从断网事件剖析DNS服务器拒绝服务袭击
此次事件是一次联动事件,主要分为两个局部:
1、DNSPod站点的DNS服务器被超过10Gbps流量的DDoS袭击击垮疑似由于是网络游戏私服之间的彼此争夺生意,导致一家私服经营商动员了上千台僵尸主机对DNSPod动员了DDoS洪水袭击,导致DNS服务器过载以及线路拥塞。
2、暴风影音的大量频繁的向电信DNS主服务器发起解析。导致各地区电信主DNS服务器超负荷。
暴风影音作为宽泛运用的软件,有成千上万的会员安装运用。然而其DNS解析机制存在缺点。暴风企业仅仅在DNSPod站内部署了一个DNS解析站点,同时暴风影音软件在产生没法解析域名的时候会大量频繁的向经营商的DNS服务器发起查询,经营商DNS再向位于DNSPod内的暴风企业DNS服务器查询,未果。这样导致了大量的查询,客观上形成了对电信DNS服务器的DDoS袭击。
因为暴风影音运用会员非常多,其袭击能力高出僵尸网络几个数目级,导致多个省市电信DNS主服务器过载。
FortiGate IPS对策
DNS服务器作为互联网的一个中心局部容易遭挨到袭击,要彻底解决这个题目,只要一直的完美Internet平安架构自身,比方检测和革除僵尸网络、保障每一台接入到Internet的PC的平安性、创立迅速DoS溯源机制等。然而平安的Internet架构不是一朝一夕能够创立起来的,因而对DNS的袭击防护就成为一项重要的平安措施。
关于以上两局部的缘由,FortiGate IPS离别有不一样的对策。
1、关于没有纪律的大规模DDoS袭击,FortiGate IPS拥有硬件级的防御能力。它采纳专用加快芯片对DDoS袭击进行辨认,可以判断出哪些是袭击包,那些是正常访问流量,从而将正常访问流量放过而阻挠住袭击数据包。这样DNS服务器不会因挨到袭击而过载。
FortiGate IPS有超过每秒10万pps的抗DDoS袭击能力。
图一:FortiGate 抗DDoS配置
2、关于有纪律的大规模DDoS袭击,比方由暴风影音软件发起的对baofeng.com的大量DNS查询,FortiGate可以拟定响应检测法则,暂时阻挠含有baofeng.com域名的查询,使得DNS服务器不会过载。
图二:FortiGate IPS特征
FortiGate IPS特色简介
1、混合式、多类型的袭击防御
Fortinet的全系列平安产品可以供给集成、完备的解决方案,它可以实现对混合袭击、入侵妄图、病毒、木马、蠕虫、特务软件、灰色软件、广告软件和拒绝式袭击等品种宽泛的袭击和歹意行为。Fortinet采纳基于网络的ASIC加快的硬件平台,以及一系列的高级的动态入侵检测引擎,可以以更低的总体具有老本,实现针对多种袭击的更高级别的平安和业内当先的机能。这些平安引擎是由Foitinet屡或殊荣的FortiOSTM,可以独自部署,也可以集成在一起供给全面的平安解决方案。
2、环球的IPS研发团队
FortiGuard的IPS服务是由Fortinet环球的平安专家团队来保护,他们在辨认一种新的袭击后两个小时内予以相应。Fortinet平安专家与许多像CERT和SANS这样的袭击检测组织合作来发明新的破绽,编写特征值、异样检测引擎和阻断要领,在破绽成为要挟前晋级会员的FortiGate的IPS系统。FortiGuard的可扩展的散布式网络可以在几分钟内,推进地晋级所有的FortiGate的IPS系统。