找回密码
 立即注册

QQ登录

只需一步,快速开始

查看: 1235|回复: 0

[软文] 解读保护DNS服务器的几种方法

[复制链接]
 楼主| 发表于 2011-9-5 10:20:56 | 显示全部楼层 |阅读模式 来自 中国–江西–南昌

DNS解析是Internet绝大多数应用的实际定址方式;它的出现完美的解决了企业服务与企业形象结合的问题,企业的DNS名称是Internet上的身份标识,是不可重覆的唯一标识资源,Internet的全球化使得DNS名称成为标识企业的最重要资源。
  然而重要的资源就可能引起有心人士的关心,随着Internet上DNS攻击事件的发生,DNS的安全问题也成为大家关心的焦点,常见的方式为:
  1、针对DNS系统的恶意攻击:发动DNS DDOS攻击造成DNS名称解析瘫痪。
  2、DNS名称劫持:修改注册讯息、劫持解析的结果。
  当DNS服务器遭遇DNS Spoofing恶意攻击时,不管是正常DNS查询封包或非正常的封包都经由UDP Port53进到内部的DNS服务器,DNS 服务器除了要处理正常封包外,还要处理这些垃圾封包,当每秒的封包数大到一定的量时,DNS服务器肯定无法处理了,此时正常的封包请求,也一定无法得到正 常的回应,当查询网站的IP无法被回应时,用户当然连接不到网站看不见网页,如果是查询邮件服务器时,那邮件也无法被寄出,重要的资料也无法被顺利的传递了,因此,维护DNS服务的正常运作就是一件非常重要的工作。
  针对以上的问题AX有一个解决方式,就是DNS应用服务防火墙,AX在这问题有三个有力的方法,可以有效的缓解这些攻击所造成的影响:
  1、首先将非DNS协定的封**滤(Malformed Query Filter)
  2、再来将经由DNS服务器查询到的讯息做缓存(DNS Cache)
  3、如果真的遇到大量的正常查询、AX可以启动每秒的连线控制(Connection Rate Limit)
  Malformed Query Filter:
  这种非正常的封包通常都是用来将对外网络的频宽给撑爆,当然也会造成DNS服务器的忙碌,所以AX在第一线就将这类的封**滤,正确的封包传递到后方的服务器,不正常的封包自动过滤掉避免服务器的负担。
  DNS Cache:
   当DNS查询的回应回到AX时,AX可以预先设定好哪些Domain要Cache哪些不需要Cache,如果有Cache,当下一个同样的查询来到AX 时,AX就能从Cache中直接回应,不需要再去DNS服务器查询,一方面减轻了DNS服务器的负担,另一方面也加快了回应的速度。
  再者,当企业选用此功能时更能仅设定公司的Domain做Cache,而非关此Domain的查询一律不Cache或者拒绝回应,这样更能有效的保护企业的DNS服务器。
  而ISP之类需提供大量查询的服务,更适合使用此功能,为DNS服务提供更好更快的回应。
  Connection RateLimit:
  当查询的流量大到一定的程度时,例如同一个Domain每秒超过1000个请求,此时在AX上可以启动每秒的连线控制,控制进入到后端DNS服务器的查询量,超过的部分直接丢弃,更严格的保护DSN服务器的资源。
  相信许多人期待在日新月异的网际网络中看到创新的网络技术,并能提供更好的网络应用服务。而确保DNS服务的不间断持续运作并让DNS服务所提供的资讯是正确的,这也是一切网络应用服务的基础。

转载自:http://bbs.zoomla.cn/showtopic-23860.aspx
QQ492579189

发帖求助前要善用【论坛搜索】功能,那里可能会有你要找的答案;

如何回报帮助你解决问题的坛友,好办法就是点击帖子下方的评分按钮给对方加【金币】不会扣除自己的积分,做一个热心并受欢迎的人!

您需要登录后才可以回帖 登录 | 立即注册

本版积分规则 需要先绑定手机号

关闭

站长推荐上一条 /1 下一条

QQ|侵权投诉|广告报价|手机版|小黑屋|西部数码代理|飘仙建站论坛 ( 豫ICP备2022021143号-1 )

GMT+8, 2024-11-24 11:19 , Processed in 0.042592 second(s), 8 queries , Redis On.

Powered by Discuz! X3.5

© 2001-2024 Discuz! Team.

快速回复 返回顶部 返回列表