美国半个互联网瘫痪对开发者使用 DNS 的启发

美国时间的10月21日清晨7点开始,美国Dynamic Network Service公司的DNS服务器遭受了大规模分布式拒绝式服务(DDos:Distributed Denial of Service)攻击,Dyn公司是美国的主要DNS服务商,DDos攻击导致Dyn的DNS解析服务瘫痪,用户无法解析到目标网站的IP地址,引起Twitter、Tumblr、Spotify、Airbnb、Github、PayPal等众多站点无法访问,美国国土安全局、FBI也开始调查此事。

来自智能设备的 DDos 攻击

DDos 攻击是互联网中常见的一种攻击手段,黑客向某些服务器、个人PC、智能设备植入DDos攻击程序后,控制所有机器同一时间对目标网站发起流量攻击,被攻击的网站瞬间带宽被占用,正常用户则无法访问,此次Dyn公司遭受的攻击大量则来自物联网设备,日常生活中日益增多的智能设备,被黑客利用其中的安全漏洞作为DDos攻击中的肉鸡,攻击方式简单直接又野蛮粗暴,黑客作案成本低、门槛低,已经成为一条高度成熟的产业链。

各类型DNS服务的防攻击能力

目前国内提供域名授权解析服务主要的分为以下几种类型,每种类型都有各自的优缺点,这里主要谈论解析安全相关问题。

一.域名注册商附带DNS

授权DNS解析服务作为域名注册商的附带服务,一般只提供基本的解析服务,不会或很少提供附加服务,典型如新网、易名中国等,目前是主要存在以下特点。

  • 域名DNS受到攻击时不能提供抗攻击服务。
  • 稳定性难以保证,DNS解析服务经常出现异常。
  • 域名鱼龙混杂,受攻击可能性很高,可能会影响正规域名的解析。
  • 非核心业务,受重视程度不够,出现安全问题的响应不够及时。
  • 解析服务器配置存在安全隐患,如开启域传送、any查询等,容易造成内部信息泄露或被利用作为反射放大攻击。

企业和开发者们,如果是为重要的业务进行解析,尽量不要选择这类型的DNS服务。

二.专业域名解析服务提供商

专注提供域名授权解析及相关服务的第三方企业,国内此类服务商腾讯云DNSPod、新万网解析、DNS.com、cloudxns等,此类企业因为专一性很高,所以针对DNS遇到的各类安全问题通常都有比较完善的解决方案,且有专业的DNS团队来解决突发的安全问题。

以腾讯云DNSPod为例,为近125万用户、1100万域名提供服务,日处理DNS请求超过350亿次,据统计,平均每日都会有超过30次的攻击,并且历经了各种类型的DNS攻击,所以针对DNS遇到的各类安全问题通常都有比较完善的解决方案,且有专业的DNS团队来解决突发的安全问题,下面介绍几个典型案例:

常规DDos攻击:2009年5.19断网

和这次Dyn攻击事件非常相似,当年由于暴风影音的DNS机制缺陷,解析失败会无限重试,而且全国装机量非常大,被DDos攻击后递归DNS失败,导致运营商DNS被压垮,南方大范围断网。

攻击类型:DNS FLOOD、SYN FLOOD等;

首选策略:CNAME防护(主动探测)或IP重传(被动探测);

备选策略:IP限速、域名限速、黑名单等。

DNS反射放大攻击:2013.3.19 欧洲反垃圾邮件组织Spamhaus攻击

攻击类型:ANY/TXT/MX等记录类型放大;

首选策略:源端口过滤、源IP过滤/限速;

备选策略:禁止any查询、黑名单等。

递归DNS反射放大攻击:2014.12.10-12.12 国内递归DNS被大规模攻击

全国范围内的网络异常,攻击源有共同特征,包含大量物联网设备,和此次Dyn攻击事件的攻击源类似。

攻击类型:随机子域名方式;

首选策略:域名响应限速、域名请求限速;

备选策略:机器学习过滤随机域名、停止泛解析、源IP限速等。

并且通过多年的防攻击历史经验,腾讯云DNSpood沉淀了丰富的技术方案:

  • 自主研发第六代DNS服务器(DKDNS),辅以强大的Intel 82599EB 10GE网卡和DPDK开发套件,单机测试最高性能达到了1820万QPS,线上性能1100万QPS,并以8台服务器为一组组成了多个四层负载均衡集群,专制各种DDoS。
  • 针对DDos攻击,建立了包括大带宽、大规模分布式部署、专用防护设备、多种针对性防护策略、高性能DNS服务处理程序在内的防护体系,针对同时多个域名攻击支持高达200G的域名攻击防护能力, 历史处理域名攻击峰值超过600G,针对单域名攻击的DDoS防护能力超过1T。
  • 宙斯盾防护系统全覆盖,并创建了多种专利防护算法,对不同的攻击形式采用针对性的防护策略和算法。

