南宫28DNS拒绝服务进犯与对策日期:2021-07-30 06:09:35 浏览次数:28 分类:下一代DNS 来源:ng28南宫娱乐官网 作者:ng28南宫娱乐注册 |
||
一种办法是运用更高效的DNS服务器软件。咱们测验对比了BIND和Unbound两个最常用的递归服务器软件,选用10000个域名,正常情况下两者的解析成功率都在98.7%左右。当施加了相同的随机前缀进犯流量后,BIND对正常域名的解析成功率下降到51.3%,而Unbound所受影响细微,解析成功率仍维持在97.8%。Unbound的杰出体现得益于其处理服务器过载的竞赛战略,以及服务器超时勘探机制。
之前应对反射进犯时已说到递归服务器应只对服务范围内的IP地址供给递归,但在实践运转中,咱们发现有不少校园网内的IP地址正在主张随机前缀进犯。查询后咱们排除了这些机器被进犯者操控的可能性,它们一部分是敞开了DNS服务的服务器,并装备为转发器,将恳求转发给校园网的DNS服务器,另一部分运用了特定类型的家用路由器,因规划缺点其DNS转发功用对外网敞开,难以晋级修正。因为一个IP地址转发的进犯流量就可能形成递归服务器过载,而校园网内服务器设备数量巨大难以操控,咱们主张在校园网鸿沟丢掉除授权服务器以外的进校UDP 53端口报文。
面临各种形式进犯对DNS服务构成的要挟,保证校园网DNS服务的安全可靠运转需要从根底架构开端进行全面的考虑。
首要,从服务器人物上,应做授权、缓存、递归别离的规划。因为三者功用、服务方针和流量特性的不同,将三者布置在独立的服务器上能够有针对性地采纳安全防护和服务保证办法。以往对授权和递归功用的别离评论较多,而将缓存和递归别离则是学习了Web缓存的架构,能够进步服务承载才能,更灵敏地处理反常和扩展功能。不管缓存(递归)仍是授权服务器,都应有满足的冗余,防止单点故障的产生,关于有多个校区的高校,可考虑经过Anycast进行多点布置。
关于授权服务器,除了装备RRL防止被反射进犯运用外,还应留意区传送的装备。多个陈述显现互联网上有很多域名的授权服务器对恣意IP敞开区传送,从
而形成内部重要服务器地址露出,为进犯者寻觅浸透方针供给便当。对此应选用ACL和TSIG保证区传送安全,一起运用水平切割(Split-Horizon)的办法防止内部IP地址走漏到公网。因为授权服务器中的主服务器具有特别的重要性,可将主服务器躲藏起来不直接对外服务(Hidden Master),仅为从服务器供给区传送,防止其遭受直接进犯。校园网DNS缓存与授权服务布置结构总结如图5所示。
DNS布置时服务器软件也应有必定的异构性,挑选两种或以上的服务器软件,以防止某个软件呈现缝隙影响到一切的服务器。例如,BIND作为最常用的DNS服务器软件,每年都会被陈述多个高危缝隙,且以长途拒绝服务为主,远多于其他常用DNS服务器软件。对此可考虑递归和缓存运用Unbound和BIND混合布置,而授权服务器运用NSD和BIND混合布置,并留意软件版别更新。
监控是保证DNS服务安稳运转、及时发现反常所必需的。对DNS服务的监控,可搜集服务器软件本身供给的计算信息,服务器也能够装备成记载一切的DNS恳求,但过多的日志会下降服务器的功能。较好的办法是对DNS服务器的流量进行镜像剖析,运用dsc定制搜集各种计算信息,并具有必定的图形展现才能,dnstop则可显现最近一段时间内查询最多的域名和IP地址。运用镜像流量还可自行开发各种剖析东西,且不会影响到DNS服务器本身的作业。此外,校园域名和授权服务器装备,可运用DNSCheck东西进行检查。
本文对困扰高校网络DNS服务运转的两类拒绝服务进犯进行了剖析,并供给了相应的应对办法,一起也探讨了安全可靠布置和运转校园网DNS服务的一些思路和主张。DNS作为很多互联网使用的根底支撑,其本身的安全性,以及在其之上呈现的各种歹意使用,在未来很长一段时间都将是安全界重视的热门。
南宫28