瀏覽器與網站應用需求急速增多 廠商推DNS應用防火牆

不久前，應用程式傳輸控制(ADC)供應商A10 Networks在該公司AX系列平台中提供DNS應用防火牆功能集，A10 Network業務經理田哲禹表示，該功能主要是提供既有客戶的服務，可以透過軟體更新來免費升級，尤其是一些容易遭受到DDoS攻擊的行業，例如說線上遊戲業及電子商務業者等，並且亦可針對DNS application提供應用防火牆的功能，阻擋一些非正規的DNS流量。

該新功能主要是能夠解決不斷增長的DNS設備壓力，例如Google瀏覽器Chrome的pre-fetch功能，在使用者連結到該網址時可以加速網頁的開啟。(見圖) 此外，還能夠減少DNS所面臨到的DDoS攻擊，以及停止向DNS轉發惡意或無效流量。

DDoS防禦專家表示，一般網站受大流量的攻擊時，通常可請上游ISP先過濾ICMP、UDP協定的封包，再利用其他機制防禦 TCP 層的攻擊。但若網域的DNS主機位在同一個環境時，上游無法過濾針對 UDP 53 port 的 DNS 查詢封包，因此就會成為攻擊的缺口。攻擊者可利用 DNS Flood、或針對 DNS 服務程式漏洞的攻擊程式等，設法癱瘓網域授權名稱伺服器的服務，使外界無法解析到網站的IP位址，如此同樣可達到癱瘓服務的目的。若是 ISP 的 DNS 服務受攻擊，影響的範圍可能更廣，所有用戶均可能無法正常上網。