三.企业自建DNS

目前规模较大、资源充足的公司会选择自建DNS,仅供本公司业务使用,不会被其他域名的DNS攻击影响,目前BIND(Berkeley Internet Name Domain)是目前世界上应用最为广泛的开放源码的DNS服务器软件。

关注DNS安全的开发者可能已经了解到,近期DNS服务器软件BIND的CVE-2016-2776漏洞被发现会导致远程拒绝式服务(Dos:Denial of Service)攻击,上个月才得以修复,而利用该漏洞构建特定的访问却能导致BIND主进程的崩溃。所以自建DNS也有一定的安全风险,需要关注以下几点:

  • 增加基础设施和安全设施的投入,增加带宽,部署更多的防护设备,以应对更大和更复杂的攻击;
  • 有条件的尽量开启DNSSEC支持,防止被劫持和修改;
  • 关闭域传送,防止内部解析信息泄露;
  • 使用开源解析软件的需要隐藏版本号和操作系统版本信息等,尽量使用最新的稳定版本,减少受攻击的可能性;
  • 各地运营商的递归DNS设置访问地区限制,减少被利用进行攻击的可能。

然而关键仍然是有自己的DNS维护团队,进行专业的维护。

总结:DNS 行业正在面临越来越严重的安全威胁,我们应积极采取措施进行应对,最后,仍然是需要完善法律法规,并对进行攻击者加大打击力度,必要时进行法律制裁。

原创声明,本文系作者授权云+社区发表,未经许可,不得转载。

如有侵权,请联系 yunjia_community@tencent.com 删除。

编辑于

腾讯云DNSPod团队的专栏

1 篇文章2 人订阅

我来说两句

0 条评论
登录 后参与评论

相关文章

来自专栏服务端思维

安全要素与 STRIDE 威胁

STRIDE 威胁,代表六种安全威胁:身份假冒(Spoofing)、篡改(Tampering)、抵赖(Repudiation)、信息泄露(Information...

602
来自专栏Python爬虫与算法进阶

爬虫学到什么程度可以去找工作

随便看看知乎上的教程就可以入门了,就Python而言,会requests当然是不够的,还需要了解scrapy和pyspider这两个框架,scrapy_redi...

811
来自专栏FreeBuf

谁干的?暗网最大网络托管商被黑,6500个网站遭彻底删除

2017年,“匿名者”组织攻击并拿下了暗网托管商Freedom Hosting II后,Daniel's Hosting一跃成为最大的暗网托管商。

282
来自专栏云计算D1net

如何用渗透测试计划锁定你的云?

渗透测试是一项旨在确定和解决任何黑客可能利用漏洞的IT安全性措施。就如同传统数据中心广泛采用这一测试方法一样,很多企业的IT部门也在他们的公共云计算环境中使用着...

2838
来自专栏黑白安全

渗透测试中的攻与守

渗透测试(Penetration Test)是完全模拟黑客可能使用的攻击技术和漏洞发现技术,对目标系统的安全做深入的探测,发现系统最脆弱的环节。渗透测试能够直观...

913
来自专栏FreeBuf

如何利用LTE网络协议漏洞把手机踢下网

诺基亚贝尔实验室和芬兰阿尔托大学的研究人员演示了如何攻击LTE网络协议。 之前我们已经多次报道过SS7信号协议的漏洞了,利用协议的漏洞,攻击者可以追踪用户。 当...

1848
来自专栏魏艾斯博客www.vpsss.net

腾讯云服务器秒杀 2核4G内存/2M带宽/50G云盘 1702元/3年

从上周开始的腾讯云服务器秒杀活动今天继续,刚刚有看到三款配置类型,其中最具有性价比的是2核4G内存/2M带宽/50G云盘,2折,广州区机房,1702元/3年(省...

2113
来自专栏FreeBuf

谷歌网络服务宕机,中国电信背锅

上周日,谷歌旗下的云服务、YouTube等网络服务在全球范围内均发生了数小时的宕机,外媒称因遭到来自中国电信IP的BGP劫持导致故障发生。虽然这次事件为中国电信...

792
来自专栏BeJavaGod

360:且用且珍惜!解决虚拟机linux启动缓慢以及ssh端卡顿的问题!

优化软件以及杀毒软件想必大家都是用过的,小编10多年前自用的第一台电脑自带安装的是金山毒霸,随着时间的偏移渐渐用过小红伞,卡巴斯基,优化大师,鲁大师到后来的36...

38711
来自专栏信安之路

逻辑漏洞之支付漏洞

顺丰宝存在支付逻辑漏洞,可以允许用户1元变1亿元。这个漏洞在其他网站很难存在,原因是页面交互都使用了对字段做签名。但是顺丰宝没做签名,导致支付金额可以被修改为任...

990

扫码关注云+社区