解讀保護DNS伺服器的幾種方法

DNS解析是Internet絕大多數應用的實際定址方式；它的出現完美的解決了企業服務與企業形象結合的問題，企業的DNS名稱是Internet上的身份標識，是不可重覆的唯一標識資源，Internet的全球化使得DNS名稱成為標識企業的最重要資源。
　　然而重要的資源就可能引起有心人士的關心，隨著Internet上DNS攻擊事件的發生，DNS的安全問題也成為大家關心的焦點，常見的方式為：
　　1、針對DNS系統的惡意攻擊：發動DNS DDOS攻擊造成DNS名稱解析癱瘓。
　　2、DNS名稱劫持：修改註冊訊息、劫持解析的結果。
　　當DNS伺服器遭遇DNS Spoofing惡意攻擊時，不管是正常DNS查詢封包或非正常的封包都經由UDP Port53進到內部的DNS伺服器，DNS 伺服器除了要處理正常封包外，還要處理這些垃圾封包，當每秒的封包數大到一定的量時，DNS伺服器肯定無法處理了，此時正常的封包請求，也一定無法得到正 常的迴應，當查詢網站的IP無法被迴應時，使用者當然連線不到網站看不見網頁，如果是查詢郵件伺服器時，那郵件也無法被寄出，重要的資料也無法被順利的傳遞了，因此，維護DNS服務的正常運作就是一件非常重要的工作。
　　針對以上的問題AX有一個解決方式，就是DNS應用服務防火牆，AX在這問題有三個有力的方法，可以有效的緩解這些攻擊所造成的影響：
　　1、首先將非DNS協定的封包過濾(Malformed Query Filter)
　　2、再來將經由DNS伺服器查詢到的訊息做快取(DNS Cache)
　　3、如果真的遇到大量的正常查詢、AX可以啟動每秒的連線控制(Connection Rate Limit)
　　Malformed Query Filter:
　　這種非正常的封包通常都是用來將對外網路的頻寬給撐爆，當然也會造成DNS伺服器的忙碌，所以AX在第一線就將這類的封包過濾，正確的封包傳遞到後方的伺服器，不正常的封包自動過濾掉避免伺服器的負擔。
　　DNS Cache:
　 　當DNS查詢的迴應回到AX時，AX可以預先設定好哪些Domain要Cache哪些不需要Cache,如果有Cache,當下一個同樣的查詢來到AX 時，AX就能從Cache中直接回應，不需要再去DNS伺服器查詢，一方面減輕了DNS伺服器的負擔，另一方面也加快了迴應的速度。
　　再者，當企業選用此功能時更能僅設定公司的Domain做Cache,而非關此Domain的查詢一律不Cache或者拒絕迴應，這樣更能有效的保護企業的DNS伺服器。
　　而ISP之類需提供大量查詢的服務，更適合使用此功能，為DNS服務提供更好更快的迴應。
　　Connection RateLimit:
　　當查詢的流量大到一定的程度時，例如同一個Domain每秒超過1000個請求，此時在AX上可以啟動每秒的連線控制，控制進入到後端DNS伺服器的查詢量，超過的部分直接丟棄，更嚴格的保護DSN伺服器的資源。
　　相信許多人期待在日新月異的網際網路中看到創新的網路技術，並能提供更好的網路應用服務。而確保DNS服務的不間斷持續運作並讓DNS服務所提供的資訊是正確的，這也是一切網路應用服務的基礎。

 

轉載自：http://bbs.zoomla.cn/showtopic-23860.aspx
QQ492579189