安全实战录：DNS服务器拒绝服务攻击分析

1、.;安全实战录：DNS服务器拒绝服务攻击分析 事件简介2009年5月19日21时50分开始，江苏、安徽、广西、海南、甘肃、浙江等6省用户申告访问网站速度变慢或无法访问。主要表现为域名解析(DNS)响应缓慢或者无法解析。直至5月22日事件才渐渐平息。事件原因和分析此次事件是一次联动事件，主要分为两个部分：1、DNSPod站点的DNS服务器被超过10Gbps流量的DDoS攻击击垮疑似因为是网络游戏私服之间的相互争夺生意，导致一家私服运营商发动了上千台僵尸主机对DNSPod发动了DDoS洪水攻击，导致DNS服务器过载以及线路堵塞。2、暴风影音的大量频繁的向电信DNS主服务器发起解析。导致各地区电信主

2、DNS服务器超负荷。暴风影音作为广泛使用的软件，有成千上万的用户安装使用。然而其DNS解析机制存在 缺陷。暴风公司仅仅在DNSPod站内部署了一个DNS解析站点，同时暴风影音软件在发生无法解析域名的时候会大量频繁的向运营商的DNS服务器发起查 询，运营商DNS再向位于DNSPod内的暴风公司DNS服务器查询，未果。这样导致了大量的查询，客观上构成了对电信DNS服务器的DDoS攻击。由于暴风影音使用用户非常多，其攻击能力高出僵尸网络几个数量级，导致多个省市电信DNS主服务器过载。FortiGate IPS对策DNS服务器作为互联网的一个核心部分容易遭受到攻击，要彻底解决这个问题，只有不 断的完善

3、Internet安全架构本身，比如检测和清除僵尸网络、保障每一台接入到Internet的PC的安全性、建立快速DoS溯源机制等。然而安全 的Internet架构不是一朝一夕能够建立起来的，因此对DNS的攻击防护就成为一项重要的安全措施。对于以上两部分的原因，FortiGate IPS分别有不同的对策。1、对于没有规律的大规模DDoS攻击，FortiGate IPS具有硬件级的防御能力。它采用专用加速芯片对DDoS攻击进行识别，可以判断出哪些是攻击包，那些是正常访问流量，从而将正常访问流量放过而阻挡住攻击数据包。这样DNS服务器不会因受到攻击而过载。FortiGate IPS有超过每秒10万pp

4、s的抗DDoS攻击能力。图一FortiGate 抗DDoS配置 2、对于有规律的大规模DDoS攻击，比如由暴风影音软件发起的对的大量DNS查询，FortiGate可以制定相应检测规则，暂时阻挡含有域名的查询，使得DNS服务器不会过载。图二FortiGate IPS特征 FortiGate IPS特点简介1、混合式、多类型的攻击防御Fortinet的全系列安全产品可以提供集成、完整的解决方案，它可以实现对混合 攻击、入侵企图、病毒、木马、蠕虫、间谍软件、灰色软件、广告软件和拒绝式攻击等种类广泛的攻击和恶意行为。Fortinet采用基于网络的ASIC加速 的硬件平台，以及一系列的高级的动态入侵检测引擎，可以以更低的总体拥有成本，实现针对多种攻击的更高级别的安全和业内领先的性能。这些安全引擎是由 Foitinet屡或殊荣的FortiOSTM，可以单独部署，也可以集成在一起提供全面的安全解决方案。图三Fortinet基于ASIC的网络和应用处理加速 2、全球的IPS研发团队FortiGuard的IPS服务是由Fortinet全球的安全专家团队来维护， 他们在识别一种新的攻击后两个小时内予以响应。Fortinet安全专家与很多像CERT和SANS这样的攻击检测组织合作来发现新的漏洞，编写特征值、 异常检测引擎和阻断方法，在漏洞成为