月度归档:2014年05月

脆弱的DNS,已然成被锁定的主要网络攻击目标

信息安全威胁的面相当广泛,受到黑客侵入、服务器或员工电脑遭恶意软件感染、机密数据被窃,只是其中几种常见的方式,然而,当前企业IT在日常运维的工作上,更恐惧却也可能经常面临的威胁是分布式服务阻断攻击(DDoS),因为一旦你的对外网络、应用服务器遭受到这样的攻击时,将无法正常运作。

建议站长尽可能使用国内专业服务商提供的DNS服务,如dnsdun等,以保证站点的稳定解析。

DDoS攻击并不是这几年才出现的威胁,但过去锁定的目标除了是瘫痪目标的网络基础设施之外,在应用层的攻击对象大多是网站服务器,近年来针对域名系统(DNS)的攻击比例也开始显著提升,并且跃居第二大攻击目标。

 利用DNS的特性,黑客即能以低成本发动巨大流量瘫痪目标网络

要理解DDoS的攻击原理其实不难,有人提出相当贴切的比喻:当你想要瘫痪一家公司的客服专线服务时,只需要号召一定规模的人数拨打电话过去捣蛋,就可能有机会彻底占据对方的通讯线路,并使客服专线处于忙碌到无法服务到其他正常使用者来电的状态。

一般而言,DDoS攻击所针对的目标,主要是网络基础架构,最常见的攻击方式包括:以利用TCP联机三向交握通讯模式的漏洞来发动TCP SYN洪水攻击,以及利用不需三向交握就能传送的UDP封包洪水攻击,还有以伪造来源IP地址发送大量ICMP封包给目的IP地址的ICMP洪水攻击,这些都是属于针对网络第三层的攻击;另外,针对网络第7层的应用服务,黑客也经常针对网站服务器的存取,来发动大量下载行为的HTTP GET洪水攻击。透过这些方式,攻击者可消耗殆尽对方的网络带宽或处理器资源,瘫痪对方提供的网络服务。

这种情况至今仍然继续,但值得注意的是,从2012年第三季开始,运用DNS的洪水攻击开始逐渐增加,根据DDoS防护产品的厂商Prolexic的年度DDoS攻击报告来看,DNS攻击的比例在去年第4季达到史上最颠峰,达到9.58%。在另一家DDoS防护产品厂商Arbor Networks的全球2013年度基础架构安全报告中,也有类似的观察,他们发现有10%的DDoS大量攻击是来自UDP 53埠。而且,DNS这项网络服务所运用的通讯端口,仅次于最常被攻击的HTTP网站服务所采用的80埠(29%)。

在负载平衡与网络设备商Radware提出的全球应用系统与网络安全2013年度报告中,呼应了这样的趋势,从2012年开始到2013年,将DNS作为攻击目标的比例逐渐超越了SMTP,成为应用层DoS/DDoS攻击的第二大面向(2011年两者的比例平分秋色,都是9%,SMTP到2013年才略微提升到11%),而且领先幅度越来越大,在2013年升高到21%,与网站受到这类攻击的比例越来越接近(27%)。

而在Arbor Networks对于应用层DDoS攻击的统计分析中,也看到DNS以77%的高比例,赢过HTTPS(54%)成为第二大目标,而且仅次于HTTP(82%),至于SMTP只有25%,挤不上前三名。

针对DNS网络服务的DDoS攻击能在几年内快速崛起,跟采用特定DNS攻击手法有很大的关系,其中,最主要的就是利用放大(Amplification)或折射(Reflection)方式所产生的巨量DDoS攻击,最广为人知。例如去年3月发生震撼全球的巨量DDoS攻击事件,产生高达300Gbps的网络攻击流量,针对的目标是反垃圾邮件组织Spamhaus,当时就是利用这种方式,发动了折射式的分散阻断服务攻击(Distributed Reflection Denial of Service,DRDoS)。

值得一提的是,这种放大∕折射攻击的手法在今年有新的呈现。有人利用NTP网络校时协议发动了DDoS的放大攻击,所产生的网络流量高达400Gbps,在相隔近一年的短暂时间内,居然又打破了先前攻击Spamhaus所创下的历史纪录。

DNS攻击绑架大量用户网络联机,Google也是受害者之一

在DNS这个网络服务上,除了以「量」为主体的攻击模式,还有针对DNS权威服务器(Authoritative DNS Servers)、DNS服务器递归查询(Recursive DNS Servers)的攻击方式,以及设法在DNS快取数据内下毒(DNS Cache-Poisoning Attacks)的手法。以DNS快取下毒这种攻击模式来说,黑客所攻击的是负责提供DNS快取服务的中继服务器,入侵里面的系统,并且伪造了特定域名的IP地址记录,结果让用户连到攻击者所设立的服务器,以达到窃取机密的目的,这实现了中间人攻击。而在Arbor Network的报告中,有2到3成比例的使用单位表示在2013年经历过上述的DNS攻击。

