名系統(tǒng)。域名系統(tǒng)量數(shù)摧包，堵塞目標(biāo)主機(jī)州絡(luò)或電路。蠼營(yíng)商將消耗＾罱資源處理這些攻擊請(qǐng)求將有限的域名系統(tǒng)目能臺(tái)被黑霹用作攻擊跳板，通過(guò)運(yùn)系統(tǒng)資源消耗始盡．造成域名茉統(tǒng)址坪能力下?tīng)I(yíng)商域名系統(tǒng)枷被攻士目標(biāo)主機(jī)發(fā)送大流量數(shù)降或癱瘓。ＤＯＳ／ＤＤｏＳ攻擊的目標(biāo)就是使域名據(jù)乜，系統(tǒng)遲緩或癱瘓。用Ｐ發(fā)送給域名系統(tǒng)請(qǐng)求的數(shù)據(jù)包和搋量ＤＯＳ／ＤＤｎｓ攻擊是ＦＩ目口域名系統(tǒng)面臨醴”ｊ以非常?。蜃阌蚱飨到y(tǒng)近目給用戶(hù)結(jié)果ｆｌ寸

臼

ＤＮＳ

ｃ≤Ｕ翮ａｃｒ＿ｅ？。臼“…“…３；璺』。，√黼囂口；尹聲，島

ｊ１＿『ｉ

◇∥；；夕沁一嚶萬(wàn)方數(shù)據(jù)ｑ文／／“５三

電估技求

∞ｐ∞曰

烈

ｊ獨(dú)

側(cè)可選到６０倍．即黑客向域名系統(tǒng)發(fā)送大量偽造瓊ＩＰ地址的數(shù)據(jù)包實(shí)現(xiàn)《菏商域名系統(tǒng)向攻☆目標(biāo)豐機(jī)發(fā)送放大８一們的倍數(shù)據(jù)流量。

２３

ＤｏＳ，ＤＤＯＳ攻擊防護(hù)

陜?nèi)彰橥ㄓ蛎到y(tǒng)口采州最大解析

（鯽足夠冗余存量

陜曲聯(lián)通域名采統(tǒng)消除ｒ魯個(gè)環(huán)節(jié)的性能瓶頸，整個(gè)域名系統(tǒng)性能與域名服務(wù)器數(shù)量、性能成正比，具備平滑過(guò)硅到Ｈ萬(wàn)請(qǐng)求量系統(tǒng)的條件共有充足解析容量，在山理各種負(fù)載故障時(shí)．能夠從容ｍ對(duì)．

閾值盡宿減少Ｄ０ｓ母Ｄ潮擊的￥舶．

（１）有效的監(jiān)控和同管茉統(tǒng)

管理員可實(shí)時(shí)ｒ解、查看域名系統(tǒng)當(dāng)前、∞史狀眥，準(zhǔn)確掌握域名樂(lè)統(tǒng)蟛行狀態(tài)及存舟的隱患。

目陜西聯(lián)通口蛙譬睦蛹鼬愀

２１操作系統(tǒng)漏洞防御

酞日旺姐Ｉ）Ｎｓ｝二簧是道址搬怍系統(tǒng)ｉ拿加…柬＿、現(xiàn)劃芙安食ｑ題ｆ々蝻ｐ±ｇ包特ＸⅧ忙＾…Ｆｎ：【補(bǔ)Ｔ“％等ｒ脞．

器生

（∞采用分椎式集蛘架掬

嚷西聯(lián)通域名系統(tǒng)采川基于

“）清除各類(lèi)性能瓶頸

陜西聯(lián)通域名系統(tǒng)經(jīng)過(guò)了所有環(huán)節(jié)優(yōu)化梢除ｒⅡ能精在十電齬、４層＆防止墻設(shè)備卅＊∞性能瓶頸隱患．在囂類(lèi)攻擊發(fā)生后整個(gè)系統(tǒng)ｕｆ以高燭ｉ?。?、，

