美國時間的10月21日清晨7點開始,美國Dynamic Network Service公司的DNS伺服器遭受了大規模分布式拒絕式服務(DDos:Distributed Denial of Service)攻擊,Dyn公司是美國的主要DNS服務商,DDos攻擊導緻Dyn的DNS解析服務癱瘓,使用者無法解析到目标網站的IP位址,引起Twitter、Tumblr、Spotify、Airbnb、Github、PayPal等衆多站點無法通路,美國國土安全局、FBI也開始調查此事。
DDos 攻擊是網際網路中常見的一種攻擊手段,黑客向某些伺服器、個人PC、智能裝置植入DDos攻擊程式後,控制所有機器同一時間對目标網站發起流量攻擊,被攻擊的網站瞬間帶寬被占用,正常使用者則無法通路,此次Dyn公司遭受的攻擊大量則來自物聯網裝置,日常生活中日益增多的智能裝置,被黑客利用其中的安全漏洞作為DDos攻擊中的殭屍電腦,攻擊方式簡單直接又野蠻粗暴,黑客作案成本低、門檻低,已經成為一條高度成熟的産業鍊。
目前國内提供域名授權解析服務主要的分為以下幾種類型,每種類型都有各自的優缺點,這裡主要談論解析安全相關問題。
授權DNS解析服務作為域名注冊商的附帶服務,一般隻提供基本的解析服務,不會或很少提供附加服務,典型如新網、易名中國等,目前是主要存在以下特點。
域名DNS受到攻擊時不能提供抗攻擊服務。
穩定性難以保證,DNS解析服務經常出現異常。
域名魚龍混雜,受攻擊可能性很高,可能會影響正規域名的解析。
非核心業務,受重視程度不夠,出現安全問題的響應不夠及時。
解析伺服器配置存在安全隐患,如開啟域傳送、any查詢等,容易造成内部資訊洩露或被利用作為反射放大攻擊。
企業和開發者們,如果是為重要的業務進行解析,盡量不要選擇這類型的DNS服務。
專注提供域名授權解析及相關服務的第三方企業,國内此類服務商騰訊雲DNSPod、新萬網解析、DNS.com、cloudxns等,此類企業因為專一性很高,是以針對DNS遇到的各類安全問題通常都有比較完善的解決方案,且有專業的DNS團隊來解決突發的安全問題。
以騰訊雲DNSPod為例,為近125萬使用者、1100萬域名提供服務,日處理DNS請求超過350億次,據統計,平均每日都會有超過30次的攻擊,并且曆經了各種類型的DNS攻擊,是以針對DNS遇到的各類安全問題通常都有比較完善的解決方案,且有專業的DNS團隊來解決突發的安全問題,下面介紹幾個典型案例:
和這次Dyn攻擊事件非常相似,當年由于暴風影音的DNS機制缺陷,解析失敗會無限重試,而且全國裝機量非常大,被DDos攻擊後遞歸DNS失敗,導緻營運商DNS被壓垮,南方大範圍斷網。
攻擊類型:DNS FLOOD、SYN FLOOD等;
首選政策:CNAME防護(主動探測)或IP重傳(被動探測);
備選政策:IP限速、域名限速、黑名單等。
攻擊類型:ANY/TXT/MX等記錄類型放大;
首選政策:源端口過濾、源IP過濾/限速;
備選政策:禁止any查詢、黑名單等。
全國範圍内的網絡異常,攻擊源有共同特征,包含大量物聯網裝置,和此次Dyn攻擊事件的攻擊源類似。
攻擊類型:随機子域名方式;
首選政策:域名響應限速、域名請求限速;
備選政策:機器學習過濾随機域名、停止泛解析、源IP限速等。
并且通過多年的防攻擊曆史經驗,騰訊雲DNSpood沉澱了豐富的技術方案:
自主研發第六代DNS伺服器(DKDNS),輔以強大的Intel 82599EB 10GE網卡和DPDK開發套件,單機測試最高性能達到了1820萬QPS,線上性能1100萬QPS,并以8台伺服器為一組組成了多個四層負載均衡叢集,專制各種DDoS。
針對DDos攻擊,建立了包括大帶寬、大規模分布式部署、專用防護裝置、多種針對性防護政策、高性能DNS服務處理程式在内的防護體系,針對同時多個域名攻擊支援高達200G的域名攻擊防護能力, 曆史處理域名攻擊峰值超過600G,針對單域名攻擊的DDoS防護能力超過1T。
宙斯盾防護系統全覆寫,并建立了多種專利防護算法,對不同的攻擊形式采用針對性的防護政策和算法。
目前規模較大、資源充足的公司會選擇自建DNS,僅供本公司業務使用,不會被其他域名的DNS攻擊影響,目前BIND(Berkeley Internet Name Domain)是目前世界上應用最為廣泛的開放源碼的DNS伺服器軟體。
關注DNS安全的開發者可能已經了解到,近期DNS伺服器軟體BIND的CVE-2016-2776漏洞被發現會導緻遠端拒絕式服務(Dos:Denial of Service)攻擊,上個月才得以修複,而利用該漏洞建構特定的通路卻能導緻BIND主程序的崩潰。是以自建DNS也有一定的安全風險,需要關注以下幾點:
增加基礎設施和安全設施的投入,增加帶寬,部署更多的防護裝置,以應對更大和更複雜的攻擊;
有條件的盡量開啟DNSSEC支援,防止被劫持和修改;
關閉域傳送,防止内部解析資訊洩露;
使用開源解析軟體的需要隐藏版本号和作業系統版本資訊等,盡量使用最新的穩定版本,減少受攻擊的可能性;
各地營運商的遞歸DNS設定通路地區限制,減少被利用進行攻擊的可能。
然而關鍵仍然是有自己的DNS維護團隊,進行專業的維護。
總結:DNS 行業正在面臨越來越嚴重的安全威脅,我們應積極采取措施進行應對,最後,仍然是需要完善法律法規,并對進行攻擊者加大打擊力度,必要時進行法律制裁。