这个破DNS咋就总搞不好?
本帖最后由 Panabit-lage 于 2017-2-21 16:59 编辑世界并不如你看到的那样简单,越简单的协议越复杂,DNS/ARP为何是互联网上最复杂的协议?协议简单,应用频繁,可供利用的弱点多。
DNS协议介绍、在互联网上的重要作用
DNS是域名系统(DomainNameSystem)的缩写,该系统用于命名组织到域层次结构中的计算机和网络服务。域名是由圆点分开一串单词或缩写组成的,每一个域名都对应一个惟一的IP地址,在Internet上域名与IP地址之间是一一对应的,DNS就是进行域名解析的服务器。DNS命名用于Internet等TCP/IP网络中,通过用户友好的名称查找计算机和服务。DNS是因特网的一项核心服务,它作为可以将域名和IP地址相互映射的一个分布式数据库。
1)技术角度看
DNS解析是互联网绝大多数应用的实际寻址方式; 域名技术的再发展、以及基于域名技术的多种应用,丰富了互联网应用和协议。
2)资源角度看
域名是互联网上的身份标识,是不可重复的唯一标识资源; 互联网的全球化使得域名成为标识一国主权的国家战略资源。
DNS脆弱性分析
1.协议规程
DNS协议运行在TCP协议或者UDP协议之上,使用端口号53。DNS在进行区域传输的时候使用TCP协议(区域传送指的是一台备用服务器使用来自主服务器的数据同步自己的域数据库),其它时候则使用UDP协议。
查询过程:客户向DNS服务器的53端口发送UDP/TCP报文,DNS服务器收到后进行处理,并把结果记录仍以UDP/TCP报文的形式返回。
2.DNS劫持
DNS劫持又称域名劫持,是指在劫持的网络范围内拦截域名解析的请求,分析请求的域名,把审查范围以外的请求放行,否则返回假的IP地址或者什么都不做使请求失去响应,其效果就是对特定的网络不能反应或访问的是假网址。
DNS劫持原理:
DNS(域名系统)的作用是把网络地址(域名,以一个字符串的形式)对应到真实的计算机能够识别的网络地址(IP地址),以便计算机能够进一步通信,传递网址和内容等。由于域名劫持往往只能在特定的被劫持的网络范围内进行,所以在此范围外的域名服务器(DNS)能够返回正常的IP地址,高级用户可以在网络设置把DNS指向这些正常的域名服务器以实现对网址的正常访问。所以域名劫持通常相伴的措施——封锁正常DNS的IP。
如果知道该域名的真实IP地址,则可以直接用此IP代替域名后进行访问。比如访问百度域名,可以把访问改为202.108.22.5,从而绕开域名劫持 。
3.DNS放大攻击
2013年3月底发生了互联网有史以来最大的300G DDoS攻击事件。此次黑客利用了DNS放大攻击(DNS Amplification attack,也叫反射攻击)技术,这种攻击方式其实由来已久,早在2002年就已引起研究人员的关注,但是造成这么大的攻击流量还是首次被发现。由于这种攻击模式成本低,效果好,追踪溯源困难,而且由于脆弱的DNS体系具有开放式特点,难以彻底杜绝。潘多拉魔盒已经被打开,在未来相当长一段时间内,预计这种DNS放大攻击会得到越来越多攻击者的青睐,被广泛利用。
某大学校园网截获的DNS放大攻击流量图如表1,从图上可以看到攻击者伪造源地址,不断发送小的请求查询包,从而获得DNS服务器的大量返回报文,实现定向流量攻击。
从这张表中,我们可以简单看出,随着查询返回包长度的增加,DNS服务器的整体性能是在显著下降的。DNS放大攻击利用的一般都是较高放大比的请求包,因此无疑会干扰DNS服务器的正常运行。
4.DNS缓存中毒
几年前,安全研究员Dan Kaminsky披露DNS存在严重漏洞曾经轰动了整个IT世界,如今已经过去了几年,黑客们仍有可能利用这个BUG发起缓存中毒攻击,在无人察觉的情况下,将网络流量从一个合法的网站重定向到虚假的网站,虚假网站可能带有病毒或者木马,给访问的用户带来一定伤害。因广大客户使用的DNS解析服务器不是统一的,互联网服务商即使清除自己的DNS缓存也是无效的。
今天,我们用Panabit保护DNS
1.DNS负载均衡
为了避免单IP请求量太大,DNS服务器处理不过来,我们可以尝试做DNS负载均衡:
1)在同一个物理接口上建立多条WAN线路
2)然后把这些线路加到一个线路群组里
3)DNS管控重定向调用这个群组
这样DNS做重定向的之后就会均衡到这个群组的5条WAN线路上。DNS重定向,能有效缓解DNS服务器压力,无需客户端修改DNS配置。
2.应急网络恢复
当DNS域名服务大面积缓存中毒时,单独依靠清理自己的DNS缓存服务往往无效,因为在系统缓存清理干净后,在随着新的查询过程中缓存难免再次受到感染。所以,最为有效的办法是,通过诸如Panabit智能网关类产品,将用户发起的部分有问题的目的DNS请求或将全部DNS请求重定向至干净正确的链路DNS系统上来,引导其走向正确未被污染的链路DNS系统。
如下图所示,将所有的DNS服务请求引导至未被污染的Google服务器上:
操作方法:
1)在Panabit上建立代理线路,DNS如指向Google(应用路由--添加WAN线路);
2)在应用路由中点击DNS管控,添加策略-重定向到“正确的线路”;
3.运营商智能DNS和CDN结合
CDN即内容分发网络,部署在距离用户最近的网络服务商,用户的网络请求总是先到达他的网络服务商那里,在这里缓存网络的一些静态资源,可以就近以最快速度返回给用户。启用Panabit DNS管控劫持功能就近将用户访问量大的热点请求内容劫持到指定的CDN节点服务器上,返回给用户。简化CDN上线难度,强化配合,避免繁杂的客户设置过程。
操作方法:
1)将用户发起的URL请求如图片、视频、广告等请求域名建立群组(策略控制--策略对象--域名群组);
2)实现DNS管控劫持,劫持域名到节点缓存服务器上(应用路由--DNS管控--添加策略);
4.保护DNS服务器
查看并丢弃某些非法IP来的解析请求,避免成为放大攻击的肉鸡。
DNS肉鸡连接现场如下图:
5.企业缓存结合
企业出口自主劫持,无需购买外部DNS服务,自行劫持解析,节约企业出口带宽。
原理:
DNS管控中重定向功能的原理就是对DNS请求的数据包做一次SNAT+DNAT(源地址转换和目的地址转换)。
例如,DNS请求的数据包源地址是192.168.1.100,请求的DNS是8.8.8.8
这个数据包经过Panabit的DNS管控重定向的策略后就变成了,源IP是1.1.1.1,DNS是114.114.114.114.
