著名黑客組織威脅將于3月31日攻擊13個DNS根服務(wù)器從而讓全球互聯(lián)網(wǎng)癱瘓,以此抗議美國網(wǎng)絡(luò)反盜版法案及華爾街銀行家�。由于該黑客組織曾攻破美國中央情報局、歐洲議會的網(wǎng)站�����,所以這個攻擊威脅引起關(guān)注����。4月1號是愚人節(jié),不排除這是黑客組織的一個恐怖玩笑����,但作為互聯(lián)網(wǎng)的從業(yè)者,114DNS對此嚴陣以待�。下面的章節(jié)主要提供給ISP及大中型企業(yè)的遞歸DNS維護人員及互聯(lián)網(wǎng)企業(yè)的NS維護人員參考,個人用戶僅需將DNS地址修改為114.114.114.114而無需關(guān)心下述內(nèi)容�。
從技術(shù)上而言,13個DNS根節(jié)點如果被攻癱���,遞歸DNS服務(wù)器可以比較容易地繞過這個故障并正常完成DNS遞歸工作(從IANA能下載到相關(guān)的Hint文件)����,從而保證大眾能正常上網(wǎng)。我們分析�,國際著名的黑客組織不應(yīng)該這么業(yè)余,黑客組織最有可能攻擊的方法是以BotNet攻擊ISP的遞歸DNS服務(wù)���,間接導(dǎo)致gTLD/ccTLD節(jié)點過載的同時加速ISP的遞歸DNS服務(wù)癱瘓,達到黑客讓全球互聯(lián)網(wǎng)癱瘓的目的����。
114DNS將盡匹夫之責,協(xié)助國人繼續(xù)上網(wǎng)!下面簡單羅列黑客可能攻擊的對象�,并說明114DNS在每種情況下能達到的效果,然后再闡述如何使用114DNS應(yīng)對各種攻擊��。
直接攻擊13個DNS根節(jié)點容易防護�。114DNS的應(yīng)急根服務(wù)器,可以承載DNS根節(jié)點的絕大部分服務(wù);
直接攻擊gTLD/ccTLD節(jié)點較難防護��。114DNS的應(yīng)急gTLD/ccTLD根服務(wù)器��,可以承載gTLD/ccTLD節(jié)點的主要服務(wù)����,但極少量的服務(wù)會受到損傷;
直接攻擊ISP的遞歸DNS服務(wù)器很難防護�。以隨機域名直接攻擊ISP的遞歸DNS服務(wù)��,間接導(dǎo)致gTLD/ccTLD節(jié)點過載�����,反過來又加速ISP的遞歸DNS服務(wù)癱瘓�。114DNS的智能應(yīng)急備份中心,可以承載ISP遞歸DNS的大部分服務(wù)����,但有少量的服務(wù)會受到損傷;
下面簡述如何使用114DNS的應(yīng)急DNS服務(wù)對付3月31日潛在的DNS故障。
準備工作
在遞歸DNS服務(wù)器上備份原有的 hint 文件(例如named.root)��,編輯一個新文件114dns_0331.hint 內(nèi)容為如下12行:
. 518400 IN NS A-ROOT.114DNS.NET.
. 518400 IN NS B-ROOT.114DNS.NET.
. 518400 IN NS C-ROOT.114DNS.NET.
. 518400 IN NS D-ROOT.114DNS.NET.
. 518400 IN NS E-ROOT.114DNS.NET.
. 518400 IN NS F-ROOT.114DNS.NET.
