作者:Infoblox基础设施副总裁CricketLiu
【慧聪通信网】针对DNS的DDoS(分布式服务)现已成为比较常见的极具力的互联网方式之一:
今年1月,国内出现大规模网站无法存取的事件,原因是DNS被劫持。当地用户连到许多以与为域名的网站时,会被导引到美国DynamicInternetTechnologies公司的IP地址。
3月初,谷歌提供给大众的公用DNS服务器8.8.8.8,遭到DNS劫持的持续时间长达22分钟,当时所有使用该DNS服务的网络流量都被,传到巴西和委内瑞拉境内。
3月底、4月初,谷歌DNS服务又发生遭到土耳其网络供货商的拦截事件。对方设立了DNS服务器是谷歌DNS,挟持当地的网络联机使用假冒的谷歌DNS。
总体而言,DNS事件未来仍将不断发生,而且的频率将越来越频繁,又很难预防与实时反应。他们是如何实施的?我们又该如何防范呢?
式
利用DNS基础架构来制造DDoS其实相当容易:者向互联网上的域名服务器发送请求,然后域名服务器做出反应。
者伪装成目标对象的地址而不是基于自身IP地址来发送请求,这些目标对象包括:网页服务器、由器、另外一个域名服务器、或者互联网上的任何一个节点。
DNS请求相当容易,因为这些请求通常通过UDP(无连接用户数据报协议)进行传输。从任意IP地址发送DNS请求相当简单,如同在明信片上写上回信地址一样。
尽管容易,请求还不足以使对象瘫痪,如果对这些请求的回应并不比这些请求自身大的话,者将把大量请求发送到目标对象上。为了最大限度的对目标对象造成,对每个查询应该获得一个非常大的回应,才可以轻松造成影响。
采用DNS扩展名机制(EDNS0)后,DNS自1999年以来得到了极大扩展,基于UDP的DNS信息已经可以携带大量数据。一个回应便能达到4096个字节,而绝大多数请求则在长度上不超过100个字节。
较早之前,要在互联网Namespace里找到一个较大的回应相对困难,但是现在,各大企业已经开始部署DNSSEC(域名系统安全扩展),实现较大回应已经变得很容易。DNSSEC将密钥和数字签名存储在Namespace里记录在册,这些都会起到积极作用。
现在,网络的图片者正在从你的网页服务器IP地址上向域名服务器发送请求。每个44字节请求,你的网页服务器都会收到4077字节的回应,增大了近93倍。
现在让我们快速计算一下,就能知道这种状况有多糟。假设每个者接入互联网的带宽都是1Mbps,每秒他可以发出2840条44字节的请求,那这个请求数据流就会带来近93Mbps的流量送达你的网页服务器,而每11次就会达到1G。
那么,那些的者到哪里去找到这10个来共同完成这次呢?事实上,他们不需要找任何人,他们会用到一种由成千上万台电脑组成的僵尸网络来完成。
结果是性的。在一家DDoS缓解公司Prolexic发布的全球DDoS季报中我们可以看到,最新发现的一个基于DNS的客户受案例,其流量达到了167Gbps,此外,Prolexic在报告中还指出,DDoS所占用的带宽平均每个季度已经增加了718%,达到48Gbps。
但是,我们能不能对isc.org域名服务器进行修正,让它能够识别来自同一IP地址的相同数据在不停发送请求呢?难道这些真的无法遏制吗?
