今年1月12日上午7时左右,百度出现长时间无法访问故障。此次事件的核心是由于百度所使用的域名注册商程序被入侵,导致baidu.com域名的DNS服务器信息被恶意修改,然后对百度的域名进行了劫持,在国内外造成巨大影响。
由此事件可以看出,运营商作为绝大多数互联网用户的接入单位,其DNS服务对互联网服务的重要性是不言而喻的。怎样能保持运营商DNS安全、健康地运行呢?《通信世界》周刊特邀请了运营商和安全企业有关专家共同探讨。
运营商加强DNS监控
在采访中,中国移动网络部一位负责安全的人士告诉记者,运营商DNS是非常重要的,有较多的互联网用户通过运营商DNS接入网络。比如去年“519断网事件”,中国移动虽然没有断网,但解析成功率下降了有15%。对此,中国移动加强了每天的监控,对突发事件制定了更加完善的应急预案,并且近期在尝试一些先进的监控手段。
中国电信上海公司信息网络部陈磊则表示,运营商应该通过相应的一些技术手段来实现对运营网络和关键业务进行一些保障,只有网络安全稳定地运行,才能为运营商带来整体的利益增长点。
绿盟科技DNS专家唐洪玉告诉记者,目前,DNS面临的安全问题主要可以分为三类,即DNS欺骗攻击、拒绝服务攻击攻击、系统漏洞。运营商对DNS安全的需求,主要包括以下几个方面:第一,保障DNS系统自身的安全,第二,DNS服务的高可靠性、可用性、连续性,第三,为其他相关业务系统提供支持。
两方面应对DNS故障
唐洪玉表示,DNS是十分重要的互联网基础网络设施,对互联网服务至关重要。但是,由于DNS协议本身的设计缺陷,没有提供适当的信息保护和认证机制,使得DNS很容易受到攻击。
运营商怎么样解决上述问题呢?唐洪玉认为需要从两方面着手,一方面需要保护DNS自身的安全,防止DNS服务不可用,造成类似于“519断网事件”;另一方面,运营商需要和DNS提供商建立良好的沟通机制,在出现问题的时候可以保持联动。
唐洪玉还表示,一个完备的DNS系统保障体系,应该包括四个部分(策略体系、管理体系、技术体系、运作体系)、四个层次(物理安全、网络安全、主机安全、应用及数据安全)和三个阶段(安全评估、安全防护、安全运维),它们共同构成一个有机的整体,协同作用,使DNS系统可以提供高可靠性、高可用性、高连续性的DNS服务。
产业链联动是关键
域名是互联网的基础,也是ICP的重要资产。唐洪玉表示,运营商作为连接用户和ICP之间的基础服务商,起到了互联网服务的桥梁作用,而域名的管理机构则应加强对注册商的管理和审核,安全企业提供有效的技术手段和专业的安全服务,各方应积极加强相关合作,来实现网络健康、安全地运行。
国内DNS服务提供商DNSPod的专家吴宏声对记者表示,运营商和DNS提供商建立完善的沟通机制,在出现问题的时候可以及时联动。运营商可以和DNS提供商之间互相开放接口,建立良好的沟通机制。由于DNS协议的限制,域名的DNS出现问题后,恢复需要24~72h。很多时候都是因为运营商的DNS不及时刷新而造成故障恢复时间过长。比如baidu.com事件,如果运营商提供了接口,那么就可以在baidu.com域名数据错误的情况下,手工刷新正确的信息和写入正确的DNS数据。通过这样的机制,以后再碰上“5.19”或者baidu.com这样的情况,在DNS提供商和运营商的合作下,数分钟内就可以恢复网络的正常访问。
链接:
“5·19断网事件”回放
2009年5月19日,我国互联网遭遇罕见故障,从当天晚上9点50分开始,江苏、安徽、广西、海南、甘肃、浙江六省的网民几乎在同一时间感到网络反应变慢,并在随后长达三个多小时的时间内无法访问网络,直到次日凌晨1点20分,受影响地区的互联网服务才基本恢复正常。519事件也因此成为近年来我国规模较大的一次互联网断网事故。经调查该事件发现,某网站的域名解析系统受到网络攻击,导致电信DNS服务器瘫痪,进而发生大面积用户无法上网。
绿盟科技“赫拉克勒斯计划”
此计划的核心是研究针对运营商DNS服务的专项安全防护产品,通过此DNS专项防护产品可以对运营商的DNS系统提供系统监控、检测分析、智能缓存、攻击防护、行为分析、脆弱性管理等几大防护功能。同时,绿盟科技联手国内DNS服务提供商DNSPod,针对当前严峻的DNS安全形势制定出了一套安全体系,保证了DNSPod的稳定和安全运作。