您当前的位置:创新研究网资讯正文

ZDNS专家深度解析:从美国网络瘫痪事件看DNS的安全性

放大字体  缩小字体 2017-09-09 02:16:54  阅读:2026+ 来源:新浪科技 作者:陈思成

  作者:域名工程中心总工程师 王伟博士

  美国时间10月21日,美国域名服务供应商DYN发表声明,该公司在当地时间周五早上遭遇了DDoS(分布式拒绝服务)攻击,从而导致用户无法正常访问包括Twitter、Spotify、Netflix、Airbnb、Github、Reddit以及纽约时报等主要网站。关于整个事件的发展,ZDNS此前在官方(号:zdnscloud)发布的《大半个美国互联网瘫痪,DNS成攻防核心》一文中已经做了较为详细的分析,在此就不多做赘述。

  听到此则新闻,笔者第一反应是“情理之中意料之外”。说“情理之中”,是因为域名系统自诞生之日起,就是一直是网络攻击的重点目标。域名系统(DNS Domain Name System)是实现域名(如www.sina.com.cn)指向IP地址(如121.194.0.239)的系统,大多数互联网应用必须先查询域名系统之后才能进行数据通信和互联互通。全球域名总数超过3亿,域名服务器数量超过1000万台,每天提供千亿次的查询服务。域名系统在后台支撑着互联网产业中各类业务应用的开展和互联互通,在互联网体系中处于承上启下的关键地位,同时也容易成为黑客们的对象和攻击目标。如同手机中误删通讯录导致无法拨打电话(除非直接记得电话号码),DNS服务不可用,也会导致用户终端无法获知网站IP地址而无法发起访问。

  下表是近几年来对互联网产生较大影响的DNS安全攻击事件:

  2009年5月19日南方六省断网事件。游戏私服私斗打挂dnspod,殃及暴风影音域名解析,进一步殃及电信运营商本地DNS服务器,从而爆发六省大规模断网的事故。

  2010年1月12日百度域名劫持事件。baidu.com的NS记录被伊朗网军(Iranian Cyber Army)劫持,然后导致www.baidu.com无法访问。事件持续时间8小时。

  2011年9月5日,包括微软、宏碁、沃达丰和UPS在内的众多知名网站都遭遇了DNS劫持。

  2012年2月16日,黑客组织匿名者(Anonymous)对外宣称,将在3月31日攻击DNS的13个根服务器,以达到让全球互联网瘫痪的目的。

  2013年8月25日CN域被攻击事件。cn域dns受到DDoS攻击而导致所有cn域名无法解析。

  2014年1月21日全国DNS故障。迄今为止,大陆境内发生的最为严重的DNS故障,所有通用顶级域(。com/。net/。org)遭到DNS污染。

  2015年11月30日DNS根服务器攻击事件。13个根服务器大都受到了攻击,攻击者对根服务器发起了针对两个特定域名的数十亿次无效查询请求。

  2015年12月14日土耳其国家域遭攻击。黑客组织匿名者(Anonymous)宣布自己是40Gbps DDoS的网络攻击发起人,并表示该攻击跟反ISIS行动相关。

  作为DNS行业从业人员,仿佛每年DNS系统不出点大事,心里就会产生隐约不安等着第二只靴子落地的感觉。

  说“意料之外”,则是在这次攻击事件中,黑客们与时俱进,采用了一些新手段新方法,使得“物联网设备”安全性问题以一种意外方式进入普罗大众视野。

  然而,本文的重点并不在分析物联网设备安全问题,而是想回到DNS协议和服务的安全性本身。回顾上述种种安全事件,我们会发现,关于DNS安全,有几个绕不过去的关键问题:

  1) 互联网30年的发展日新月异,作为最核心最基础的支撑服务之一,DNS在互联网体系中的关键地位一直没有变化;但针对抗攻击问题,除了在工程层面加大DNS节点数量和服务规模, DNS协议层面其实也没有大的改进。

  2) DNS的基础性和全局性,注定了对DNS的攻击可以达到以点制面、击一发而动全身的效果,具有投资小、见效快的优点,几乎每次DNS运行故障或攻击得手,都能引发区域性、甚至全球性互联网社群的哀鸿。通过攻击DNS来曲线攻击实际目标也成为黑客们青睐的居家旅行必备良药。

  3) 摩尔定律、库茨维尔定律和尼尔森定律使得发动DDoS规模攻击的成本越来越低,与DNS关键地位不相衬的是,在DDoS攻击规模几何级增长的对比下,DNS系统算数级增长的处理能力杯水车薪,任何一家DNS运行机构仅依靠自身的能力都力不从心

