V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
Recommended Services
Amazon Web Services
LeanCloud
New Relic
ClearDB
SeedMssP
V2EX  ›  云计算

DNS 攻击防护博弈,大型 DNS 攻击防护解析

  •  
  •   SeedMssP · 2016-09-18 08:31:32 +08:00 · 3994 次点击
    这是一个创建于 3016 天前的主题,其中的信息可能已经有所发展或是发生改变。

    DNS 作为互联网的基础设施之一,同时也是 DDoS 攻击高危受害者。

    DNS 能够为域名提供解析服务,一旦 DNS 服务器瘫痪就会导致域名解析失效。

    而黑客常用的 DDoS 攻击手段有 Volume ​流量型,以及 Application 应用型。

    ​ Volume ​流量型分为: SYN , ACK , RST , PSH , UDP , ICMP , Fragment

    ​ Application 应用型分为: Http(s) Post/Get , Port Connection , DNS Query ,游戏假人

    而黑客攻击一个目标的时候基本上会采用最简单有效的方式攻击,通常域名的权威 DNS 服务器也是目标​之一。

    由于 DNS 攻击易攻难守,而 1Gbps 带宽可以发起大量的 DNS 递归查询,这个时候如果您的域名 DNS 服务商无法为大量的 DNS Query 提供快速有力的 Response ​,那么很可能 DNS 服务商会为了保全其他客户域名解析而将您的域名封禁,这样攻击者的目的就达到了,您的域名将无法正确解析出 IP 等纪录。

    不少朋友会说 DNS 防护其实不难,然后给出了如下的解决方案:

    将 UDP 协议丢弃转 TCP 协议,如果客户端会重传 TCP 那么就将这个客户端 IP 地址放行并加入白名单。

    UDP 转 TCP 强制验证

    ​这个方法针对肉鸡直接对 DNS 服务器发起的查询攻击效果会比较好,但是误杀率会非常高,因为考虑到递归服务器不支持该方式,并且部分客户端也不支持该方式的情况下会对递归服务器和客户造成误杀,如果将递归 DNS 加入黑名单,那么该 DNS 服务器下的所有域名都无法被加入黑名单的递归服务器获取到解析记录。

    大部分运营商都有自己的递归服务器来加速和缓存域名解析,所以千万不能将递归服务器拦截,否则后果很严重。

    讲到这里黑客也是很聪明的,由于黑客知道递归服务器的重要性,于是黑客将 DNS 攻击放在递归服务器上进行,黑客获取用户采用的公共 DNS 服务器,然后将您的域名通过公共解析服务器疯狂查询(DNS Query),而此时权威 DNS 服务器上收到的都是来自递归服务器的 DNS 查询,如果攻击者拥有的肉鸡数量比较庞大的情况下,每秒发动数百万次和数千万次 QPS 的 DNS 查询攻击也不足为奇,而传统的 DNS 服务器很难支撑如此大量的 DNS 查询请求,并且需要权威 DNS 服务器拥有数百 Gbps 的带宽。 递归 DNS 攻击

    DNS 递归查询攻击 DNS 递归查询攻击

    ​针对 DNS 递归查询攻击, SeedMssP 采用了 Anycast 分布式的解决方案,在全球部署数十个 DNS 流量清洗中心,将 DNS 流量进行全球负载均衡,减少单点 DNS 故障。

    同时针对来自 DNS 递归服务器的 DNS 查询攻击, SeedMssP 将 DNS 协议栈在 V-ADS 中实现, V-ADS 能够允许用户在遭受 DNS 攻击的时候在 V-ADS 中提交被攻击域名的 DNS 记录并由 V-ADS 直接缓存,如果攻击者通过查询不存在的域名解析记录来攻击的话,那么 V-ADS 会直接拦截;如果攻击者对存在的解析记录疯狂请求, V-ADS 会直接命中 DNS 高速缓存,实现 DNS 服务器的高性能防护!

    V-ADS 高性能 DNS 防护模块

    总结: DNS 防护无非围绕着对 DNS 协议的高性能处理,唯有掌握了 DNS 高性能处理才可以在 DNS 遭受攻击的情况下依然保持良好的用户体验!

    第 1 条附言  ·  2016-09-18 11:33:46 +08:00
    图片引入存在错误,这里我道个歉,因为上传的时候没有仔细看
    文中引入的图片采用的攻击方式是折射攻击和放大攻击。
    主题似乎无法修改了
    10 条回复    2016-09-20 14:20:32 +08:00
    aveline
        1
    aveline  
       2016-09-18 08:38:57 +08:00   ❤️ 1
    于是来个 NS 测测看?贵司官网也还是用的 DNSPod 免费版嘛 ...
    qcloud
        2
    qcloud  
       2016-09-18 09:04:46 +08:00 via iPhone
    @aveline 😂这样打脸真的好吗。。
    SeedMssP
        3
    SeedMssP  
    OP
       2016-09-18 09:20:14 +08:00
    @aveline 10 月上线,现在产品都还没上线,还在 Beta ,上线后会提供 30 天的免费试用
    flily
        4
    flily  
       2016-09-18 11:09:33 +08:00
    从对攻击的描述上看,贵司没见过 DDoS 啊
    SeedMssP
        5
    SeedMssP  
    OP
       2016-09-18 11:23:20 +08:00
    @flily 通俗的描述一下 DDoS ,因为 DDoS 下手方式太多,简单拿一个 DNS 作为例子。
    Ellison
        6
    Ellison  
       2016-09-18 11:28:44 +08:00
    @aveline
    @flily 我就服你们这些上来就打脸的
    SeedMssP
        7
    SeedMssP  
    OP
       2016-09-18 11:32:07 +08:00
    @flily 上面的图片不属于递归查询的图片,映入了一张 DNS 放大,所以这里的错误我在这里纠正下,没仔细看图片就上传了
    usernametoolong
        8
    usernametoolong  
       2016-09-18 14:09:55 +08:00
    @aveline 小学生时常让老司机翻车。
    akw2312
        9
    akw2312  
       2016-09-20 09:50:35 +08:00 via Android
    然而直接 Layer 4 直接 udp 打過去你們能抗的住嗎 2333
    SeedMssP
        10
    SeedMssP  
    OP
       2016-09-20 14:20:32 +08:00
    @akw2312 没问题,上线后欢迎来测试。
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   2622 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 21ms · UTC 04:15 · PVG 12:15 · LAX 20:15 · JFK 23:15
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.