去年有哪些重大安全事件,跟这些DNS攻击方式有关?8月底,发生纽约时报和Twitter受到叙利亚电子军(Syrian Electronic Army,SEA)所发动的DNS攻击,但对方是先侵入DNS服务供货商Melbourne IT──这样的公司也就是所谓的域名注册商(registrars),并窜改了DNS服务器的NS记录(这是一个将域名解析由特定DNS服务器执行的设定),将权威DNS服务器改为叙利亚电子军的DNS服务器,随后,各地存取这两个网站的流量就被导向到叙利亚电子军设立的恶意网站。

更早几年,Twitter在2009年12月也曾遭到伊朗网军(Iranian Cyber Army)发动的DNS攻击,对方是透过窜改DNS记录,以便将用户存取该网站的网络流量,能重新导向到他们控制的服务器,也就是攻下DNS权威服务器(Authoritative DNS takeovers)。

今年1月,国内也出现大规模网站无法存取的事件,原因是DNS被劫持。当地用户连到许多以.com与.net为域名的网站时,会被导引到美国Dynamic Internet Technologies公司的IP地址。

3月初,全球网络巨擘Google也面临重大的DNS攻击。他们提供给大众的公用DNS服务器8.8.8.8,遭到DNS劫持(DNS Hijacking)的状况长达22分钟,当时所有使用该DNS服务的网络流量都被绑架,传到巴西和委内瑞拉境内。

隔没多久,3月底、4月初Google DNS服务又发生遭到土耳其网络供货商的拦截事件。对方设立了DNS服务器假装是Google DNS,挟持当地人民的网络联机使用假冒的Google DNS。

整体而言,DNS攻击事件未来仍将不断发生,而且遭遇的频率将越来越频繁,又很难预防与实时反应。因为大部分现行的许多网络存取行为,像是网页浏览、行动装置的App运作、云端服务的协同运作,背后都需仰赖DNS来查询不同网址所代表的IP地址,进而连接后端服务器执行系统的操作。

Google软件工程师Steven Carstensen表示,DNS就像是一本电话簿或通讯簿,能够让你找到联络人的号码一样,如果有人用另一本电话簿偷偷取代原有那一本,而且看起来一模一样,但里面的内容已经变造,你可能就因此无法跟朋友联络。

这显示了DNS这项网络服务相当脆弱,似乎要操控、挟持的难度并不高,而且,不论你是身为Twitter、Google这样拥有顶尖技术能力和人才的网络公司,都无法在这样的威胁下幸免于难。

  历年来全球发生重大DNS攻击事件簿

2009年 12月,Twitter因为域名注册商的DNS记录被黑客窜改,而受到挟持,网站受到影响1小时。

2010年 中国百度网站出现无法存取的状况,主要是因为DNS记录被窜改,该站所用的域名baidu.com在美国域名注册商处,遭到伊朗网军非法篡改,瘫痪时间约11个小时。

2011年 巴西几个主要的网络服务业者发生大规模DNS快取下毒攻击,影响高达7300万台电脑,以及3、4百万用户。

2012年 Go Daddy遭DDoS攻击,该业者在美国地区的DNS服务器受到影响。

2013年 纽约时报和Twitter因为DNS服务商Melbourne IT遭叙利亚电子军入侵,所属域名记录被窜改,存取该网站的流量重新导引到攻击者设计的网站。

2014年 Google DNS遭到DNS绑架攻击,部分流量被重导至巴西和委内瑞拉。土耳其网络供货商拦截流量,并设立服务器假冒Google DNS,管制言论自由。

dnsdun升级监控,支持ping监控了!

