2015台灣資安大會領航觀點

Infoblox：藉由整合防禦，有效防範DNS攻擊

---

 

隨著網路應用蓬勃發展，愈來愈多使用者高度仰賴網域名稱系統(DNS)，也讓DNS逐漸淪為駭客覬覦的目標，導致近年來相關攻擊事件不斷滋生，尤其藉由放大(Amplification)或反射(Reflection)等方式形成之巨量DDoS攻擊，最讓人印象深刻。

除此之外，其餘DNS威脅尚不在少數，不管是DNS通道穿越攻擊(DNS Tunneling)、DNS快取毒害攻擊(DNS Cache Poisoning)、DNS漏洞攻擊(DNS-based Exploits)，甚或藉由傳遞不正確DNS封包、釀成癱瘓式無窮迴圈，皆會讓企業不堪其擾。

Infoblox台灣區總經理吳圳表示，該公司自1999年成立以來，始終專注提供DDI(DNS、DHCP、IP位址管理)核心網路服務，並位居DDI市佔率龍頭，對於DNS服務內容至為瞭解，也早已意識DNS安全與管理之重要性，因此多年來持續強化Infoblox Grid底層架構體質，直至近年來DNS攻擊事故激增，即順勢推出Infoblox ADP(Advanced DNS Protection)、DNS Firewall等進階防護方案，並將DNS安全列為2015年經營主軸。

事實上，儘管DNS伺服器向來是企業網路應用服務的箇中要角，居間協助將網址轉譯為IP，以利網站存取作業順暢執行，但早期多數企業並未重視DNS安全；邇來伴隨DNS攻擊增溫，企業開始思索防護之道，常見做法不外是佈建防火牆、入侵防禦系統(IPS)、DDoS防護設備，或全球伺服器負載平衡(GSLB)系統，甚至試圖利用虛擬機(VM)易於快速擴張的特性，傾向在遭遇較大DNS查詢流量時，緊急擴充DNS伺服器。

DNS伺服器　直接整合安全與GSLB功能

 

 

Infoblox台灣區技術顧問張哲綱認為，快速加裝一台又一台DNS伺服器的做法，可謂治標不治本，不足以應付日趨龐大的攻擊流量。至於部署防火牆與IPS，對企業而言確有必要，但這些資安系統所需照顧的範圍甚廣，無法專門針對DNS安全做強化設計，偏偏駭客愈來愈擅於運用合理癱瘓手段，恐導致這些系統無力保護DNS伺服器。為此Infoblox祭出ADP硬體加速卡，讓DNS伺服器自身即可經由特徵比對，迅速判斷流量正常與否，以利於捨棄異常流量，確保DNS服務恆常運行。

此外，Infoblox台灣代理商達友科技也補充提到，Infoblox在2014年間推出Infoblox DNS防火牆，可根據惡意網域名稱黑名單進行比對，一旦察覺企業內部有任何電腦意圖聯繫惡意網站，便立即加以阻斷，讓遭植入APT木馬的電腦無法建立C&C連線，把傷害降至最低。

 

另不可諱言，GSLB一來可為DNS伺服器善設異地備援機制，二來藉由負載分流，加速不同地域使者存取效率，確實頗具助益，但佈建獨立式GSLB系統所費不貲，難免令企業望而卻步；因此Infoblox推出DNS Traffic Control方案，讓DNS伺服器就地增添GSLB能力，且能拜分流效果所賜，稀釋減緩DNS放大或反射攻擊之危害。