美國半個互聯網癱瘓對開發者使用DNS的啓發

版權聲明：本文由騰訊雲DNSPod團隊原創文章，轉載請註明出處: 
文章原文連接：https://www.qcloud.com/community/article/174

來源：騰雲閣 https://www.qcloud.com/community

 

美國時間的10月21日清晨7點開始，美國Dynamic Network Service公司的DNS服務器遭受了大規模分佈式拒絕式服務（DDos：Distributed Denial of Service）攻擊，Dyn公司是美國的主要DNS服務商，DDos攻擊致使Dyn的DNS解析服務癱瘓，用戶沒法解析到目標網站的IP地址，引發Twitter、Tumblr、Spotify、Airbnb、Github、PayPal等衆多站點沒法訪問，美國國土安全局、FBI也開始調查此事。

來自智能設備的DDos攻擊

DDos攻擊是互聯網中常見的一種攻擊手段，黑客向某些服務器、我的PC、智能設備植入DDos攻擊程序後，控制全部機器同一時間對目標網站發起流量攻擊，被攻擊的網站瞬間帶寬被佔用，正經常使用戶則沒法訪問，這次Dyn公司遭受的攻擊大量則來自物聯網設備，平常生活中日益增多的智能設備，被黑客利用其中的安全漏洞做爲DDos攻擊中的肉雞，攻擊方式簡單直接又野蠻粗暴，黑客做案成本低、門檻低，已經成爲一條高度成熟的產業鏈。

各種型DNS服務的防攻擊能力

目前國內提供域名受權解析服務主要的分爲如下幾種類型，每種類型都有各自的優缺點，這裏主要談論解析安全相關問題。

一.域名註冊商附帶DNS

受權DNS解析服務做爲域名註冊商的附帶服務，通常只提供基本的解析服務，不會或不多提供附加服務，典型如新網、易名中國等，目前是主要存在如下特色。

• 域名DNS受到攻擊時不能提供抗攻擊服務。
• 穩定性難以保證，DNS解析服務常常出現異常。
• 域名魚龍混雜，受攻擊可能性很高，可能會影響正規域名的解析。
• 非核心業務，受重視程度不夠，出現安全問題的響應不夠及時。
• 解析服務器配置存在安全隱患，如開啓域傳送、any查詢等，容易形成內部信息泄露或被利用做爲反射放大攻擊。
  企業和開發者們，若是是爲重要的業務進行解析，儘可能不要選擇這類型的DNS服務。

二.專業域名解析服務提供商

專一提供域名受權解析及相關服務的第三方企業，國內此類服務商騰訊雲DNSPod、新萬網解析、DNS.com、cloudxns等，此類企業由於專注性很高，因此針對DNS遇到的各種安全問題一般都有比較完善的解決方案，且有專業的DNS團隊來解決突發的安全問題。
以騰訊雲DNSPod爲例，爲近125萬用戶、1100萬域名提供服務，日處理DNS請求超過350億次，據統計，平均每日都會有超過30次的攻擊，而且歷經了各類類型的DNS攻擊，因此針對DNS遇到的各種安全問題一般都有比較完善的解決方案，且有專業的DNS團隊來解決突發的安全問題，下面介紹幾個典型案例：

常規DDos攻擊：2009年5.19斷網

和此次Dyn攻擊事件很是類似，當年因爲暴風影音的DNS機制缺陷，解析失敗會無限重試，並且全國裝機量很是大，被DDos攻擊後遞歸DNS失敗，致使運營商DNS被壓垮，南方大範圍斷網。
攻擊類型：DNS FLOOD、SYN FLOOD等
首選策略：CNAME防禦（主動探測）或IP重傳（被動探測）
備選策略：IP限速、域名限速、黑名單等

DNS反射放大攻擊：2013.3.19 歐洲反垃圾郵件組織Spamhaus攻擊

攻擊類型：ANY/TXT/MX等記錄類型放大
首選策略：源端口過濾、源IP過濾/限速
備選策略：禁止any查詢、黑名單等

遞歸DNS反射放大攻擊：2014.12.10-12.12 國內遞歸DNS被大規模攻擊

全國範圍內的網絡異常，攻擊源有共同特徵，包含大量物聯網設備，和這次Dyn攻擊事件的攻擊源相似。
攻擊類型：隨機子域名方式
首選策略：域名響應限速、域名請求限速
備選策略：機器學習過濾隨機域名、中止泛解析、源IP限速等

而且經過多年的防攻擊歷史經驗，騰訊雲DNSpood沉澱了豐富的技術方案：

• 自主研發第六代DNS服務器（DKDNS），輔以強大的Intel 82599EB 10GE網卡和DPDK開發套件，單機測試最高性能達到了1820萬QPS，線上性能1100萬QPS，並以8臺服務器爲一組組成了多個四層負載均衡集羣，專制各類DDoS。
• 針對DDos攻擊，創建了包括大帶寬、大規模分佈式部署、專用防禦設備、多種針對性防禦策略、高性能DNS服務處理程序在內的防禦體系，針對同時多個域名攻擊支持高達200G的域名攻擊防禦能力， 歷史處理域名攻擊峯值超過600G，針對單域名攻擊的DDoS防禦能力超過1T
• 宙斯盾防禦系統全覆蓋，並建立了多種專利防禦算法，對不一樣的攻擊形式採用針對性的防禦策略和算法

三.企業自建DNS

目前規模較大、資源充足的公司會選擇自建DNS，僅供本公司業務使用，不會被其餘域名的DNS攻擊影響，目前BIND（Berkeley Internet Name Domain）是目前世界上應用最爲普遍的開放源碼的DNS服務器軟件。
關注DNS安全的開發者可能已經瞭解到，近期DNS服務器軟件BIND的CVE-2016-2776漏洞被發現會致使遠程拒絕式服務（Dos：Denial of Service）攻擊，上個月才得以修復，而利用該漏洞構建特定的訪問卻能致使BIND主進程的崩潰。因此自建DNS也有必定的安全風險，須要關注如下幾點：

• 增長基礎設施和安全設施的投入，增長帶寬，部署更多的防禦設備，以應對更大和更復雜的攻擊。
• 有條件的儘可能開啓DNSSEC支持，防止被劫持和修改
• 關閉域傳送，防止內部解析信息泄露
• 使用開源解析軟件的須要隱藏版本號和操做系統版本信息等，儘可能使用最新的穩定版本，減小受攻擊的可能性。
• 各地運營商的遞歸DNS設置訪問地區限制，減小被利用進行攻擊的可能。
  然而關鍵仍然是有本身的DNS維護團隊，進行專業的維護。

總結：DNS行業正在面臨愈來愈嚴重的安全威脅，咱們應積極採起措施進行應對，最後，仍然是須要完善法律法規，並對進行攻擊者加大打擊力度，必要時進行法律制裁。