＾…川技術(shù)的分肅式集群集構(gòu)

Ｅ

分布到牟肯５個(gè)地ｒＨ弛６十＊點(diǎn)．＊４構(gòu)ｑ有效抵抗ＤＯＳ／ＤＤｏ￥攻。ｂ，域＃

２

２非法域傳送

調(diào)整ＢＩＮＤ配置文件、限制

系統(tǒng)可迅速實(shí)現(xiàn)節(jié)點(diǎn)間流量的保護(hù)目換，目使出現(xiàn)Ｐｔ故障．域袁系統(tǒng)也可以將故障囪敢隔離在單個(gè)竹電內(nèi)腓不會(huì)精＿｛?。绞∮脩?hù)帶來(lái)影響。

（５墚Ｊ１１分布式戟佴安全待護(hù)黼

陜口聯(lián)通粟用分布式蛾名安全防護(hù)

訪問(wèn)瑞ｕ實(shí)現(xiàn)非法域傳送攻擊的防護(hù)。

幕統(tǒng)，幣會(huì)臻ｃＩ－在個(gè)節(jié)點(diǎn)業(yè)榮蝴

Ｉ．進(jìn)打ｊ或名安全防護(hù)，而是分敞到多個(gè)

萬(wàn)方數(shù)據(jù)

目墨甚衛(wèi)臣Ｅ阻寶羞塞全墮垃助掃重萱監(jiān)型～————

節(jié)點(diǎn)、多條電路多個(gè)服務(wù)器上寅時(shí)安能。壘省所有服務(wù)器均可以提供針對(duì)壘防護(hù)，實(shí)現(xiàn)ｒ分散式處理機(jī)制．給整一個(gè)或多個(gè)１ｐ地址域名解析服務(wù)。柯個(gè)系統(tǒng)帶來(lái)強(qiáng)大抗攻擊能力的捌時(shí)，系效屏蔽，隔離．減弱省內(nèi)域名系統(tǒng)的統(tǒng)資源占用也達(dá)到ｒ最低。ＤＯＳ／ＤＤｏ￥攻擊；繼續(xù)采用３層設(shè)備

發(fā)揮包交換能力強(qiáng)不會(huì)出現(xiàn)性能瓶

２．４緩存中毒，劫持預(yù)的優(yōu)勢(shì)；能夠平滑擴(kuò)容至百２３ＱＰＳ有效?。欤炀彺嬷卸竟ア蟆薤煼ㄊ羌?jí)的域名系統(tǒng)。

ＤＮＳＳ眠目坍ｒ有域名女＆進(jìn)打數(shù)字箍名，

ｆＭＤＮＳＳｅｃ規(guī)范Ⅱ４披熟。陵西嘲頂防３，３增加緩存中毒攻擊防護(hù)系統(tǒng)埋存中毒，蜥｝的方式±霉有呲ｆ幾種。分布式緩存攻擊防護(hù)系統(tǒng)．可以‘１Ｊ采用Ｈ新版奉ＢＩＮＤ轉(zhuǎn)侖肯的緩存巾毒攻擊分解到不同地晶新版本ＢｌＮＤｆＢｌＮＤ９＾２以市。不同服務(wù)器上殼成桐關(guān)的判斷和上）茉蛹。ｆ以有效減少域若系統(tǒng)受班攔敝．詿系統(tǒng)荊斷是針對(duì)緩存，Ｉｒ毒攻擊的影響。擊特＾完成的，可以有做阻止緩存巾塒采用再點(diǎn)域名保護(hù)蕞繾毒及相關(guān)的衍生攻擊行為。重點(diǎn)域名讎護(hù)系統(tǒng)?！灰浴埃晔乇?/p>

域名進(jìn)行自動(dòng)榆側(cè)ｗ拉障排除，比＾３．４全新域名害蟲(chóng)和窖錯(cuò)系統(tǒng)工方式盟ｍ有效．日速度鯉快。域名窖鉛系統(tǒng)可以住域名系虢中

