2021-02-19 分類: 網(wǎng)站建設(shè)
隨著智慧校園信息化建設(shè)的高速發(fā)展,北京理工大學(xué)的權(quán)威域名服務(wù)范圍越來(lái)越廣,運(yùn)行復(fù)雜度越來(lái)越高。目前學(xué)校已開通4個(gè)權(quán)威域名,300余個(gè)主機(jī)域名,權(quán)威域名服務(wù)是學(xué)校教育信息化工作的重要基礎(chǔ)設(shè)施。
據(jù)互聯(lián)網(wǎng)相關(guān)權(quán)威機(jī)構(gòu)的安全報(bào)道,面向DNS的攻擊頻度僅次于網(wǎng)站攻擊。但域名安全往往被忽視,這也是近年來(lái)網(wǎng)絡(luò)安全領(lǐng)域最薄弱的環(huán)節(jié)之一。面對(duì)如此嚴(yán)峻的安全態(tài)勢(shì),北京理工大學(xué)的權(quán)威域名安全工作迫切需要加強(qiáng)升級(jí)。
域名安全服務(wù)平臺(tái)
考慮到域名系統(tǒng)的專業(yè)性強(qiáng),傳統(tǒng)的域名安全防護(hù)專業(yè)人才匱乏,學(xué)校的域名安全服務(wù)平臺(tái)部署了域名安全機(jī)器人,對(duì)多節(jié)點(diǎn)權(quán)威域名服務(wù)提供7×24小時(shí)、全年無(wú)休的實(shí)時(shí)防護(hù),提升了全校域名的安全穩(wěn)定性。
域名安全機(jī)器人
域名安全機(jī)器人是一個(gè)基于域名攻擊大數(shù)據(jù)的智能分析和處置引擎,包括攻擊流量識(shí)別、阻斷控制、智能學(xué)習(xí)等模塊。
攻擊特征庫(kù)
基于DNS攻擊類型的不同,攻擊特征有很大不同,目前已知的攻擊類型有四類,包括域名劫持、緩存投毒等,每一類的攻擊特征時(shí)常發(fā)生變化。
1.域名劫持
通過(guò)采用非法的攻擊手段控制域名管理密碼和管理郵箱,然后將該域名的DNS紀(jì)錄指向某個(gè)DNS服務(wù)器,再在該DNS服務(wù)器上添加域名紀(jì)錄。
2.緩存投毒
控制DNS遞歸服務(wù)器,把原本準(zhǔn)備訪問(wèn)某網(wǎng)站的用戶在不知不覺中帶到攻擊者指向的其他網(wǎng)站上。其實(shí)現(xiàn)方式有多種,比如,當(dāng)用戶權(quán)威域名服務(wù)器被同時(shí)作為遞歸服務(wù)器使用時(shí),利用權(quán)威域名服務(wù)器的漏洞實(shí)施緩存投毒攻擊,將錯(cuò)誤的域名紀(jì)錄存入緩存中,從而使所有使用該遞歸服務(wù)器的用戶得到錯(cuò)誤的解析結(jié)果。
3.DDOS攻擊
通常利用BIND軟件中的漏洞,導(dǎo)致DNS服務(wù)器崩潰或拒絕服務(wù);另一種攻擊的目標(biāo)不是DNS服務(wù)器,而是利用DNS服務(wù)器作為中間的“攻擊放大器”,去攻擊其它互聯(lián)網(wǎng)上的主機(jī),導(dǎo)致被攻擊主機(jī)拒絕服務(wù)。
4.DNS欺騙
攻擊者冒充域名服務(wù)器的一種欺騙行為。在DNS緩存還沒有過(guò)期之前,如果有客戶查詢?cè)贒NS緩存中已經(jīng)存在的記錄,DNS服務(wù)器將會(huì)直接返回緩存中的記錄。
攻擊識(shí)別
帶有攻擊特征的流量出現(xiàn)時(shí),安全機(jī)器人開始觀察、取證。在一定時(shí)間段內(nèi)攻擊流量成型并保持持續(xù)狀態(tài),安全機(jī)器人比對(duì)攻擊特征庫(kù),若特征庫(kù)中有此攻擊定義,則識(shí)別為攻擊。
阻斷控制
安全機(jī)器人與各類控制單元(如防火墻、流量控制設(shè)備等)建有接口。已識(shí)別的攻擊者將被送往控制單元進(jìn)行阻斷或采取其他限制措施。阻斷控制手段采取后,攻擊者將失去影響域名服務(wù)和服務(wù)平臺(tái)的能力。針對(duì)偽造重要服務(wù)器IP的攻擊,采取白名單和流量控制措施加以調(diào)控,以避免誤傷。
智能學(xué)習(xí)
安全機(jī)器人的能力很大程度上取決于攻擊特征庫(kù)的豐富程度。一開始,這個(gè)攻擊特征庫(kù)是預(yù)設(shè)的,隨著攻擊識(shí)別量越來(lái)越多,域名攻擊的數(shù)據(jù)集也越來(lái)越多,攻擊特征存在隨時(shí)變化和升級(jí)的預(yù)期,因此安全機(jī)器人也需要具備基于攻擊數(shù)據(jù)集的智能學(xué)習(xí)能力。當(dāng)多個(gè)學(xué)校不同設(shè)備的數(shù)據(jù)集構(gòu)成一個(gè)域名攻擊大數(shù)據(jù)時(shí),其智能學(xué)習(xí)效率將大為提高。
