Infoblox：DNS服务器内置安全机制优于外围防御

DNS攻击愈演愈烈，近日爆出谷歌公共DNS解析服务8.8.8.8被黑长达几十分钟。在今年1月份，国内所有通用顶级域的根服务器也出现异常，导致国内大部分用户无法正确解析域名。而根据Arbor Networks的报告显示，DNS成为仅次于HTTP的2号攻击载体协议，在2012年DNS特定攻击上升了200%。

由于种种原因，DNS所遭受的攻击不断上升。如果DNS服务受损，它将对很多企业尤其是开展在线业务的企业带来巨大损失。而DNS的脆弱性正在被越来越多的黑客利用。

也许很多人认为针对DNS的攻击方式和防护并不复杂，但当Infoblox大中华区售前经理邱迪列出DNS的威胁目录时，你就不会这么认为了。DNS潜在威胁的数量确实已经达到令人震惊的程度。

例如，DNS反射/DrDoS攻击，它利用第三方DNS服务器(开放的解析器)传播DOS或DDOS攻击，大量此类“反射”流量会导致网站宕机。DNS放大，利用特定查询扩大响应，造成流量拥塞。TCP/UDP/ICMP洪水攻击，通过大量流量拥塞网络或服务，造成第3层拒绝服务。协议异常，通过发送异常数据包和查询，致使服务器瘫痪。

此外，还包括利用DNS软件漏洞的攻击、DNS缓存中毒、侦查探测器、DNS隧道挖掘等攻击方式。

“没有哪一个单独的方案可以防御如此多种DNS服务器攻击。”邱迪如是说，而现在Infoblox推出Advanced DNS Protection(高级DNS防护)，它结合了一系列特定的技术响应。将防御功能直接加入到强化的DNS服务器中，可实现比当今独立的外部安全解决方案更强劲保护。

Infoblox Advanced DNS Protection：可自我保护的DNS设备

Infoblox Advanced DNS Protection(ADP)是集成防御分布式拒绝服务(DDoS)攻击、缓存毒害、异常查询、隧道技术以及其他DNS安全威胁的域名系统(DNS)设备。

邱迪表示，“三大特点使它成为了DNS全面专业的防护设备，独特的检测和缓解方式、集中的透明度和持续性防护不断进化的威胁。”

Infoblox Advanced DNS Protection核心功能

独特的检测和缓解方式：Advanced DNS Protection会持续监控、检测和缓解DNS攻击，包括DDoS、DNS漏洞、协议异常等，同时确保DNS服务保持弹性，即使是在遭受攻击的情况下。它允许根据企业的独特通信流量模式来微调防护参数，并利用增强的处理功能，提供专用运算能力以缓解威胁。

集中的透明度：ADP具有很完善的报表功能，详细报告提供了网络上发生的所有攻击的集中视图，可让企业了解攻击的类型和范围，同时提供采取措施所需的情报信息。这些报告还有助于在早期检测到攻击并进行缓解。

持续保护：ADP会根据详细的威胁分析和研究收到定期自动更新。这让企业可以持续地实时防御新型和不断发展的DNS威胁，帮助减缓这些攻击，而不必等待补丁更新。

Infoblox Advanced DNS Protection硬件平台

据介绍，Infoblox高级DNS防护解决方案提供三款高级硬件平台，PT-1400、PT-2200和PT-4000。“它本身是一台DNS服务器，是一台增加了安全模块，装了盔甲和外围防护的DNS服务设备。Advanced DNS Protection是一个引擎，这个引擎配合硬件平台就可以为DNS提供独特防护。”邱迪说。企业可以将其配置成外部授权服务器或DNS递归服务器，以防御外部或内部攻击。

DNS防护差异

其实，市面上存在很多能够提供DNS保护的安全解决方案，例如负载均衡器、纯DDoS产品、NGFW、IPS和一些云交付方案等，“但事实是，这些产品的防护功能是有限的，无法防御专业的DNS攻击。其中大部分都属于外部解决方案，都是事后‘临时搭建’，而非为了防御DNS攻击而建。”邱迪说。

DNS产品防护差异化对比

例如，负载均衡器等技术无法跟上快速增加的DDoS攻击的大小，而且无法用来监控非法的或格式错误的DNS流量。下一代防火墙和IPS设备提供了对普通漏洞和基础第三层DDoS的部分防护。但是，它们无法检测或减缓DNS特定的协议异常或DNS攻击。

邱迪继续说到，DDoS通用防护解决方案虽然覆盖广泛的DDoS攻击，但是对DNS攻击的了解不深。另外它自身并没有DNS服务，而是一般放在DNS服务器前做流量清洗。基于云的解决方案注重容量耗尽攻击，不会防御格式错误的DNS和其他类型的攻击，它们还会引起隐私问题，容易被绕过，导致延迟等。并且对于像金融企业的内网来说，内外网隔离，云服务显然不适用。