这样客户机在请求 www.163.com这个域名的时候就去了114.114.114.114 这个DNS上去解析了。
使用DNS管控功能,一方面可以将客户机对某些网站的访问转到指定网站,方便用户做广告流量或宣传推广自己的网站。另一方面,DNS管控功能,对于网页视频能做有效分流。很多视频网站都有双ISP地址,如果用户的主线为电信,那么使用DNS管控功能,可以强制对这些网站的访问使用网通DNS服务器解析,在路由配合下,就会走网通线路,对主线不再有压力和负担,达到分流目的,来节省带宽。也可利用DNS重定向功能,将所有的DNS请求定向到企业DNS服务器上。
6.服务器负载均衡
IDC智能DNS,智能选择线路,加快网络访问。使用Panabit进行服务器负载均衡,智能选路,架设在IDC的DNS前端,根据目标DNS IP地址的请求来源,智能分析,为终端用户选择合适的服务链路,加快网络服务,以低廉价格提供类似BGP的服务器负载均衡能力。
操作方法:
1)建立源地址联通、电信地址群(策略管理--策略对象--IP群组);
2)添加DNS管控策略,将源地址IP为联通的IP指向联通线路,地址IP为电信的指向电信线路(应用路由--DNS管控--添加策略);
7.信息推送
信息推送,即用户使用Panabit智能应用网关中的DNS管控劫持功能所起到的一个网站推送功能,通过设置信息推送,网络服务商可以指定将某些用户组或某些用户组发起的URL域名访问推送到特定的网站上去。
8.封锁域名
封锁域名,配合有关部门对某些敏感网站进行封堵,通过设置IP地址库或用户发起的访问URL地址库进行劫持、重定向或丢弃报文等动作,无论通过哪个DNS服务器解析,一次设置,全部封锁。
下图为设置显示:
9.QPS限制
最近碰到不少用户反馈上端的运营商对DNS的QPS做了限制,如果QPS过大,运营商会临时关闭DNS解析一段时间,另外,经常还会碰到内网的一些IP对特定的DNS实施DNS FLOODING攻击,严重影响网络体验,连接数控制功能能够阻挡部分攻击形态,但是如果这些攻击请求都是在同一条会话里进行,那么连接数控制就没办法处理。基于这样的背景,我们在WEIJINr4里改进DNS模块,增加QPS限制功能。所谓QPS限制,就是对DNS请求包的PPS做限制,在策略中,可以设置一个总的QPS限制,同时可以设置一个单IP的QPS限制,这个类似于流量管理的通道和单IP限速。为了让这个功能和DNS重定向能结合起来,在每条策略里增加一个“继续匹配”参数,这个也类似流量管理里的“动作后”参数。
10.云平台管理
Panabit用户提供独有的云管控平台,方便用户集中监控、管理在网的海量Panabit设备,拥有,一键式Panabit在线设备集中升级,远程管理,备份配置等管理方式,是一线运维人员手中一把利器。
下图是集中升级Panabit设备截图:
总结
DNS服务系统是互联网络的中枢神经,对其如何管控发挥更优的功效是每一个运营商或大企业网络所面临的严峻考验。Panabit智能应用网关通过智能化管控DNS服务,对其实施保护、引导、管控,满足了互联网运营商的真实需求。
另外,无需修改客户端DNS设置,通过DNS重定向、DNS劫持、DNS丢弃、QPS限制等动作,实现应急恢复网络、信息推送、DNS负载均衡、缓解DNS服务器压力、自由控制等保护互联网神经中枢。
通过PanaLog大数据分析平台,可以有效分析网络动态,通过可视化界面有效展现分析结果。同时,对在线Panabit设备集中管理,一键式集中升级,节省运维成本。
欢迎扫描我们专家二维码,和我们面对面讨论:
页:
[1]