DNS 攻击防护博弈,大型 DNS 攻击防护解析

2016-09-18 08:31:32 +08:00
 SeedMssP

DNS 作为互联网的基础设施之一,同时也是 DDoS 攻击高危受害者。

DNS 能够为域名提供解析服务,一旦 DNS 服务器瘫痪就会导致域名解析失效。

而黑客常用的 DDoS 攻击手段有 Volume ​流量型,以及 Application 应用型。

​ Volume ​流量型分为: SYN , ACK , RST , PSH , UDP , ICMP , Fragment

​ Application 应用型分为: Http(s) Post/Get , Port Connection , DNS Query ,游戏假人

而黑客攻击一个目标的时候基本上会采用最简单有效的方式攻击,通常域名的权威 DNS 服务器也是目标​之一。

由于 DNS 攻击易攻难守,而 1Gbps 带宽可以发起大量的 DNS 递归查询,这个时候如果您的域名 DNS 服务商无法为大量的 DNS Query 提供快速有力的 Response ​,那么很可能 DNS 服务商会为了保全其他客户域名解析而将您的域名封禁,这样攻击者的目的就达到了,您的域名将无法正确解析出 IP 等纪录。

不少朋友会说 DNS 防护其实不难,然后给出了如下的解决方案:

将 UDP 协议丢弃转 TCP 协议,如果客户端会重传 TCP 那么就将这个客户端 IP 地址放行并加入白名单。

​这个方法针对肉鸡直接对 DNS 服务器发起的查询攻击效果会比较好,但是误杀率会非常高,因为考虑到递归服务器不支持该方式,并且部分客户端也不支持该方式的情况下会对递归服务器和客户造成误杀,如果将递归 DNS 加入黑名单,那么该 DNS 服务器下的所有域名都无法被加入黑名单的递归服务器获取到解析记录。

大部分运营商都有自己的递归服务器来加速和缓存域名解析,所以千万不能将递归服务器拦截,否则后果很严重。

讲到这里黑客也是很聪明的,由于黑客知道递归服务器的重要性,于是黑客将 DNS 攻击放在递归服务器上进行,黑客获取用户采用的公共 DNS 服务器,然后将您的域名通过公共解析服务器疯狂查询(DNS Query),而此时权威 DNS 服务器上收到的都是来自递归服务器的 DNS 查询,如果攻击者拥有的肉鸡数量比较庞大的情况下,每秒发动数百万次和数千万次 QPS 的 DNS 查询攻击也不足为奇,而传统的 DNS 服务器很难支撑如此大量的 DNS 查询请求,并且需要权威 DNS 服务器拥有数百 Gbps 的带宽。

DNS 递归查询攻击 DNS 递归查询攻击

​针对 DNS 递归查询攻击, SeedMssP 采用了 Anycast 分布式的解决方案,在全球部署数十个 DNS 流量清洗中心,将 DNS 流量进行全球负载均衡,减少单点 DNS 故障。

同时针对来自 DNS 递归服务器的 DNS 查询攻击, SeedMssP 将 DNS 协议栈在 V-ADS 中实现, V-ADS 能够允许用户在遭受 DNS 攻击的时候在 V-ADS 中提交被攻击域名的 DNS 记录并由 V-ADS 直接缓存,如果攻击者通过查询不存在的域名解析记录来攻击的话,那么 V-ADS 会直接拦截;如果攻击者对存在的解析记录疯狂请求, V-ADS 会直接命中 DNS 高速缓存,实现 DNS 服务器的高性能防护!

总结: DNS 防护无非围绕着对 DNS 协议的高性能处理,唯有掌握了 DNS 高性能处理才可以在 DNS 遭受攻击的情况下依然保持良好的用户体验!

3970 次点击
所在节点    云计算
10 条回复
aveline
2016-09-18 08:38:57 +08:00
于是来个 NS 测测看?贵司官网也还是用的 DNSPod 免费版嘛 ...
qcloud
2016-09-18 09:04:46 +08:00
@aveline 😂这样打脸真的好吗。。
SeedMssP
2016-09-18 09:20:14 +08:00
@aveline 10 月上线,现在产品都还没上线,还在 Beta ,上线后会提供 30 天的免费试用
flily
2016-09-18 11:09:33 +08:00
从对攻击的描述上看,贵司没见过 DDoS 啊
SeedMssP
2016-09-18 11:23:20 +08:00
@flily 通俗的描述一下 DDoS ,因为 DDoS 下手方式太多,简单拿一个 DNS 作为例子。
Ellison
2016-09-18 11:28:44 +08:00
@aveline
@flily 我就服你们这些上来就打脸的
SeedMssP
2016-09-18 11:32:07 +08:00
@flily 上面的图片不属于递归查询的图片,映入了一张 DNS 放大,所以这里的错误我在这里纠正下,没仔细看图片就上传了
usernametoolong
2016-09-18 14:09:55 +08:00
@aveline 小学生时常让老司机翻车。
akw2312
2016-09-20 09:50:35 +08:00
然而直接 Layer 4 直接 udp 打過去你們能抗的住嗎 2333
SeedMssP
2016-09-20 14:20:32 +08:00
@akw2312 没问题,上线后欢迎来测试。

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/306869

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX