1、新一代DNS业务承载平台 Vantio,James Ding ,Nominum公司介绍,加拿大,纽约,旧金山,英国,德国,法国,澳大利亚,新加坡,瑞典,管理层,Dr Paul DNS系统设计者,前IETF主席 Ted Lemon ISC-DHCP软件的开发者 和The DHCP handbook一书的作者 制定和参与制定了超过30个ISC 标准 强大的管理团队,巴西,芬兰,北京,域名和 IP 管理,为网络设备分配IP地址,记录设备在线情况,将域名翻译成IP地址,使网络设备可以通过域名访问,域名服务器,DHCP协议,DHCP,DNS是网络互联通信的基础 DNS是业务正常运营的保障 DHCP可以方
2、便灵活的集成到业务模式中,为什么IP业务需要DNS和DHCP?,世界各地骨干网和移动网运营商,Nominum主要客户,Nominum 亚太区主要客户,澳大利亚 Telstra, 新西兰电信 新加坡电信,马来西亚电信等 韩国电信、日本NTT、IIJ等 APNIC 国内主要运营商 广东电信,上海电信,四川电信,江西电信,福建电信,新疆电信等十几家省级电信运营商。 辽宁网通,陕西网通,内蒙古网通,Nominum 主要业务,致力于电信级 DNS和 DHCP产品开发,为运营商提供可靠的 IP 地址管理方案: 高性能的处理能力 安全性和抗攻击能力 模块化设计,可扩展性,高可靠性 远程管理能力,提供多种管理
3、接口 优质的技术支持和服务 业界领先的技术和研发能力 为ISC开发 Bind9 并提供技术支持 为ISC开发 ISC-DHCP v3 为Internet维护根域名服务器 E和F,Nominum 产品系列,Advanced Server Navitas -传统电信网和IP网的”路由“ENUM DNS SIP IMSVantio 基于CNS的多业务承载平台,Foundation Servers ANS - 最具扩展性的授权域名服务器 CNS 世界上最快的缓存域名服务器 DCS - 高可靠性的DHCP服务器,NAVITAS IP-application Routing Directory,ANS 授
4、权域名服务器,DCS 动态IP管理服务器,CNS 缓存域名服务器,Vantio DNS Service Platform,Nominum 的解决方案,ANS,DCS,CNS,EAC,DHCP Servers (ISC),Foundation 服务器系列,服务器,用户浏览器,DNS Servers (BIND),问 题,传统的DNS应用模式,CNS,Internet,Find Answer on the Internet,DNS Query,DNS Answer,ANS,DNS answer “found” on the Internet provided “as is” to user app
5、lications,End-user application experience dictated by strict protocol compliant DNS answers,CNS,新一代DNS 增值业务的控制点,Vantio (Intelligent DNS Server),Intelligent DNS Answer,DNS Query,ANS,Internet,Find Answer on the Internet,提供符合运营商业务策略的“智能化”的DNS响应,运营商新的增值业务模式, 成为提高用户体验的关键点,为什么选择DNS?,DNS是所有IP应用的关键核心 互联网上面几
6、乎所有应用都要使用DNS 对于绝大多数应用,用户首先会访问DNS DNS是所有业务的第一“接触点”。 DNS系统已经部署在网内 在DNS上发展新业务不需要修改网络结构。 在DNS软件基础上为用户提供增值业务开销最小,具有性价比的优势。,Nominum CNS 和Vantio 的比较,Vantio强大的管理功能,实时分析系统 可以分析最近一段时间内被访问次数最多的域名,发起访问量最高的用户IP 限速功能 配置对指定域名的访问限制,设置每秒最大请求数 错误域名分析部件 可以分析错误域名的种类,提供所有错误域名访问的记录并产生相关分析报告 DOS攻击自动防范功能 通过分析用户行为,采用自适应算法自动
7、屏蔽相关网络攻击源。,RTV(实时监控)模块,在不影响系统性能的前提下,Vantio RTV为用户提供了更强大的管理和统计功能 RTV模块在独立的CPU上运行,有效的利用了硬件资源。 RTV支持各种灵活的统计功能 实时排名统计功能 指定域名的访问分析功能 指定IP的访问分析功能 根据其它条件设置分析,缓存域名服务器的管理,Nominum的命令通道(Command Channel)是市场上最强大的 命令行管理界面CLI。 当然, 不是所有的DNS管理员都精通命令行处理模式 没有足够的时间和精力去学习CLI 有太多需要管理的各种应用 Nominum公司的 EAC(Engine Administra
8、tion Console)就是为管理员准备的一个基于Web应用的实时管理和报告工具 简单易学 图形化的接口,可以共享信息,什么是EAC?,基于Web的图形化管理界面,可以管理Nominum公司通用产品的引擎 2007年推出1.7版本 2008年1季度推出2.0版本,EAC管理界面的特点,分用户的接入控制机制,提供了更高的安全性并降低了配置错误的概率 可以同时配置和管理多个引擎。 支持所有的CLI功能。,例图: 系统性能报告,MDR Application Module,Vantio 增值业务模块介绍,高度可扩展的 Vantio 服务器 提供多种服务模块插件(SDM),恶意域名转发模块 (MDR