  面对这些结构性问题,作为DNS行业的从业者,不可局限于单纯依靠加大资源投入加强工程建设的解决思路,更需要从协议原理入手深入思考DNS的业务逻辑和软件实现。事实上,DNS协议自身已包含了分布式抗攻击的设计思路。DNS体系包括两部分,权威服务系统和递归服务系统,权威服务系统负责源数据(域名到IP的映射)的管理,递归服务系统负责面向终端用户提供查询服务,递归服务系统从权威服务系统获取数据并缓存在本地,因此,递归服务系统也叫作缓存服务系统。如此,权威服务系统并不需要向全球用户提供域名查询服务,大量的终端查询应该由本地的递归服务系统解决。DYN就是一家提供权威域名服务的公司。

  粗一看,这就是一个DNS版本的CDN(内容分发网络 Content Delivery Network),实现了源站和服务站的分离,理论上,在这种模型架构下,来自终端(PC、手机、物联网设备)的访问流量不应到达权威服务器,DDoS攻击流量也应该在本地电信运营商的递归服务层面被消解掉,无法造成全网影响。但在细节设计上,DNS相较CDN有几点差异,使得这种看上去很完美的可能性无法达成:

  1) 不屏蔽权威源站地址:CDN服务提供屏蔽源站地址功能,终端用户无法得知源站的真实IP地址,也就无从发起针对源站IP地址的攻击,攻击流量只能分布式地到达各CDN节点,由CDN的处理能力以及流量清洗等抗攻击手段应对。但DNS权威服务系统的IP地址对全网公开,除递归服务器外,所有互联网用户都可以公开获知此IP地址,因此也就无法将DNS访问流量限制在递归服务器层面。

  2) 公开单向的数据同步通道:CDN站点和源站的数据同步是双向的,即,CDN站点可以pull数据,源站也可以push数据,这进一步加强了源站的私密性,源站可以关闭入向端口而只是向给定目标发起主动同步连接。而DNS权威和递归之间的数据同步,是单向的,全球任意递归服务器都可以来pull数据,权威服务系统时刻处在对全网的开放状态。

  3) 过期数据的处理机制:CDN服务模型中,如某个网页或图片过期后没有及时从源站取得更新数据,旧的数据会仍然得以保留并提供给用户,也就是“可用性”>“精确性”。但在DNS协议中,如果某条缓存数据到达定期更新时间,但此时递归服务系统无法访问权威服务系统(包括DDoS攻击状态下的拥塞原因)获取该数据的最新状态,旧数据依然会被删除,用户请求失败。这个机制放大了权威服务遭受攻击时对递归服务器的负面影响,因为很多所谓“旧数据”与“新数据”并无内容差别,并不影响用户的访问体验。

  上述种种技术缺陷,破坏了DNS原有“集成数据管理、分散访问流量”的设计初衷,使得权威域名服务系统犹如黑夜中为黑客指路的明灯,不断吸引各类非法数据请求和攻击流量。要彻底改变这种状况,则有必要加强对现有DNS协议及工程架构的研究,加快对权威、递归及权威递归间数据同步机制的优化和改进。具体建议如下:

  1) 域名全行业需要提高对DNS基础性和重要性的认识,包括根运行机构、顶级域名注册管理机构、顶级域名后台托管机构、权威域名云服务机构、递归域名服务机构、电信运营商等在内的各环节需要加深沟通和协作,发挥行业整体协调力量。

  2) 考虑到DNS牵一发动全身的全局重要作用,有必要将顶级域名服务系统、重要权威域名服务系统、主要递归服务系统纳入我国现有的互联网应急协调处理机制中去。

  3) 有必要在重要权威服务系统和主要递归服务系统之间建设独立的通信通道,保障大多数合法域名访问业务的顺畅和攻击应急状况下的应急通道畅通。事实上,在前几年就有国内研究人员提出过借鉴电信信令网思路,建设“关键信息基础设施虚拟专网”的建议。

  4) 发挥电信运营商、小区宽带等在最后一公里为用户提供递归服务的机构作用,在递归服务层面建立数据备份和应急缓存替换机制。无论权威是否遭受攻击,终端用户的合法访问实际是由递归来进行响应的。

  5) 高性能的专有域名服务设备也将有利于提升域名服务的处理能力和应急调度能力。近年来我国已出现了一批有别于LInux服务器+开源DNS软件的专业域名设备品牌(也许你还想了解《[ZDNS专用设备]与时俱“新”,你不可不知的域名解析之变》),除了通过专用设备提高了域名查询性能外,更增加了数据灾备,调度切换等功能,有助于提高安全管理的效率。

  DNS协议和服务,是互联网的经典协议和服务,传统上,美国、欧洲等互联网先发国家的技术专家做出了大量贡献,使之成为互联网的关键基础设施。伴随着我国改革开放后的整体高速发展,中国已成为互联网网民最多、规模最大的国家,且与发达国家同步演进到移动互联网、物联网、工业互联网阶段,甚至在某些领域取得领先。网络规模和业务应用的领先,必然带来对DNS的新的需求和改进驱动,希望中国互联网社群加大研究和国际交流,希望我国的技术专家对全球DNS安全性和稳定性做出新时代的贡献。

“如果发现本网站发布的资讯影响到您的版权,可以联系本站!同时欢迎来本站投稿!