不久前,應用程式傳輸控制(ADC)供應商A10 Networks在該公司AX系列平台中提供DNS應用防火牆功能集,A10 Network業務經理田哲禹表示,該功能主要是提供既有客戶的服務,可以透過軟體更新來免費升級,尤其是一些容易遭受到DDoS攻擊的行業,例如說線上遊戲業及電子商務業者等,並且亦可針對DNS application提供應用防火牆的功能,阻擋一些非正規的DNS流量。
該新功能主要是能夠解決不斷增長的DNS設備壓力,例如Google瀏覽器Chrome的pre-fetch功能,在使用者連結到該網址時可以加速網頁的開啟。(見圖) 此外,還能夠減少DNS所面臨到的DDoS攻擊,以及停止向DNS轉發惡意或無效流量。
DDoS防禦專家表示,一般網站受大流量的攻擊時,通常可請上游ISP先過濾ICMP、UDP協定的封包,再利用其他機制防禦 TCP 層的攻擊。但若網域的DNS主機位在同一個環境時,上游無法過濾針對 UDP 53 port 的 DNS 查詢封包,因此就會成為攻擊的缺口。攻擊者可利用 DNS Flood、或針對 DNS 服務程式漏洞的攻擊程式等,設法癱瘓網域授權名稱伺服器的服務,使外界無法解析到網站的IP位址,如此同樣可達到癱瘓服務的目的。若是 ISP 的 DNS 服務受攻擊,影響的範圍可能更廣,所有用戶均可能無法正常上網。