9、-SDM),NAC Application Module,网络接入控制模块 (NAC-AM),NXR 模块介绍,NXR错误域名转发模块是在运营商要求下开发的基于Vantio平台的增值业务模块。 和其他错误域名转发的实现方式比较,Vantio增加了控制机制,减少了对客户网络应用的负面影响 通过预配置参数,NXR可以实现如下功能: 不影响各类网络应用 忽略了大多数非WWW的请求 避免了对企业内部URL的重定向 可以通过域名和掩码等方式实现灵活的可选重定向配置,转发页面举例,Verizon(美国)的转发页面,MDR-恶意域名重定向,当用户访问非法站点,黄色站点,或者其它有害站点(比如钓鱼站点或者木马
10、站点)的时候,把用户重定向到运营商指定的门户站点,MDR的各种应用,儿童上网的黄色站点过滤 非法商业网站的过滤 阻止互联网上的其它政府屏蔽站点,钓鱼网站 减少恶意代码流行的几率 屏蔽各种黑客网站,安全应用,社会应用,企业内容监控 家长分级只 其它,业务指导,Now,UAR 用户接入控制模块,将指定用户重定向到 captive portal,实现包括用户重大事项告知或用户上网指引等其它功能,欠费通知 传统的邮件通知浪费了大量纸张和邮递费用 Email通知经常会被用户当作垃圾邮件丢弃 电话催费需要大量人工支出 UAR在线通知: Gets attention; Not intrusive; Oper
11、ationally simple; Difficult to bypass 新用户激活 提高用户忠诚度 Number of captive applications (电子邮件, 账户等.) 重定向新的用户,指导他们完成自助网络设置,熟悉网络环境,并推出运营商自己的门户站点,UAR 的应用,DNS 安全问题介绍,DNS 长期以来一直是黑客攻击的重要目标 时间表 最新发现DNS 缓存毒害攻击漏洞 Mar 2008 互联网安全研究专家 Dan Kaminsky 发现了新的缓存毒害 攻击方式 Apr 2008 四个主要厂商讨论:Nominum, ISC, Microsoft, Cisco 结论: 对
12、安全构成严重威胁 几大厂商研究后建议使用以下技术方案提高安全性: UDP Source Port Randomization http:/www.ietf.org/internet-drafts/draft-ietf-dnsext-forgery-resilience-05.txt June 2008 Nominum 公布了Vantio (3.3.1.0), CNS (3.0.4.0)July 8 2008 CERT 公布了漏洞,厂家宣布了升级方案,还没有发现根据 漏洞针对DNS的攻击Aug 2008 攻击的详细资料将在 BlackHat公布,DNS 协议自身的安全局限,DNS协议使用安全性较
13、差的 UDP传输协议 对未经认证/没有安全验证的授权服务器的信任 DNS查询使用公开的通道,信息的传输没有经过验证或加密 Query ID只有16 bits, 随机化的算法(for choosing Query IDs)存在弱点 查询回应中包含的附加信息可能被缓存域名服务器放入缓存 服务器可能会对同一个域名产生多个查询,这样很可能遭到Birthday Attacks类型的攻击,缓存毒害攻击对用户的影响,对互联网的安全性造成严重危害 攻击具有很强的迷惑性,因为用户认为他们在访问自己熟悉并信任的站点 浏览器书签里面的链接 在浏览器历史记录里面存储的站点 黑客可能采取的多种攻击模式 钓鱼网站 : 黑
14、客网站可以模仿知名网站的外观,盗取用户名,密码,银行帐号,个人资料等关键信息,然后再把这些信息传输到真正的网站,用户甚至无法防范自己的信息被盗取。 Denial of Service 知名网站在被攻击以后无法被访问或者提供服务,缓存毒害的攻击方式,要成功实现缓存毒害攻击,黑客需要通过伪装DNS请求响应的方式,将错误的IP发送给缓存DNS服务器并写入缓存。 为实现上述目的,黑客需要完成以下两个步骤 攻击时间 必需选择在缓存域名服务器为了更新一条记录而发出一个DNS请求以后 攻击必需在相关授权域名服务器的合法响应回到缓存域名服务器之前 到达缓存域名服务器的伪装查询响应包必须准确的包含以下内容 授权
15、域名服务器和缓存域名服务器的IP地址 缓存域名服务器发起查询所使用的Source UDP Port (过去一般使用的是缺省端口) 查询内容: 查询的Name, Class and Type 每次查询随机产生的16位 Query ID. 攻击成功的前提: 黑客需要在很短的时间内找到以上所有信息的准确值,伪造Query ID的成功几率 (在Kaminsky 缓存毒害攻击之前),假设 TTL = 3600 BIND 攻击成功的几率 = 50% after a week Nominum CNS with Detect and Defend 攻击成功的几率 = 50% after 1365 days 假
16、设 TTL = 60 BIND 攻击成功的几率 = 50% after 3 hours Nominum CNS with Detect and Defend 攻击成功的几率 = 50% after 24 days Nominum Detect & Defend 功能记录所有不成功的攻击尝试,新的Kaminsky 缓存毒害攻击,攻击成功的几率 = 50% after 10 minutes 攻击代码易于编写 甚至用脚本语言就可以实现! 这个漏洞在不同程度上影响所有的DNS软件 Bind, Microsoft, Nominum Nominum CNS 的 Detect and Defend 功能可以