当然能,但绝非只有isc.org域名服务器才可以被者利用来放大流量,还有其他权威域名服务器,但受此影响最大的要算是式递归域名服务器了。
式递归域名服务器就是一种简单的域名服务器,它可以对任一IP地址发来的递归请求进行处理。我可以把请求forisc.org的数据发给它,然后它会给我一回应,你也可以做。
互联网上不应有太多式递归域名服务器。递归域名服务器的作用,就是代表DNS用户在互联网Namespace上查询数据,就如同在笔记本电脑或者智能手机上查询数据那样。通常情况下,网管员建立递归域名服务器,供某一特定群体使用(就像您以及您的团队)。除非这些社区使用的是OpenDNS和谷歌公共DNS,但设置这样的公共式DNS服务,其目的并不是供诸如摩尔多瓦这样的国家来使用。那些具有、安全意识且能力最强的管理员,可以在他们的递归域名服务器上设置接入控制,以此来对授权系统的使用。
既然如此,究竟多大的问题,我们才可以启用递归域名服务器呢?答案是很大
OpenResolverProject收集了总共3300万个式递归域名服务器的名单。黑客们可以向许多服务器发送请求,是因为他们更愿意将isc.org数据注入你的网页服务器、域名服务器、边界由器并最终导致他们瘫痪。
以上就是基于DNS的DDoS的工作原理,但谢天谢地,我们还是有一些方法来与它们相抗衡的。
如何渡过危机
你首先要做的是在你的DNS基础架构上加装设备,借此来监测是否正处在之中。有好多公司根本不知道他们接收到的请求究竟是什么,所以他们就无法第一时间知道他们正在受到。
利用BIND的内置统计支持功能,便能轻易实现对请求的判断。比如,BIND域名服务器在执行mdcstats命令或者可配置统计区间的时候,会将数据注入其统计文件,我们可以依据数据来查询速率、套接字错误以及其它迹象,如果不能确定如何发展也不要担心,因为对DNS进行监测的部分目的就是要建立起一个标准,以此来判断何谓异常状态。
下一步,让我们看一下面向互联网的基础设施。不要将自己囿于外部权威域名服务器;检查一下交换机、由器、防火墙以及网络连接。检查是否有单点故障。要确定你是否可以方便并低成本地地避免出现问题。
如果可能的话,需要将外部权威域名服务器所分布的广大区域列入你的考虑范围,这可帮你避免单点故障,同时在没有遭受的情况下也对你大有裨益。递归域名服务器负责解决你所在地区的域名问题,它将查询距离最近的权威域名服务器。所以,跨区分布可以帮你向客户和代理商提供更好更优的性能。如果在某些地区你的客户分布比较集中,那就在这些客户附近配置一台权威域名服务器以做出快速响应。
·苹果手机电池鼓胀撑裂机壳
·手机成杀手 通话触电可?
·苹果公司调查重庆起火iPhone手机
·运营商疏©不该由消费者买单
·小米智能手机再陷“返修门”事件
·三星手机在裤兜内爆炸致使腿部受伤
·手机爆炸事件引关注电池存隐患
·三星将出绝招迎战苹果手机 放弃屏幕尺寸·百度领跑CNNIC搜索半年报 直达号成移动..·获得腾讯投资却未让58同城股价停止下跌..·中兴称将加强手机安全投入 提出十防功能·MSN中国宣布更名微软在线 称不会退出中..·日媒揭秘为何iPhone6没有纸质说明书·敏思捷行,华为助力ICT云时代电信网络转型·谷歌为何要出高价旗舰Nexus?·苹果零售店或停售Fitbit设备:为自家产..·中国铁塔首家省级分公司在贵州成立
·携号转网业务重启 中移动部署5省试水新业·iPhone6又陷头发门 盘点让苹果汗颜N大魅力·李培培:国产操作系统时机已到·一个小米黄牛发家:三年赚千万·京东启动iPhone 6全款预购通道·第四批虚拟运营商名单 联想和小米或入·施密特:亚马逊才是谷歌最大搜索对手·iPhone 6今日零时预售:最快17日到货·一加生不逢时 重走魅族老?·Android L加速64位手机发展 明年下半年普
·施密特:亚马逊才是谷歌最大搜索对手·微软CEO萨提亚低调访华:向创新者致敬·王自健评魅族MTK:小米是最值国人骄傲的奇·小米总裁林斌直言 友商模仿小米模式不太容·复星董事总经理潘松:印度移动市场比中..·专访HTC王雪红:智能手机市场迎来饱和期·杨元庆:竞争对手退出 助推联想PC业务增长·邹学勇:虚拟运营商规模化用户必死无疑·陈天桥:盛大游戏或将易主为回归A股铺·杨元庆:联想立志成为全球最大服务器厂商
·宽带阻塞,谁让中国网速跑不快?·复星董事总经理潘松:印度移动市场比中..·全球智慧城市建设特色与前沿技术一览·北邮阚凯力:手机厂商要避免被高通各个击·大数据助力价值提升 微营销开拓网络新通道·互联网盒子发展 “永不止步”·浅谈终端营销的影响因素
·高通三星1700万投资可穿戴·HTC在Q1净亏损6206万美元·软件业数据处理收入784亿
·2014移动广告或将达180亿
·触控面板增至156.4亿美元
·触摸屏市场预测及发展趋势
·2014云存储市场的3大预测
延伸内容: