DNS nombre completo Sistema de resolución de nombres de dominio DomainNameSystem, en términos simples, DNS es para ayudar a los usuarios a buscar el nombre y los servicios de resolución de IP en Internet. Para facilitar el uso de los recursos de la red, el servicio DNS proporciona una forma de asignar un nombre de computadora o servicio a una dirección IP asociada con ese nombre. El nombre debe ser más fácil de entender y recordar que la aburrida dirección IP. La mayoría de los usuarios prefieren usar un nombre fácil de recordar (como www.enet.com.cn) para buscar un servidor de correo o un servidor web en la red en lugar de usar una dirección IP como 123.196.118.10. Cuando el usuario ingresa un nombre DNS amistoso en la aplicación, el servicio DNS resuelve el nombre a su dirección numérica.
La resolución de DNS es el método de direccionamiento real de la mayoría de las aplicaciones de Internet; su aparición resuelve perfectamente el problema de combinar los servicios empresariales con la imagen corporativa. El nombre DNS de la empresa es la identidad en Internet y no se puede repetir. El recurso de identificación único, la globalización de Internet hace que el nombre DNS sea el recurso más importante para identificar a la empresa.
recursos por muy importante para las personas que estén interesados pueden causar preocupación, ya que los eventos de ataques DNS de Internet, problema de seguridad DNS se ha convertido en el foco de interés para todos, el camino común:
1. Ataque malicioso contra el sistema DNS: la resolución de nombres DNS se debe al iniciar un ataque DNS DDOS.
2, nombre DNS secuestro: modificar el mensaje de registro, resultado secuestro del análisis.
Cuando el servidor DNS encuentra DNSSpoofing ataques maliciosos, si se trata de paquetes normales o anormales consulta DNS son paquetes a través de UDPPort53 en los servidores DNS internos, servidores DNS, además del procesamiento normal de paquetes, sino también para hacer frente a estas basuras Paquetes, cuando el número de paquetes por segundo es lo suficientemente grande, el servidor DNS no puede manejarlo. En este momento, la solicitud de paquete normal no debe ser capaz de obtener una respuesta normal. Cuando la IP del sitio web de consulta no puede ser respondida, el usuario se conectará. Si el sitio web no es invisible, si se consulta el servidor de correo, no se puede enviar el correo y la información importante no se puede transmitir con éxito. Por lo tanto, mantener el funcionamiento normal del servicio DNS es una tarea muy importante.
AX tiene una solución al problema anterior, que es el servidor de seguridad del servicio de aplicación de DNS. AX tiene tres métodos poderosos en este problema, que pueden aliviar efectivamente el impacto de estos ataques,
1 , la primera no DNS filtrado de protocolo de paquetes (filtro de consulta con formato incorrecto)
2, de nuevo la consulta al servidor de DNS a través de mensaje hacer el almacenamiento en caché (caché DNS)
3, si encuentra un gran número de consulta normal, AX puede iniciar el cableado de control por segundo (límite de velocidad de conexión)
formato incorrecto de filtro de consulta:
esta paquetes anormales son por lo general Se utiliza para aumentar el ancho de banda de la red externa y, por supuesto, hará que el servidor DNS esté ocupado. Por lo tanto, AX filtra dichos paquetes en la primera línea y los paquetes correctos se transmiten al servidor en la parte posterior. Los paquetes anormales se filtran automáticamente. Evita la carga del servidor.
caché DNS: Cuando
cuando la respuesta posterior consulta DNS AX, AX, que no necesita ser pre-configurado caché de dominio a lo caché, si la caché, Cuando la siguiente consulta llega a AX, AX puede responder directamente desde la memoria caché. No necesita ir al servidor DNS para realizar una consulta, lo que reduce la carga del servidor DNS y acelera la respuesta.
Por otra parte, cuando las empresas utilizan esta función única compañía que mejor conjunto de caché de dominio no, en lugar de cerrar esta consulta dominio Nunca caché o se negó a responder, de manera más capaces de proteger eficazmente el servidor DNS de la empresa .
El ISP debe proporcionar una serie de servicios de este tipo de consultas, más adecuado para utilizar esta función, dar respuestas mejores y más rápidos a los servicios de DNS.
Ratelimit Conexión: de
el flujo cuando la consulta es grande en cierta medida, por ejemplo con un dominio de más de 1.000 solicitudes por segundo, ahora se puede iniciar en AX El control de conexión por segundo controla la cantidad de consultas que ingresan al servidor DNS de back-end, el exceso se descarta directamente y los recursos del servidor DSN están más estrictamente protegidos.
cree que mucha gente mira adelante a ver las tecnologías de red innovadoras en Internet en constante cambio, y para ofrecer mejores servicios de aplicaciones de red. Y para garantizar que el servicio DNS continúe operando continuamente y que la información proporcionada por el servicio DNS sea correcta, esta es la base de todos los servicios de aplicaciones de red.
mencionó servicios de cortafuegos de aplicaciones DNS en este documento, además desea advertir a los importantes servicios de DNS lector, pero también la esperanza de que los lectores tienen una comprensión de la seguridad del DNS, servidor DNS y luego saben cómo proteger y prevenir Proporcionar ayuda efectiva en ataques maliciosos.