|
中國IDC評述網(wǎng)08月08日報(bào)道:DNS全稱DomainNameSystem域名解析系統(tǒng),通俗地說�����,DNS就是幫助用戶在Internet上尋找名稱與IP對應(yīng)的解析服務(wù)���。為了更方便使用網(wǎng)絡(luò)資源�����,DNS服務(wù)提供一種將電腦或服務(wù)名稱對應(yīng)到關(guān)聯(lián)該名稱IP位址的方法�����。名稱一定比枯燥的IP地址更容易了解和記憶�。大多數(shù)使用者喜歡使用易記的名稱(例如www.enet.com.cn)來尋找網(wǎng)絡(luò)中像是郵件服務(wù)器或網(wǎng)頁服務(wù)器���,而不是使用如123.196.118.10的IP地址��。當(dāng)使用者在應(yīng)用程式中輸入易記的DNS名稱時(shí)�����,DNS服務(wù)會將此名稱解析成它的數(shù)值位址�。
DNS解析是Internet絕大多數(shù)應(yīng)用的實(shí)際定址方式;它的出現(xiàn)完美的解決了企業(yè)服務(wù)與企業(yè)形象結(jié)合的問題,企業(yè)的DNS名稱是Internet上的身份標(biāo)識����,是不可重覆的唯一標(biāo)識資源,Internet的全球化使得DNS名稱成為標(biāo)識企業(yè)的最重要資源�����。
然而重要的資源就可能引起有心人士的關(guān)心���,隨著Internet上DNS攻擊事件的發(fā)生�����,DNS的安全問題也成為大家關(guān)心的焦點(diǎn)����,常見的方式為:
1���、針對DNS系統(tǒng)的惡意攻擊:發(fā)動DNS DDOS攻擊造成DNS名稱解析癱瘓。
2�、DNS名稱劫持:修改注冊訊息、劫持解析的結(jié)果。
當(dāng)DNS服務(wù)器遭遇DNSSpoofing惡意攻擊時(shí)�����,不管是正常DNS查詢封包或非正常的封包都經(jīng)由UDPPort53進(jìn)到內(nèi)部的DNS服務(wù)器���,DNS服務(wù)器除了要處理正常封包外���,還要處理這些垃圾封包,當(dāng)每秒的封包數(shù)大到一定的量時(shí)��,DNS服務(wù)器肯定無法處理了�����,此時(shí)正常的封包請求�����,也一定無法得到正常的回應(yīng)����,當(dāng)查詢網(wǎng)站的IP無法被回應(yīng)時(shí),用戶當(dāng)然連接不到網(wǎng)站看不見網(wǎng)頁�,如果是查詢郵件服務(wù)器時(shí),那郵件也無法被寄出,重要的資料也無法被順利的傳遞了��,因此���,維護(hù)DNS服務(wù)的正常運(yùn)作就是一件非常重要的工作����。
針對以上的問題AX有一個解決方式����,就是DNS應(yīng)用服務(wù)防火墻,AX在這問題有三個有力的方法���,可以有效的緩解這些攻擊所造成的影響�����,
1�����、首先將非DNS協(xié)定的封包過濾(Malformed Query Filter)
2��、再來將經(jīng)由DNS服務(wù)器查詢到的訊息做緩存(DNS Cache)
3、如果真的遇到大量的正常查詢、AX可以啟動每秒的連線控制(Connection Rate Limit)
Malformed Query Filter:
這種非正常的封包通常都是用來將對外網(wǎng)絡(luò)的頻寬給撐爆�,當(dāng)然也會造成DNS服務(wù)器的忙碌,所以AX在第一線就將這類的封包過濾�����,正確的封包傳遞到后方的服務(wù)器�����,不正常的封包自動過濾掉避免服務(wù)器的負(fù)擔(dān)�����。
DNS Cache:
當(dāng)DNS查詢的回應(yīng)回到AX時(shí)�����,AX可以預(yù)先設(shè)定好哪些Domain要Cache哪些不需要Cache,如果有Cache,當(dāng)下一個同樣的查詢來到AX時(shí)�����,AX就能從Cache中直接回應(yīng)��,不需要再去DNS服務(wù)器查詢���,一方面減輕了DNS服務(wù)器的負(fù)擔(dān)���,另一方面也加快了回應(yīng)的速度��。
再者����,當(dāng)企業(yè)選用此功能時(shí)更能僅設(shè)定公司的Domain做Cache,而非關(guān)此Domain的查詢一律不Cache或者拒絕回應(yīng)����,這樣更能有效的保護(hù)企業(yè)的DNS服務(wù)器。
而ISP之類需提供大量查詢的服務(wù)�,更適合使用此功能,為DNS服務(wù)提供更好更快的回應(yīng)�。
Connection RateLimit:
當(dāng)查詢的流量大到一定的程度時(shí),例如同一個Domain每秒超過1000個請求�����,此時(shí)在AX上可以啟動每秒的連線控制���,控制進(jìn)入到后端DNS服務(wù)器的查詢量��,超過的部分直接丟棄��,更嚴(yán)格的保護(hù)DSN服務(wù)器的資源�����。
相信許多人期待在日新月異的網(wǎng)際網(wǎng)絡(luò)中看到創(chuàng)新的網(wǎng)絡(luò)技術(shù)�����,并能提供更好的網(wǎng)絡(luò)應(yīng)用服務(wù)���。而確保DNS服務(wù)的不間斷持續(xù)運(yùn)作并讓DNS服務(wù)所提供的資訊是正確的,這也是一切網(wǎng)絡(luò)應(yīng)用服務(wù)的基礎(chǔ)�。
本文提及DNS防火墻應(yīng)用服務(wù)功能,除了希望提醒讀者DNS服務(wù)的重要外����,亦希望讀者對DNS的安全性上有所認(rèn)知,進(jìn)而知道如何保護(hù)DNS服務(wù)器���,并在防止被惡意攻擊上提供一些有效的幫助�����。
本文出自:億恩科技【mszdt.com】
服務(wù)器租用/服務(wù)器托管中國五強(qiáng)!虛擬主機(jī)域名注冊頂級提供商����!15年品質(zhì)保障!--億恩科技[ENKJ.COM]
|
香港服務(wù)器租用
美國服務(wù)器租用
電信骨干機(jī)房
聯(lián)通骨干機(jī)房
0371-60135900
