【转】DNS之DDOS防护重要性---DNS原理篇“暴风”事件解密
【摘要】 ***。转自[网络安全] 【华安解密之DDoS攻防】01 DNS原理篇“暴风”事件解密 到DDoS攻击,就让人不由得想起7年前那场触目惊心的“519暴风断网”事件。这场灾难仿佛一阵飓风,瞬间席卷了中国互联网。暴风事件带来的巨大破坏性,不仅仅是在短短两个小时内让天津、北京、上海、河北、山西、内蒙古、辽宁、吉林、江苏、黑龙江、浙江、安徽、湖北、广西、广东等地区的DNS服务陆续瘫痪,导致用户不能正常上网
*** 。
转自[网络安全] 【华安解密之DDoS攻防】01 DNS原理篇“暴风”事件解密 说到DDoS攻击,就让人不由得想起7年前那场触目惊心的“519暴风断网”事件。这场灾难仿佛一阵飓风,瞬间席卷了中国互联网。暴风事件带来的巨大破坏性,不仅仅是在短短两个小时内让天津、北京、上海、河北、山西、内蒙古、辽宁、吉林、江苏、黑龙江、浙江、安徽、湖北、广西、广东等地区的DNS服务陆续瘫痪,导致用户不能正常上网,更为重要的是,众多黑客灵光一闪,开启了一种新的攻击模式。那次互联网灾难之后,DDoS攻击的编年史中出现了两个时代:一个是前暴风时代,一个是后暴风时代。 今天就和大家一起回顾一下“519暴风断网”事件。 事件回顾 失了一颗铁钉,亡了一个国家。一个馒头,引发一场血案。很多很多大事件,都是从微不足道的小事开始的。这一次,小人物再次改变了历史。 “暴风”这件事儿的起因是两个游戏私服互相竞争,来回发动DDoS攻击。在达不到预期效果的情况下,干脆直接向对方的域名服务器下手了。 5月18日开始,DNS服务提供商DNSPod的6台服务器开始受到攻击。 18日晚20点33分,在史无前例的大流量攻击下,DNSPod的6台服务器开始陆续失效,大量网站开始间歇性无法访问。第一波攻击的流量在21点30分左右达到高峰,流量超过了10Gbps。要知道那可是2009年,奥运会才开过一年,北京的房价还是可以接受的,一个电信核心机房的带宽最多也只有几十G。 18日当晚,由于DNSPod耗尽了整个机房近乎三分之一的带宽资源,为了不影响机房其他用户,DNSPod服务器被运营商下线。 如果事情到此为止,其实也不会造成多大的影响。可是发动攻击的黑客忘了,运营商的管理员也忘了,DNSPod并不仅仅为这个被攻击的网游私服提供域名解析服务,还支持数十万其他的网站,这其中就包括大名鼎鼎的暴风影音。普通用户遇到上网失败,试几次就放弃了;暴风影音软件的设计,使它在请求失败后持续不断地重新发起请求。再考虑到暴风影音巨大的装机量,悲剧发生了。 19日晚,由于DNSPod网络服务被中断,致使其无法为包括baofeng.com在内的域名提供域名解析服务,诸多采用DNSPod服务的网站无法访问,DNS请求涌向了本地DNS缓存服务器,DNS缓存服务终于顶不住了,发生了大面积的堵塞。 19日晚21点左右,浙江电信DNS缓存服务开始瘫痪,之后的两个小时内天津、北京、上海、河北、山西、内蒙古、辽宁、吉林、江苏、黑龙江、浙江、安徽、湖北、广西、广东等地区的DNS缓存服务器也陆续瘫痪。全国各省市出现大面积断网。 事件中涉及的几个关键角色 DNSPod DNSPod是国内最大的一家免费DNS解析服务提供商,暴风影音和前面恶性竞争的游戏私服都是DNSPod的客户。 运营商 由于中国特色的运营商市场,导致DNSPod这样的网络基础服务提供商无法独立承建数据中心,只能租用运营商IDC的机房和服务器资源。 暴风影音 影音软件起家,后来向媒体提供商转型。暴风影音软件中,有一项强制随机启动的名为stormliv.exe的进程,只要用户安装了暴风影音,该进程就会自动运行,并不断连接暴风影音网站,下载广告或升级。 私服与黑客 这个就很容易理解了,一个是为了一己私欲,策划这场攻击事件的背后指示者;一个是为了牟取暴利的攻击事件执行者。 从事件整个过程来看,一共有几个关键点: 1、游戏私服攻击竞争对手DNS服务,打蛇打七寸,间接攻击了整个DNSPod的业务。 2、运营商对DNSPod流量进行了阻断,粗暴的对流量进行了黑洞处理。 3、几亿安装了暴风影音客户端的PC充当“*** ”,导致运营商DNS缓存服务器无法提供服务,进而导致大面积断网。 如果把这次事件看成是“多米诺骨牌”效应,那被推倒的第一张“骨牌”是DNSPod服务器;第二张“骨牌”毫无疑问就是暴风影音充当“*** ”导致服务耗尽的运营商DNS缓存服务器;而第三张“骨牌”就是全国范围瘫痪的网络了。如果想深入理解这次互联网灾难,我们要先从DNS的基础知识讲起。 DNS服务器在网络中充当什么角色? 大家都知道,当我们在上网的时候,通常输入的是网址,其实这就是一个域名,比如www.vmall.com。这个域名就好比是餐馆的招牌,通常我们想要找一个餐馆,一般都会输入餐馆名称进行查找,而不是直接找XX街XX号。大家很难记住这个门牌号,而餐馆名称却很容易记住。 网络上的计算机彼此之间只能用IP地址才能相互识别,但是IP地址是一串数字,很难记忆,所有就有了域名。域名很容易被人们记住,我们上网的时候可以直接输入域名,计算机需要通过域名找到对应的IP地址,这就是域名解析的过程。 