《云端架构之道》:DNS缓存污染与“域名无忧”服务

举报
云计算那些事儿 发表于 2019/09/08 11:52:54 2019/09/08
【摘要】 上一篇文章,我们了解到DNS的多级缓存机制,这种缓存机制保证了域名解析的高效性。· 01 ·DNS缓存污染缓存虽然能够提高域名解析速度,但是也带来一定的安全性。如果有黑客通过恶意伪造身份、利用系统漏洞等方式,获取了Local DNS服务器的域名解析缓存记录的控制权,进而修改域名解析结果,把域名指往伪造的IP地址或者域名,伪造的IP地址既可以是无效的也可以是精心伪装的***网站,从而实现窃取资...
上一篇文章,我们了解到DNS的多级缓存机制,这种缓存机制保证了域名解析的高效性。



· 01 · DNS缓存污染


缓存虽然能够提高域名解析速度,但是也带来一定的安全性。如果有黑客通过恶意伪造身份、利用系统漏洞等方式,获取了Local DNS服务器的域名解析缓存记录的控制权,进而修改域名解析结果,把域名指往伪造的IP地址或者域名,伪造的IP地址既可以是无效的也可以是精心伪装的***网站,从而实现窃取资料或者破坏原有正常服务的目的。
这种恶意修改DNS服务器域名解析缓存记录的行为,被称为DNS缓存污染,又称为DNS缓存投毒(DNS cache poisoning)。
下图除了展示了Local DNS的某些缓存解析记录被污染,还包括权威服务器被DDOS攻击,分区记录被篡改,或者管理员配置失误,导致域名解析错误,这些错误也可能会被传染到到Local DNS服务器的缓存。


640?wx_fmt=png&tp=webp&wxfrom=5&wx_lazy=1&wx_co=1




· 02 ·DNS缓存生存期



TTL(Time-To-Live),指域名解析记录在DNS服务器中的存留时间,目前超过六成的顶级域名的 TTL 值被设定在24小时以上。


在生存期内,虚假的域名解析结果保存在缓存中,除非经过了大于一个TTL的时间,或者经手工刷新DNS缓存,虚假的记录会一直存在下去,并且受污染的DNS服务器,还具有传染性。


DNS污染具有暂时性,过了TTL周期,如果不进行再污染,污染就会消失。




· 03 ·DNS安全形势



域名解析是互联网的基石,一旦解析错误,造成的后果极其严重。


案例1:2009年巴西最大银行Bandesco,曾遭受DNS缓存病毒攻击,成为震惊全球的“银行劫持案”,1%用户被***;


案例2:2010年1月,百度被自称是伊朗网军Iranian Cyber Army的黑客组织入侵,导致网民无法正常登陆百度网站达8小时;


案例3:2015年4月,联想集团海外网站DNS解析异常,导致海外业务访问受阻长达5小时;


案例4:2018年1月14日,黑客劫持了BlackWallet.com的DNS服务器,并从用户帐户中窃取了超过40万美元。



· 04 ·DNS缓存污染解决方案




一般来说,普通用户可以通过手动更换 DNS 服务器为公共DNS解决
公共DNS 是一种面向大众的免费的 DNS 互联网基础服务可以在一定程度上加快域名解析速度、防止 DNS劫持、加强上网安全,还可以屏蔽大部分运营商的广告。
下面列出几个目前常用的 公共DNS服务器地址:


名称

DNS 服务器 IP 地址

OpenerDNS

42.120.21.30


阿里 AliDNS

223.5.5.5

223.6.6.6

V2EX DNS

199.91.73.222

178.79.131.110

CNNIC SDNS

1.2.4.8

210.2.4.8

114 DNS

114.114.114.114

114.114.115.115

Google DNS

8.8.8.8

8.8.4.4

OpenDNS

208.67.222.222

208.67.220.220


对于大客户来说,一般不会选用更换公共DNS的办法,因为即使是公共DNS,也不能保证不出现DNS安全问题,而且没有SLA保证。通常会选择商用的DNS安全防护服务。


比如像中国电信构建的分布式的DNS网络,在全国各个城市都有DNS服务器,而且一般都是采用高可用,多DNS服务器的方式。其安全性和性能要高于普通的公共DNS服务器。基于电信的DNS网络,天翼云提供了“域名无忧”的云服务。主要是解决DNS缓存污染带来的安全问题。其特点如下:

1、快速实现电信全网DNS与源站权威DNS的数据同步;

2、探针主动监测,覆盖电信31省,一旦发现域名异常,快速告警(短信、微信、自服务等);

3、秒级修复,不受限于TTL, DNS缓存秒级刷新,不过目前只能针对电信的DNS服务器。

640?wx_fmt=png&tp=webp&wxfrom=5&wx_lazy=1&wx_co=1




*原创文章,禁止转载,如需引用,需征求作者同意,并注明出处。


作者:老刘论道

标签:二十年IT从业经验,资深培训师/项目管理师/云计算架构师/数据库达人

640?wx_fmt=png&tp=webp&wxfrom=5&wx_lazy=1&wx_co=1        640?wx_fmt=png&tp=webp&wxfrom=5&wx_lazy=1&wx_co=1

       作者微信号               公众号:云计算那点事儿



【版权声明】本文为华为云社区用户原创内容,转载时必须标注文章的来源(华为云社区)、文章链接、文章作者等基本信息, 否则作者和本社区有权追究责任。如果您发现本社区中有涉嫌抄袭的内容,欢迎发送邮件进行举报,并提供相关证据,一经查实,本社区将立刻删除涉嫌侵权内容,举报邮箱: cloudbbs@huaweicloud.com
  • 点赞
  • 收藏
  • 关注作者

评论(0

0/1000
抱歉,系统识别当前为高风险访问,暂不支持该操作

全部回复

上滑加载中

设置昵称

在此一键设置昵称,即可参与社区互动!

*长度不超过10个汉字或20个英文字符,设置后3个月内不可修改。

*长度不超过10个汉字或20个英文字符,设置后3个月内不可修改。