A-ROOT.114DNS.NET. 3600000 IN A 114.114.118.201
B-ROOT.114DNS.NET. 3600000 IN A 114.114.118.202
C-ROOT.114DNS.NET. 3600000 IN A 114.114.118.203
D-ROOT.114DNS.NET. 3600000 IN A 114.114.118.204
E-ROOT.114DNS.NET. 3600000 IN A 114.114.118.205
F-ROOT.114DNS.NET. 3600000 IN A 114.114.118.206���。
應(yīng)急方案一
操作:以114dns_0331.hint覆蓋原有hint文件并重載named��。
效果:能有效應(yīng)對前述A���、B兩種攻擊,絕大部份網(wǎng)絡(luò)資源可訪問如往常�,個人用戶訪問這些網(wǎng)絡(luò)資源的速度如往常,極少量的網(wǎng)絡(luò)資源不可訪問�����。
原理:114DNS具有6個應(yīng)急root服務(wù)單元和18個應(yīng)急gTLD/ccTLD服務(wù)單元,可按攻擊的不同情況�����,無損接續(xù)現(xiàn)有的13個DNS根節(jié)點及200多個gTLD/ccTLD服務(wù)節(jié)點中部分節(jié)點或全部節(jié)點的工作�,從而讓ISP及企業(yè)的遞歸DNS服務(wù)器能正常完成DNS遞歸工作。
應(yīng)急方案二
操作:修改/etc/named.conf文件�,增加如下配置�����,然后重載named���。
zone "." {
type forward;
forwarders { 114.114.114.114;114.114.115.115; };
};
效果:能有效應(yīng)對前述A���、B、C三種攻擊����,大部分網(wǎng)絡(luò)資源可以正常訪問,但是個人用戶訪問這些網(wǎng)絡(luò)資源的速度可能下降�,小部分的網(wǎng)絡(luò)資源不可訪問��。
原理:114DNS具有28個遞歸點��,對相同域名的解析請求����,能根據(jù)DNS請求包的IP源地址的不同而給出不同的應(yīng)答���,從而讓互聯(lián)網(wǎng)公司的CDN能正常工作�。
DNS應(yīng)急可引發(fā)的后果及規(guī)避方法
DNS應(yīng)急處理不當可引發(fā)如下后果:(1)DNS應(yīng)急備份中心所在地區(qū)的網(wǎng)絡(luò)被堵塞�����,它又反過來影響DNS應(yīng)急備份中心提供正常服務(wù);(2)大中型互聯(lián)網(wǎng)公司的CDN調(diào)度嚴重受損���,造成大部分網(wǎng)絡(luò)資源無法訪問�����。如果DNS應(yīng)急備份中心僅在同一個地點做DNS遞歸��,則大部分CDN公司的域名都被解析到該地(或鄰近該地)的IP地址段����,導(dǎo)致該地骨干網(wǎng)流量暴漲、CDN公司的服務(wù)器過載�����,而其他地區(qū)卻沒有流量��。因而DNS應(yīng)急備份系統(tǒng)的基本要求����,就是在多個地區(qū)具備輔助DNS遞歸點、備份中心能按DNS請求的源IP進行不同的應(yīng)答����。114DNS目前在國內(nèi)有28個DNS遞歸點,但是國內(nèi)大型互聯(lián)網(wǎng)公司的分區(qū)高于28個�,因而會對其CDN調(diào)度造成一定的損傷��,但可以肯定的是:僅有1個遞歸點的DNS應(yīng)急備份方案是不可用的���。
其他說明
上述DNS應(yīng)急方案的有效性����,僅在BIND 9上測試過;
由于一些不可控的原因���,114DNS暫時僅能保證在AS4134���、AS4837及其信任聯(lián)盟范圍內(nèi)的遞歸DNS應(yīng)急有效;
114DNS會盡最大的努力嘗試讓國內(nèi)互聯(lián)網(wǎng)正常運轉(zhuǎn)�����,但DNS乃互聯(lián)網(wǎng)基石����,該基石如受損我們無法確保每個互聯(lián)網(wǎng)企業(yè)和個人用戶不受絲毫影響;
無論是方案一還是方案二����,114DNS都有嚴格的限流策略,事先發(fā)郵件到dnsadmin#114dns.com(#換成@)注明你的遞歸DNS服務(wù)器的服務(wù)IP地址��、遞歸用IP地址�、單位、姓名和聯(lián)系電話����,可確保DNS應(yīng)急功能正常。
114DNS已投入大量的精力應(yīng)對3月31日潛在的DNS故障�����,相關(guān)的應(yīng)急方案已被基礎(chǔ)電信運營商所采納。由于內(nèi)存資源的限制�����,114DNS無法將全球幾億個域名的NS記錄都注入到114DNS的應(yīng)急單元�����,信風已通過程序自動將排名在前300萬的域名的NS記錄注入到114DNS的應(yīng)急單元���。為保證3月31的DNS應(yīng)急行之有效��,信風將對部分訪問量較大的站點做人工測試�����,必要時會與其NS維護人員做EMAIL或電話勾通���������;ヂ(lián)網(wǎng)企業(yè)也可直接發(fā)郵件到dnsadmin#114dns.com���,注明企業(yè)的所有域名(域名本身而非DNS記錄)以確保它們都被注入到114DNS的應(yīng)急單元�。歡迎DNS業(yè)內(nèi)的同行專家提出更好的建議����,共同渡過3月31日這一潛在的網(wǎng)絡(luò)難關(guān)。