域名解析要由专门的域名解析系统(Domain Name System,简称DNS)来完成。在DNS系统中,涉及以下几种类型的服务器: 根服务器主要用来管理互联网的主目录,全世界只有13个根逻辑服务器节点。这13个节点其中10个设置在美国,另外各有一个设置于英国、瑞典和日本。虽然网络是无国界的,但服务器还是有国界的。所有根服务器均由美国政府授权的互联网域名与号码分配机构ICANN统一管理。 顶级域名服务器一般用于存储.com、.edu、.cn等顶级域名。 递归服务器也可理解为存储着官方域名解析授权的授权服务器,一般存储着这个网络中域名和IP地址的解析关系,也就是DNSPod充当的角色。试想一下,如果每个上网用户在上网的时候都向授权服务器发送请求,那授权服务器必然承受不住,所以就有了缓存服务器存在的必要。 缓存服务器就相当于是授权服务器的一个代理,可以缓解授权服务器的压力。我们每次上网的时候,域名解析的请求都是发给缓存服务器的,缓存服务器第一次收到用户请求的时候,会向授权服务器请求域名和IP地址的解析表,然后储存在本地,等后续再有用户请求相同的域名时,就会直接答复,不再请求。毕竟一个网站的IP地址不是经常变换的。当然,这个解析表是有一定的有效期的,等有效期到了,这个解析表就会自动老化,等下次有用户请求时重新向授权服务器询问。这个定期老化机制,可以保证缓存服务器上域名解析的定期更新。 1、 DNS客户端查询通常采用递归方式,缓存服务器首先会判断本地是否有这个域名的解析缓存。 2、 如果本地没有缓存,就会把域名发送到根服务器。根服务器收到www.vmall.com请求后,会判断.com是谁授权管理,并返回.com所在的顶级域名服务器IP地址。 3、 缓存服务器继续向顶级域名服务器发送www.vmall.com解析请求,顶级域名服务器收到请求后,会返回下一级.vmall.com的递归服务器IP地址。 4、 缓存服务器继续向递归服务器发送www.vmall.com解析请求,递归服务器收到请求后,返回www.vmall.com的解析地址。如果域名层级较多,则递归服务器也会存在多级。 5、 缓存服务器得到www.vmall.com的解析IP地址后,将IP地址发送给客户端,同时在本地缓存。 6、 后续一段时间内,当有客户端再次请求www.vmall.com这个域名解析时,缓存服务器直接回应解析的IP地址,不再重复询问。 针对关键环节解决方案思路: 我们继续回到暴风影音这件事上。运营商对DNSPod采用的是粗暴式的黑洞处理,显然这种方式是不行的,直接影响了其他域名的解析业务。 1、DNS递归(授权)服务缺少有效的保护,运营商IDC和SP缺少应用层清洗能力,可以针对应用层流量进行攻击流量的识别和针对性清洗。 2、DNS缓存服务缺少有效的保护,DNS缓存服务缺少对于特定域名的限速,以及异常流量中有针对性的清洗攻击流量,转发正常流量的能力。 华为专业Anti-DDoS解决方案怎么做? 华为Anti-DDoS专业防御系统支持对DNS服务器提供精细化的防御。精细化的意思就是针对不同的DNS服务器、不同的攻击类型、不同的应用场景,提供不同的防御手段。华为Anti-DDoS针对这次事件可以从两方面进行部署。 授权服务器防护 DNSPod服务器的防护可以作为第一道防线。对于DNSPod服务器,由于它所遭受的攻击其实都是僵尸主机发送的DNS query,属于虚假源攻击,所以可以采用重定向方式进行防御。 缓存服务器防护 如果DNSPod服务器不幸沦陷了,那还可以通过保护DNS缓存服务器,作为阻止事件继续恶化的第二道防线。 DNS缓存服务器和DNSPod服务器所遭受的攻击不同,毕竟暴风影音用户都是真实存在的源,属于真实源攻击,源认证防御方式对这种真实源无效, 所以可以这么做: 1、 首先,Anti-DDoS支持针对DNS服务的TopN统计,并提供报表。从报表中,可以获知访问最多的Top N域名,在这么大的访问量下,暴风影音一定是名列前茅的。 2、 然后,针对被攻击域名进行指定域名限速,即对暴风影音的域名进行限速。 这样就可以避免其他域名服务受影响,也不会导致DNS缓存服务器瘫痪。 域名作为广大民众访问互联网的起点和入口,是全球互联网通信的基础。域名解析系统作为承载全球亿万域名正常使用的系统,是互联网的基础设施。而域名系统又是一种公开服务,很容易被黑客作为攻击的对象。域名系统的故障会导致互联网陷入瘫痪,所以保护域名系统也变得至关重要。 “暴风影音”事件的第二阶段,也就是DNS缓存服务器拒绝服务,导致大面积Internet接入瘫痪,才是本次攻击的威力点。这个结果虽然不是攻击者的本意,但是一连串的连锁反应,使它成为DDoS史上具有里程碑意义的关键事件。它给了DDoS攻击者新的方向,如何利用庞大的网络基础设施架构产生更大、更真实的DDoS攻击。后面的NTP反射攻击,搜狐视频签名嵌入式攻击等都是源于这个思路,它开启了DDoS攻击的新*** 。 |
【版权声明】本文为华为云社区用户转载文章,如果您发现本社区中有涉嫌抄袭的内容,欢迎发送邮件进行举报,并提供相关证据,一经查实,本社区将立刻删除涉嫌侵权内容,举报邮箱:
cloudbbs@huaweicloud.com
- 点赞
- 收藏
- 关注作者
评论(0)