事件簡介

　　2009年5月19日21時50分開始，江蘇、安徽、廣西、海南、甘肅、浙江等6省用戶申告訪問網站速度變慢或無法訪問。主要表現為域名解析(DNS)響應緩慢或者無法解析。直至5月22日事件才漸漸平息。

　　事件原因和分析

　　此次事件是一次聯動事件，主要分為兩個部分：

　　1、DNSPod站點的DNS服務器被超過10Gbps流量的DDoS攻擊擊垮疑似因為是網絡游戲私服之間的相互爭奪生意，導致一家私服運營商發動了上千臺僵尸主機對DNSPod發動了DDoS洪水攻擊，導致DNS服務器過載以及線路堵塞。

　　2、暴風影音的大量頻繁的向電信DNS主服務器發起解析。導致各地區電信主DNS服務器超負荷。

　　暴風影音作為廣泛使用的軟件，有成千上萬的用戶安裝使用。然而其DNS解析機制存在缺陷。暴風公司僅僅在DNSPod站內部署了一個DNS解析站點，同時暴風影音軟件在發生無法解析域名的時候會大量頻繁的向運營商的DNS服務器發起查詢，運營商DNS再向位于DNSPod內的暴風公司DNS服務器查詢，未果。這樣導致了大量的查詢，客觀上構成了對電信DNS服務器的DDoS攻擊。

　　由于暴風影音使用用戶非常多，其攻擊能力高出僵尸網絡幾個數量級，導致多個省市電信DNS主服務器過載。

　　FortiGate IPS對策

　　DNS服務器作為互聯網的一個核心部分容易遭受到攻擊，要徹底解決這個問題，只有不斷的完善Internet安全架構本身，比如檢測和清除僵尸網絡、保障每一臺接入到Internet的PC的安全性、建立快速DoS溯源機制等。然而安全的Internet架構不是一朝一夕能夠建立起來的，因此對DNS的攻擊防護就成為一項重要的安全措施。

　　對于以上兩部分的原因，FortiGate IPS分別有不同的對策。

　　1、對于沒有規律的大規模DDoS攻擊，FortiGate IPS具有硬件級的防御能力。它采用專用加速芯片對DDoS攻擊進行識別，可以判斷出哪些是攻擊包，那些是正常訪問流量，從而將正常訪問流量放過而阻擋住攻擊數據包。這樣DNS服務器不會因受到攻擊而過載。

　　FortiGate IPS有超過每秒10萬pps的抗DDoS攻擊能力。

　　　圖一：FortiGate 抗DDoS配置

　　2、對于有規律的大規模DDoS攻擊，比如由暴風影音軟件發起的對baofeng.com的大量DNS查詢，FortiGate可以制定相應檢測規則，暫時阻擋含有baofeng.com域名的查詢，使得DNS服務器不會過載。

　圖二：FortiGate IPS特征

　　FortiGate IPS特點簡介

　　1、混合式、多類型的攻擊防御

　　Fortinet的全系列安全產品可以提供集成、完整的解決方案，它可以實現對混合攻擊、入侵企圖、病毒、木馬、蠕蟲、間諜軟件、灰色軟件、廣告軟件和拒絕式攻擊等種類廣泛的攻擊和惡意行為。

　　Fortinet采用基于網絡的ASIC加速的硬件平臺，以及一系列的高級的動態入侵檢測引擎，可以以更低的總體擁有成本，實現針對多種攻擊的更高級別的安全和業內領先的性能。這些安全引擎是由Foitinet屢或殊榮的FortiOSTM，可以單獨部署，也可以集成在一起提供全面的安全解決方案。

　　圖三：Fortinet基于ASIC的網絡和應用處理加速

　　2、全球的IPS研發團隊

　　FortiGuard的IPS服務是由Fortinet全球的安全專家團隊來維護，他們在識別一種新的攻擊后兩個小時內予以響應。Fortinet安全專家與很多像CERT和SANS這樣的攻擊檢測組織合作來發現新的漏洞，編寫特征值、異常檢測引擎和阻斷方法，在漏洞成為威脅前升級用戶的FortiGate的IPS系統。FortiGuard的可擴展的分布式網絡可以在幾分鐘內，推動地升級所有的FortiGate的IPS系統。

　　主要特征 優點

　　基于ASIC加速的硬件 業內領先的性價比

　　自動升級IPS特征值 實現零天對新攻擊的防御

　　用戶自定義的IPS特征值 對用戶友好的、靈活的IPS引擎

　　檢測VPN(Ipsec和SSL)的內容 防止惡意流量通過VPN擴散

　　雙向的IPS內容過濾 防止內部和外部的攻擊

　　特征值和協議異常引擎 多層次的安全防御多類型的攻擊

　　詳細的日志和報表 對內部監聽和流量分析的細粒度的日志和報表

　　支持50多種協議和應用 擴展的協議和應用防護

　　可以對數以千計的FortiGate進行集中化管理 保持統一性和每日更新的安全策略

　　透明模式或網絡監聽方式部署 不重新設計網絡下無縫部署

　　從SOHO到千兆級別的IPS的可擴展的性能和型號 不同型號支持任何大小的網絡