17、针对不成功的攻击尝试发出警告,Nominum Vantio 下一代 DNS系统,灵活, 智能化的架构,保证了DNS系统的安全 分层的安全设计提供了内建的 “深层保护” 对攻击的有效检测和隔离可以防止穷举方式的攻击 对请求响应的屏蔽功能过滤了无效以及不必要的响应 缓存内容保护,为用户提供彻底安全的服务,Who is Asking?,What are they Asking?,Who is Asking What?,用户请求,互联网查询结果,Query Response Intelligence,Query Intelligence,Secure Queries,Secure Answers,Wh
18、o is Answering?,Is it the right answer?,What is in the Answer?,Vantio Intelligent DNS Cache,Vantio 的多层安全架构,Vantio 安全特性,Detect and Defend 检查不准确的查询响应(不匹配的Query ID), 如果发现有这种包,就试图发回响应的授权服务器端建立TCP链接,捕获正在伪造DNS响应的IP Glue segregation 如果接收到的记录内容不是由该域的授权服务器返回的,就不会使用该记录内容作为以后查询的依据。 这样可以有效的防范很多类型的缓存毒害攻击方式。 Quer
19、y aggregation 当CNS同时或这在短时间内接收到对同一个域名的多个查询请求,服务器只会向授权服务器发起一次查询,这样可以有效的防范birthday attack. Excellent randomness TXTID 的技术基于entropy pool 算法,可以产生完全随机的Query ID 通过第三方严格测试 - Diehard RNG test suite Low latency 低延时意味着黑客需要在更短的时间内完成攻击 UDP Source Port Randomization (new in Vantio 3.3.1.0 and CNS 3.0.4.0) 更高的随机性,
20、 可以使用 10 bits (1024 ports) BIND 使用了 8 bits,Detect and Defend 特性,宽带运营商 缓存域名服务器,DNS 请求 ,缓存内没有记录,1,2,宽带用户,查询 “www.yourbank”,3,黑客使用伪装的IP源地址 发回伪装的响应,4,Nominum DNS接收到返回的响应, Query ID (TXID)不匹配,5,6,尝试和授权服务器 建立TCP链接,授权DNS,黑客服务器,X,7,接收到准确的响应,注意: D & D 同时会产生警告信息,Glue Segregation特性,查询响应一般有“glue” 记录,里面包含一些有用的信息
21、通常情况下Glue记录包含授权域名服务器的IP地址,可以用来为以后同一个域的域名解析 Glue records 在早期的缓存毒害攻击中使用 在伪装的响应中提供一个 “可用” 记录指向黑客站点 Nominum 将“glue” 记录从响应中分离出来 不使用非授权服务器返回的授权域Glue记录来产生查询请求,UDP 源端口随机化,随机化算法的重要性 对于弱化的算法,黑客可以发现规律 正确的实现方式 更多的端口意味着更高的安全性 Nominum在新版本中支持 2,048 个端口(11 bits)。 Kaminsky认为这个端口数已经足够 管理员可以手工设定起始端口或者让CNS/Vantio随机选择 端
22、口随机抽取 Nominum通过了严格的认证 (15 tests for randomness),USPR和Query ID (TXID)的配合,X,16 bits 65,536,11 bits 2,048,= 134 million 可能性,性能和安全性,UDP端口随机化 使用的端口越多,安全性越高 更多的端口需要占有更多的系统资源,比如文件描述符的数目,同时也意味着需要更多的CPU资源 Nominum Vantio 缺省配置的端口数和操作系统类型有关 Debian 3.1 16 ports RHEL 3 32 ports Solaris 32-bit 64 All other platfor
23、ms 256 ports 缺省配置下(256个端口),Vantio性能下降约5%左右。可能性:256*65536= 16.7M Detect &Defense 功能:相当于增加了6-7bits的端口随机化,总结,Nominum 是DNS的专家 在第一时间得到信息,参与了本次安全问题的讨论和协议制定 Nominum 确保用户及时得到通知并得到保护 在 CERT 公布消息以前已经提供了软件升级版本并在第一时间通知客户 Nominum 为ISP提供了多种安全防范措施 Glue segregation, Detect and Defend, Query aggregation, Excellent randomness, Low latency, UDP Source port randomization 为减少黑客攻击的成功率, Nominum 建议客户立刻升级到新版本的Vantio软件 在不修改任何配置的情况下,缺省的 UDP source port randomization 可以达到原系统90%-95% 的性能。 打开 id spoofing and spoof monitoring 功能 对可能的攻击会产生告警并记录 会有错误预警情况,谢谢!,
