DNS RPZ的防護機制

當 BIG-IP DNS系統收到使用者的DNS查詢符合 RPZ 惡意功能變數名稱清單中的功能變數名稱時,系統會根據您的配置以兩種方式之一來進行回應。您可以將回應行為控制為 NXDomain 記錄回應或回應特定的 IP(Walled Garden IP)位址。

自網際網路運用以來,DNS(網域名稱系統)一直扮演著至關重要的核心服務角色,自新冠疫情以來,企業加速推動數位轉型,各項網路應用的推出及企業服務快速增長,DNS的角色與功能同時也變得更為吃重。駭客與有心人會鎖定來攻擊且癱瘓DNS服務,或是利用DNS運用來做為其網路犯罪的工具,各種與DNS相關的攻擊類型不斷,包括DNS服務癱瘓攻擊、中間人攻擊、反射攻擊、放大攻擊、殭屍網路、惡意程式、資料外洩通道…等等。

攻擊的目標除了DNS服務本體外,大多是會利用DNS服務來作為跳板或管道,對第三方目標進行攻擊。因此,就DNS服務的相關防護來說,不僅是DNS服務一旦停擺時將對於整個網路運用服務的影響,更必須了解DNS資安問題所產生的威脅與傷害性對於企業商業運轉的商譽與衝擊。

RPZ (回應策略區)功能正是可以強化DNS防禦的一項機制。F5 BIG-IP® DNS服務系統本身就可以支援且結合RPZ(回應策略區)雲服務廠商所提供的RPZ網域名稱名單來作為DNS防火牆的黑白名單機制。RPZ 內包含了,已知互聯網服務中相關的惡意名稱清單的域名。該清單包括每個惡意域名的資源記錄集 (RRset)。每個RRset 都包含惡意功能變數名稱和域名的相關子功能變數名稱。

當 BIG-IP DNS系統收到使用者的DNS查詢符合 RPZ 惡意功能變數名稱清單中的功能變數名稱時,系統會根據您的配置以兩種方式之一來進行回應。您可以將回應行為控制為 NXDomain 記錄回應或回應特定的 IP(Walled Garden IP)位址。

作者:
F5 台灣 資深技術顧問 KEVIN CHI