域名安全機(jī)器人配置
北京理工大學(xué)共有三臺(tái)權(quán)威域名設(shè)備,一個(gè)主站,二個(gè)輔站,主站與輔站實(shí)現(xiàn)統(tǒng)一管理。主站和輔站分別部署一個(gè)安全機(jī)器人。安全機(jī)器人負(fù)責(zé)對(duì)各自的域名服務(wù)開展7×24小時(shí)不間斷的安全值守工作,從攻擊識(shí)別到阻斷控制,實(shí)現(xiàn)了完全無(wú)人值守。學(xué)校的安全服務(wù)團(tuán)隊(duì)事后進(jìn)行巡查,評(píng)估域名機(jī)器人的工作,并對(duì)機(jī)器人工作進(jìn)行優(yōu)化。
域名安全機(jī)器人相關(guān)實(shí)踐
學(xué)校的域名安全服務(wù)平臺(tái)正處于測(cè)試階段,運(yùn)行2個(gè)月以來(lái),遭遇到多次較大流量的攻擊。在未經(jīng)處理的情況下,攻擊流量高達(dá)日常流量的50~100倍。
圖1為2019年7月30日至8月6日的權(quán)威DNS流量圖,其中高峰為攻擊發(fā)生流量,可以看到這一周的工作日經(jīng)常發(fā)生攻擊。
通過(guò)安全機(jī)器人的及時(shí)處置,學(xué)校的權(quán)威域名服務(wù)始終保持安全可控狀態(tài)。攻擊流量發(fā)生后,即被安全機(jī)器人有效控制,一方面峰值流量下降了2/3,另一方面攻擊現(xiàn)象在處置后立即消失。
以2019年8月5日的攻擊數(shù)據(jù)為例進(jìn)行說(shuō)明(見表1),當(dāng)天共有4次攻擊行為,每次攻擊發(fā)生時(shí)即被有效控制,系統(tǒng)記錄了17個(gè)攻擊相關(guān)IP。
這些IP大部分分布在國(guó)內(nèi)東部省市不同的運(yùn)營(yíng)商,可能是攻擊源,也可能是被攻擊的受害者。在這些輪番攻擊中,通過(guò)安全機(jī)器人第一時(shí)間的及時(shí)應(yīng)對(duì),學(xué)校的網(wǎng)絡(luò)環(huán)境始終保持安全和穩(wěn)定,權(quán)威域名服務(wù)正常運(yùn)轉(zhuǎn),未受到任何影響。
域名安全機(jī)器人上線以來(lái)的測(cè)試運(yùn)行期數(shù)據(jù)證明,安全機(jī)器人值班,對(duì)流量實(shí)時(shí)監(jiān)控,并與安全服務(wù)團(tuán)隊(duì)定期巡檢相結(jié)合的模式,可以保證學(xué)校權(quán)威域名服務(wù)的安全穩(wěn)定。當(dāng)攻擊發(fā)生時(shí),安全機(jī)器人能夠在無(wú)人值守的情況下,自動(dòng)識(shí)別攻擊,主動(dòng)采取措施,讓域名系統(tǒng)免于長(zhǎng)時(shí)間的攻擊威脅。
在這項(xiàng)專業(yè)性很強(qiáng)的業(yè)務(wù)工作中,安全機(jī)器人與權(quán)威域名安全服務(wù)的深度融合是學(xué)校DNS工作的一次大膽創(chuàng)新和實(shí)踐,是智慧校園智能服務(wù)升級(jí)的一次嘗試。
本文標(biāo)題:看!北京理工大學(xué)域名安全機(jī)器人來(lái)啦!
地址分享:http://jinyejixie.com/news17/101817.html
成都網(wǎng)站建設(shè)公司_創(chuàng)新互聯(lián),為您提供外貿(mào)網(wǎng)站建設(shè)、網(wǎng)站策劃、品牌網(wǎng)站建設(shè)、虛擬主機(jī)、App設(shè)計(jì)、網(wǎng)站制作
聲明:本網(wǎng)站發(fā)布的內(nèi)容(圖片、視頻和文字)以用戶投稿、用戶轉(zhuǎn)載內(nèi)容為主,如果涉及侵權(quán)請(qǐng)盡快告知,我們將會(huì)在第一時(shí)間刪除。文章觀點(diǎn)不代表本網(wǎng)站立場(chǎng),如需處理請(qǐng)聯(lián)系客服。電話:028-86922220;郵箱:631063699@qq.com。內(nèi)容未經(jīng)允許不得轉(zhuǎn)載,或轉(zhuǎn)載時(shí)需注明來(lái)源: 創(chuàng)新互聯(lián)
猜你還喜歡下面的內(nèi)容