本帖最后由 KYLE_K 于 2016-8-24 10:29 编辑
设备现状:
现在设备的智能DNS功能,只能看到客户端的DNS请求次数,看不到详细的DNS客户端请求记录。详细的DNS记录包括:DNS客户端的源地址、AD收到DNS请求包的时间、AD回复客户端DNS请求的时间等信息。
建议增加这功能,主要是基于以下两个需求:
1.可以判断DNS请求到底是内网地址还是外网地址发起的请求,如果内网地址通过DNS请求对AD进行攻击,可以通过AD找到攻击源。例如黑客入侵了大量的内部机器,内部机器对AD发起大量频繁的DNS请求,因为DNS通信是UDP包,并且数据包小,即使发起攻击,对内网通信几乎没有影响,从内网流量上看很难察觉
2.通过精确的DNS客户端请求记录,可以判断网络是否受到DDOS攻击。例如通过DNS客户端请求记录,看到一分钟内有上万的外国IP对AD发起DNS请求,几乎可以判断AD受到了DDOS攻击。AD可能直接就部署在网络出口,DDOS包没有经过防火墙,防御也就比较麻烦。这些记录也可以提供给客户,作为是否需要购买运营商流量清洗服务的依据。毕竟运营商的流量清洗服务并不便宜,客户不可能在没有任何实质依据的情况下购买流量清洗服务
建议再增加智能请求DNS告警 即如果AD发现有大量的非常规IP的DNS请求,可以发送告警信息给对应的运维人员,使运维人员可以快速判断是否受到ddos攻击 |