實(shí)時(shí)采集域名解析的正確結(jié)果．自動(dòng)

２５艟大式玻擊更新最新域名數(shù)據(jù)到窖錯(cuò)數(shù)據(jù)庫(kù)．相陵兩聯(lián)埔采州以下方，℃臧小放大據(jù)需哥設(shè)定爭(zhēng)部或個(gè)別域名ＴＴＬ．并式攻擊蛤域名每統(tǒng)帶來(lái)的影響?？啥ㄆ谡?qǐng)理和備份窖錯(cuò)數(shù)據(jù)。該系統(tǒng)（１）凋攘ＥＤＮＳＯ協(xié)波可處理日常域名解析故障．大規(guī)模斷諺工作方武。Ｊ以把放大式攻擊可網(wǎng)，封鎖以及大型眭冊(cè)代理商系統(tǒng)崩能給域名基統(tǒng)帶來(lái)的影響堿至最小，湍等各種影響域名系統(tǒng)安全和穩(wěn)定的“目１所Ⅲ。書(shū)件．

∽采用蟲(chóng)食防護(hù)系統(tǒng)域書(shū)解析異常自動(dòng)榆刪功能．可陵西聯(lián)西地名安全防護(hù)系統(tǒng)可有發(fā)現(xiàn)目為域名所有音問(wèn)題引發(fā)的域名效譴小放大式攻女影響虹邕２所Ⅲ。系統(tǒng)故障。桿發(fā)生大規(guī)模事件時(shí)。Ｊ

自動(dòng)或手動(dòng)將容錨系統(tǒng)數(shù)據(jù)回注到緩

目計(jì)刪采用刨新型的安全防存最統(tǒng)，避免解析景統(tǒng)崩冊(cè)。域名容護(hù)系統(tǒng)錯(cuò)系統(tǒng)主要ｍ客錯(cuò)數(shù)據(jù)處理巾Ｃ、、容口ｆｔ陸：ｒｑ“】ｍ＃名ｇ，Ｆ口龜＋十ｉ镕域ｇ解析Ｐ。ｍｌ系統(tǒng)、窖錯(cuò)域名監(jiān)終＃％”向Ｈ“目絲齜】】＿｛矗｝≯捧系統(tǒng)和現(xiàn)有的域名解析緩存系統(tǒng)組目≮＃會(huì)掛Ⅲ“Ｔ?xún)?yōu)＊Ⅲ№成奔錯(cuò)藪據(jù)處理中心則可分為數(shù)據(jù)

％集系統(tǒng)和數(shù)據(jù)庫(kù)系統(tǒng)兩類(lèi)。

３１堅(jiān)持Ａｎｖ∞８ｔ技術(shù)船構(gòu)，實(shí)現(xiàn)容鍺數(shù)據(jù)黼拄系統(tǒng)運(yùn)行在現(xiàn)有域各地市分布式部署名解析緩存系統(tǒng)｝．件將數(shù)據(jù)傳送精仝靠ｊ｝ｔ式涮ｍｌＭ州ｊ，¨輯錨數(shù)據(jù)處理中心．輯鋯教據(jù)處理中

心將其整臺(tái)處理詹提空給輯錯(cuò)域輯解

３２堅(jiān)持采用分布式安全防護(hù)系析Ｐｏｍ瞟繞使用．域名解析緩存系統(tǒng)統(tǒng)和架構(gòu)則會(huì)使用容錨系統(tǒng)中的數(shù)據(jù)米優(yōu)化現(xiàn)Ｈ有開(kāi)地的負(fù)戟分一ｒ１和ＦＪ－ｌｏｖｃ川』有的用戶(hù)解析疏僵。