 

dnsdun升级监控,支持ping监控了! 下图为ping监控设置。(注意:服务器允许ping)

monitor01

上图参数3是表示ping 3次,可根据情况自行修改。

 

服务器如果禁了PING可以选择web监控,下图为web监控设置。

monitor

包含内容:一般用于WEB监控,设置了可以提高监控精确度,如果不填则按HTTP状态码来判断。

间隔时间:表示多久监控一次,可按需要自行调节。

故障动作:

不处理:如果监控到服务器有故障,不进行任何处理;
暂停:如果监控到服务器有故障,暂停这条记录的解析。
自动切换:如果监控到服务器有故障,则自动切换到切换主机上设置的解析。

是否启用:表示设置的监控是否启用。

监控名称:一般不填,特殊情况下才设置,相同的监控名称会动作联动。(比如,一条记录暂停了,相同名字的记录都会暂停。)

百度:当心dns服务器不稳导致站点被屏蔽

百度平台公告:对于站点不稳定,无法ping通,死站点等情况,百度搜索引擎将对其进行屏蔽,此举也意在提升用户体验,让用户更有效的浏览网页。

各位媒体朋友:

针对近期经常出现的网站从百度网页搜索消失,通过site查询发现连通率为0的问题百度发出如下公告:

近期百度站长平台收到多个反馈,称网站从百度网页搜索消失,site查询发现连通率为0。

经追查发现这些网站都使用godaddy的DNS服务器 *.DOMAINCONTROL.COM,此系列DNS服务器存在稳定性问题,Baiduspider经常解析不到ip,在Baiduspider看来,网站是死站点。

此前我们也发现过多起小dns服务商屏蔽Baiduspider解析请求或者国外dns服务器不稳定的案例。

建议站长尽可能使用国内大型服务商提供的DNS服务,如dnsdun等,以保证站点的稳定解析。

怎样用DNSDUN做负载均衡

什么是负载均衡?

在大型的网络应用中,使用多台服务器提供同一个服务是常有的事。平均分配每台服务器上的压力、将压力分散的方法就叫做负载均衡。
[利用DNSDUN来实现服务器流量的负载均衡,原理是“给网站访问者随机分配不同ip”]

什么情况下会用到负载均衡?

如果你有多台服务器,需要将流量分摊到各个服务器,那就可以利用DNSDUN来做负载均衡。

怎样设置和使用负载均衡?

下图的例子是:有2台联通服务器、2台电信服务器,要实现“联通用户流量分摊到2台联通服务器其他用户流量分摊到电信服务器”这个效果的设置

负载均衡设置

负载均衡设置

为什么提示“域名DNS还未修改”

新添加的域名,需要到域名所在注册商把DNS指向DNSDUN。
当前域名的NS记录,可以在当前域名的管理页面查看。

DNSDONOT

新修改域名DNS指向DNSDUN的域名,虽然DNSDUN服务器的生效时间是实时的,但因各地ISP服务商刷新域名DNS的时间不一致,所以导致解析在全球生效一般需要0–48小时哦,请您耐心的等待。

什么是域名解析的SRV记录

它是DNS服务器的数据库中支持的一种资源记录的类型,它记录了哪台计算机提供了哪个服务这么一个简单的信息
SRV 记录:一般是为Microsoft的活动目录设置时的应用。DNS可以独立于活动目录,但是活动目录必须有DNS的帮助才能工作。为了活动目录能够正常的 工作,DNS服务器必须支持服务定位(SRV)资源记录,资源记录把服务名字映射为提供服务的服务器名字。活动目录客户和域控制器使用SRV资源记录决定 域控制器的IP地址。 s>XAbT:M

SRV记录功能包括(基于它们在DNS控制台的分组)
‘  _MSDCS。这个分组中,SRV记录是根据它们的状态来收集的。各种状态包括DC、域调用、GC以及PDC。DC和GC按站点来划分,这样一来,AD客 户端就能快速的知道去哪里寻找本地服务。“域调用”用于支持复制。每个DC都获得了一个GUID,它会在调用复制时用到。PDC条目包含了被设定为PDC 模拟器的DC的SRV记录。
‘ _SITES。站点代表的是一个高速连接区域,根据DC的站点从属关系来建立了DC索引之后,客户端就可以检查_SITES来寻找本地服务,而不必通过WAN来发送它们的LDAP查询请求。标准LDAP查询端口是389,全局编录查询则使用3268。
‘ _TCP。在这个分组中,收集了DNS区域中的所有DC。如果客户端找不到它们特定的站点,或者具有本地SRV记录的任何DC都没有响应,需要寻找网络中其他地方的DC,就应该将这些客户端放到这个分组中。
‘ _UDP。Keberos v5允许客户端使用“无连接”服务来获取票证并更改密码。这是通过与相同服务的TCP端口对应的UDP端口来完成的。具体说,票证交换使用UDP的88端口,而密码更改使用464

谁会注册SRV记录:所有的DC与GC在生成的时候就会找到DNS服务器注册自己的SRV记录

对客户有什么意义:用户只需要知道要在哪个域去寻找提供什么服务的计算机,而无须知道目标的FQDN,就可以找到服务器并获得其IP