看见问题 更能解决问题
百闻不如一见,我讲个真实故事来增强一下“看见”的即视感。
也不知道什么时候开始,北京电信官方DNS开启了解析保护,对每秒超过50个解析请求的IP直接执行枪毙5分钟处理。从流量模型角度看,大部分中小客户不会受到任何影响,它们的DNS解析频次不会超过50每秒;但对“互联网+”企业来说,也许研发测试一个命令下去就能让全公司“断网”。
但即便是受害企业的IT运维(包括我),也不得不认同电信的做法。正如某位北京电信内部人士所说,不限制DNS解析频次的时候,北京电信官方DNS曾遇到过某客户发来的每秒超过20万次的解析请求,此时DNS响应率下降了90%,全网客户都被影响;加DNS防护策略可能对个别用户造成影响,但却给大多数用户带来可靠保障,“这事划得来”。
但对于我就真的很痛苦了,一个出口带了n个企业实体,不是研发型就是咖啡、孵化器这种难以管理型,峰值内网IP过千,隔三差五就会被官方DNS封出口IP。最关键的,在低成本的前提下,也找不到一个可行的解决方案。
T5060倒是给了我一个惊喜,异常行为检测引擎注意到“DNS高频次解析”,当做威胁事件的一种体现在iCenter的威胁汇总报表中。显然,这种行为并不是个非黑即白的动作,所以设备根据其频次、总数等信息,给出了每次事件的确信度。而对UDP Flood这种针对DNS服务器53端口的粗暴攻击,传统的被动防御特性自然可以很好地检测并解决。此外,随机域名、本机回指等灰色行为,也一并被异常行为检测引擎发现,同样体现在以DNS服务器为呈现维度的报表中。对于IT运维人员来说,综合判断是必须的,于是特定业务维度的矩阵式可视化才是他最需要的,但却又是大部分树形日志/信息呈现的设备所无法提供的。
当然呈现出来只是第一步,最终还是要解决问题,否则就是体现不了价值的然并卵。有T5060这事就简单多了:对于确信度100%的行为,直接deny掉;确信度不到100%的Flood行为,T5060上直接开抑制。所谓抑制机制,就是在难以判断你是黑是白的情况下,先延缓你的行为。这样虽然你不爽了,其他人却不会不爽。真在极端情况下,T5060亦可彻底牺牲个别终端来保证内网DNS服务(基本等同于网络)的可用性,这个理念其实和电信DNS的保护机制非常类似:当需要取舍时,选择代价最小的方案永远是对的。
小问题吧?解决起来简单把?但如果没有T5060,小问题就是大麻烦,至少测试过的几款下一代防火墙都无力解决。在非黑即白的被动防御范畴,也没有任何一个功能模块敢把DNS解析当做非法事件的特征。但如今正是攻防技术高速发展、安全边界愈加模糊的时代,山石网科T系列主打的主动防御及弹性抑制特性,自然就有着越来越多的用武之地。