４８萬(wàn)方數(shù)據(jù)Ｔ日ｆｏｄ㈣ｕＮ烈ＴＤＮＳＴＥＣＨＮａｏＧⅥ２０１１－５（１）釋錯(cuò)域名散據(jù)處理巾心容錯(cuò)域名數(shù)據(jù)處理中心對(duì)所有綴存服務(wù)器用戶(hù)解析數(shù)據(jù)進(jìn)行分析和處理．整古處理采集到的域名怙包，并棉相應(yīng)解析結(jié)果記＾數(shù)據(jù)庫(kù)．諼系統(tǒng)還可以將數(shù)據(jù)庠中的結(jié)＊提供給配置容錯(cuò)域名解析ＰｏｍＩ系統(tǒng)使用。ｍｆ窯錯(cuò)數(shù)據(jù)處理中心Ｔ作較復(fù)雜，需要處理大量數(shù)據(jù)，田而可將鹺處理中心分成數(shù)據(jù)采燕、數(shù)據(jù)庫(kù)兩十于系統(tǒng)、部署在緩存系統(tǒng)上的容錨數(shù)據(jù)監(jiān)控系統(tǒng)將用戶(hù)解析數(shù)據(jù)傳給窖鍺數(shù)據(jù)處理中心的數(shù)據(jù)采集子系統(tǒng)．窖鍺數(shù)據(jù)采徭干系統(tǒng)將該數(shù)據(jù)整臺(tái)并得到相關(guān)解析結(jié)果．處理后的數(shù)據(jù)記入窖錨數(shù)據(jù)庫(kù)子系統(tǒng)，井提交給容錯(cuò)域名解析Ｐｏｒｔａｌ系統(tǒng)使用。㈣容罐域名孵析Ｐｍｌ系統(tǒng)為蠻現(xiàn)客錨域名數(shù)據(jù)和緩存服務(wù)理中心櫞存系統(tǒng)閥建立客錨埔名解耩問(wèn)的數(shù)據(jù)交換，需要在容錯(cuò)數(shù)據(jù)處析Ｐｏｍｌ系統(tǒng)．容錯(cuò)域名解析Ｐｏｍ僳纜從容錯(cuò)數(shù)據(jù)處理ｑｔ心得到相關(guān)數(shù)據(jù)．并提供給域名解析緩存系統(tǒng)使用。圓霹鐠教撼啦控樂(lè)境容錯(cuò)數(shù)據(jù)監(jiān)控系統(tǒng)是安裝在現(xiàn)有】戎名解析緩存服務(wù)器中的軟件模塊，＊模蟪將用戶(hù)流量信自發(fā)送給容錨數(shù)摧處理中心∞數(shù)據(jù)采集于系統(tǒng)井完成處理．控制緩存服務(wù)器從喜錨域名解析Ｐ。Ⅲ】系統(tǒng)中得到可以?xún)?yōu)化當(dāng)前用戶(hù)流量的數(shù)據(jù)。容錯(cuò)數(shù)據(jù)監(jiān)控系統(tǒng)收攥用戶(hù)數(shù)據(jù)信息．傳送給容錯(cuò)數(shù)據(jù)處理中心的數(shù)據(jù)采集子系統(tǒng)，控制本地緩存服務(wù)器從容錯(cuò)域名解析ｐｏｒｔａｌ系統(tǒng)上獲取數(shù)據(jù)，并對(duì)本地用戶(hù)流帚進(jìn)行ⅫＷ￥±自?！铮裕Γ迍h，＊＆Ｅ…Ｉ！點(diǎn)生蘭罌ｉ匿………。

域名體系安全與防護(hù)策略研討作者：

作者單位：

刊名：

英文刊名：

年，卷(期)：劉保安， 鮑莉婭， 徐濤， 卜雨中國(guó)聯(lián)合網(wǎng)絡(luò)通信有限公司陜西省分公司電信技術(shù)TELECOMMUNICATIONS TECHNOLOGY2011(5)

本文鏈接：http://d.g.wanfangdata.com.cn/Periodical_dxjs201105011.aspx