携手合作，构筑域名体系安全长城-中国电信李蔚先生.ppt

携手合作,构筑域名体系安全长城中国电信网络运行维护事业部2010年8月李蔚互联网域名解析面临的风险DNS安全防护体系和安全防护策略携手合作,构筑域名体系安全长城*应用。域名欺骗。应用层拒绝服务攻击。开源免费代码Bind的安全漏洞。服务器的安全漏洞会话传输网络DNS系统互联网域名解析面临的风险对DNS整体系统缺乏有效的实时监控管理、预警及应急处理等措施。网络安全产品部署不合理。(DNS)服务在互联网服务中占据着非常重要的地位,近几年来针对DNS的攻击事件不断发生,重大的攻击事件导致DNS系统不能正常运营,影响面极大,而目前DNS系统在应用、会话传输、网络、监控等各个层面均存在不同的安全问题。*互联网域名解析面临的风险:分布式拒绝服务攻击2009年的“”最终牵连到DNS系统,造成六个省份的互联网瘫痪DNSDDoS攻击示例图大量的肉机向被攻击的DNS服务系统持续发出查询一些不存在域名的DNS查询包进行域名查询,造成被攻击系统不断进行递归查询,或转发到相邻的服务系统中去,消耗其及其相邻系统的应用资源,最终造成系统瘫痪,不能对外提供域名解析服务。DDoS分布式拒绝服务攻击是互联网DNS系统面临的头号安全问题*互联网域名解析面临的风险:开源软件系统安全漏洞从扫描工具漏洞模板中,目前BIND存在的历史漏洞有38个之多,近年影响比较大的漏洞包括ISCBIND9远程动态更新消息拒绝服务漏洞、dnsmasqDNS缓存中毒和拒绝服务漏洞等由于DNS服务器通常采用UNIX/LINUX操作系统以及BIND软件,这样操作系统和软件不可避免出现漏洞,为黑客的直接DNS攻击提供了可乘之机例如利用操作系统存在的缓冲区溢出方式,黑客可能轻易获得主机的root权限,从而得到修改DNS服务器缓存内容的机会,并以之为跳板进行下一个节点的入侵攻击,或者直接利用缓存投毒进行下一步钓鱼和***行为2009年7月公布的高危漏洞ISCBIND9远程动态更新消息拒绝服务漏洞示例目前大部分互联网DNS软件系统均采用免费的开源软件系统BIND,而开源代码易遭受安全攻击,这也是DNS系统面临的重要安全问题之一*互联网域名解析面临的风险:DNS欺骗攻击DNS缓存投毒过程上图显示了黑客的恶意网站地址()是如何替代合法网站()域名的过程DNS欺骗攻击方式---DNS缓存投毒也是DNS系统面临的安全问题之一DNS缓存中毒攻击(cachepoison)指的是将错误的域名指向信息注入DNS服务器,最终导致受到污染的DNS服务器将对外提供错误的解析结果;2008年7月9日以来,微软、ISC等互联网域名解析服务软件厂商纷纷发布了安全公告,称其 DNS软件存在高危漏洞,攻击者可以通过猜测DNS解析过程中的报文序列号来伪造DNS权威服务器的应答,从而达到“污染”高速缓存(Cache)中记录的目的*互联网域名解析面临的风险:安全预警和应急处理对安全事件的存在后知后觉的问题针对DNS的安全事件未能及时发现、分析,采取有效的方法处理安全攻击问题,、预警、应急技术管理手段,对DNS攻击行为及安全事件存在后知后觉的情况,未能及时把安全威胁苗头有效的控制或者扑灭,这也是DNS系统急需解决的问题*DNS安全防护体系和安全防护策略:防护体系DNS系统安全防护体系安全产品及安全防护监控维护系统整体部署架构DNS预警及应急处理DNS商用软件系统DNSSEC协议从DNS系统部署架构、应用、会话传输、监控管理及安全产品使用层面部署安全防护*DNS安全防护体系和安全防护策略:授权服务和缓存服务分离承载域名数据的授权域名服务器和负责域名解析的缓存域名服务器分开设置,分别形成DNS系统的解析服务平台和授权服务平台;两种域名服务器完成的功能不同,影响性能的因素和安全防范的措施也不同,两种域名服务器分开部署有利于实现高安全性和高性能,同时有利于维护管理过程中的问题定位。DNS授权与Cache的分离使DNS系统架构更为清晰,功能角色准确定位,易于管理维护承载域名数据的递归服务器和负责域名解析的缓存域名服务器分开设置,分别形成DNS系统的解析转发平台和解析缓存服务平台;两种域名服务器完成的功能不同,影响性能的因素和安全防范的措施也不同,两种域名服务器分开部署有利于实现高安全性和高性能,同时有利于维护管理过程中的问题定位。DNS递归与Cache的分离使DNS系统架构减轻Cache的负荷