DNS 作为互联网的基础设施之一,同时也是 DDoS 攻击高危受害者。
DNS 能够为域名提供解析服务,一旦 DNS 服务器瘫痪就会导致域名解析失效。
而黑客常用的 DDoS 攻击手段有 Volume 流量型,以及 Application 应用型。
Volume 流量型分为: SYN , ACK , RST , PSH , UDP , ICMP , Fragment
Application 应用型分为: Http(s) Post/Get , Port Connection , DNS Query ,游戏假人
而黑客攻击一个目标的时候基本上会采用最简单有效的方式攻击,通常域名的权威 DNS 服务器也是目标之一。
由于 DNS 攻击易攻难守,而 1Gbps 带宽可以发起大量的 DNS 递归查询,这个时候如果您的域名 DNS 服务商无法为大量的 DNS Query 提供快速有力的 Response ,那么很可能 DNS 服务商会为了保全其他客户域名解析而将您的域名封禁,这样攻击者的目的就达到了,您的域名将无法正确解析出 IP 等纪录。
不少朋友会说 DNS 防护其实不难,然后给出了如下的解决方案:
将 UDP 协议丢弃转 TCP 协议,如果客户端会重传 TCP 那么就将这个客户端 IP 地址放行并加入白名单。
这个方法针对肉鸡直接对 DNS 服务器发起的查询攻击效果会比较好,但是误杀率会非常高,因为考虑到递归服务器不支持该方式,并且部分客户端也不支持该方式的情况下会对递归服务器和客户造成误杀,如果将递归 DNS 加入黑名单,那么该 DNS 服务器下的所有域名都无法被加入黑名单的递归服务器获取到解析记录。
大部分运营商都有自己的递归服务器来加速和缓存域名解析,所以千万不能将递归服务器拦截,否则后果很严重。
讲到这里黑客也是很聪明的,由于黑客知道递归服务器的重要性,于是黑客将 DNS 攻击放在递归服务器上进行,黑客获取用户采用的公共 DNS 服务器,然后将您的域名通过公共解析服务器疯狂查询(DNS Query),而此时权威 DNS 服务器上收到的都是来自递归服务器的 DNS 查询,如果攻击者拥有的肉鸡数量比较庞大的情况下,每秒发动数百万次和数千万次 QPS 的 DNS 查询攻击也不足为奇,而传统的 DNS 服务器很难支撑如此大量的 DNS 查询请求,并且需要权威 DNS 服务器拥有数百 Gbps 的带宽。
DNS 递归查询攻击 DNS 递归查询攻击
针对 DNS 递归查询攻击, SeedMssP 采用了 Anycast 分布式的解决方案,在全球部署数十个 DNS 流量清洗中心,将 DNS 流量进行全球负载均衡,减少单点 DNS 故障。
同时针对来自 DNS 递归服务器的 DNS 查询攻击, SeedMssP 将 DNS 协议栈在 V-ADS 中实现, V-ADS 能够允许用户在遭受 DNS 攻击的时候在 V-ADS 中提交被攻击域名的 DNS 记录并由 V-ADS 直接缓存,如果攻击者通过查询不存在的域名解析记录来攻击的话,那么 V-ADS 会直接拦截;如果攻击者对存在的解析记录疯狂请求, V-ADS 会直接命中 DNS 高速缓存,实现 DNS 服务器的高性能防护!
总结: DNS 防护无非围绕着对 DNS 协议的高性能处理,唯有掌握了 DNS 高性能处理才可以在 DNS 遭受攻击的情况下依然保持良好的用户体验!
1
aveline 2016-09-18 08:38:57 +08:00 1
于是来个 NS 测测看?贵司官网也还是用的 DNSPod 免费版嘛 ...
( |
4
flily 2016-09-18 11:09:33 +08:00
从对攻击的描述上看,贵司没见过 DDoS 啊
|
7
SeedMssP OP @flily 上面的图片不属于递归查询的图片,映入了一张 DNS 放大,所以这里的错误我在这里纠正下,没仔细看图片就上传了
|
8
usernametoolong 2016-09-18 14:09:55 +08:00
@aveline 小学生时常让老司机翻车。
|
9
akw2312 2016-09-20 09:50:35 +08:00 via Android
然而直接 Layer 4 直接 udp 打過去你們能抗的住嗎 2333
|