著名黑客組織威脅將於 3 月 31 日攻擊 13 個 DNS 根服務器從而讓全球互聯網癱瘓,以此抗議美國網絡反盜版法案及華爾街銀行家。由於該黑客組織曾攻破美國中央情報局、歐洲議會的網站,所以這個攻擊威脅引起關注。4 月 1 號是愚人節,不排除這是黑客組織的一個恐怖玩笑,但作爲互聯網的從業者,114DNS 對此嚴陣以待。下面的章節主要提供給 ISP 及大中型企業的遞歸 DNS 維護人員及互聯網企業的 NS 維護人員參考,個人用戶僅需將 DNS 地址修改爲 114.114.114.114 而無需關心下述內容。
從技術上而言,13 個 DNS 根節點如果被攻癱,遞歸 DNS 服務器可以比較容易地繞過這個故障並正常完成 DNS 遞歸工作(從 IANA 能下載到相關的 Hint 文件),從而保證大衆能正常上網。我們分析,國際著名的黑客組織不應該這麼業餘,黑客組織最有可能攻擊的方法是以 BotNet 攻擊 ISP 的遞歸 DNS 服務,間接導致 gTLD/ccTLD 節點過載的同時加速 ISP 的遞歸 DNS 服務癱瘓,達到黑客讓全球互聯網癱瘓的目的。
114DNS 將盡匹夫之責,協助國人繼續上網!下面簡單羅列黑客可能攻擊的對象,並說明 114DNS 在每種情況下能達到的效果,然後再闡述如何使用 114DNS 應對各種攻擊。
A、直接攻擊 13 個 DNS 根節點
容易防護。114DNS 的應急根服務器,可以承載 DNS 根節點的絕大部分服務;
B、直接攻擊 gTLD/ccTLD 節點
較難防護。114DNS 的應急 gTLD/ccTLD 根服務器,可以承載 gTLD/ccTLD 節點的主要服務,但極少量的服務會受到損傷;
C、直接攻擊 ISP 的遞歸 DNS 服務器
很難防護。以隨機域名直接攻擊 ISP 的遞歸 DNS 服務,間接導致 gTLD/ccTLD 節點過載,反過來又加速ISP的遞歸DNS服務癱瘓。114DNS的智能應急備份中心,可以承載 ISP 遞歸 DNS 的大部分服務,但有少量的服務會受到損傷;
下面簡述如何使用 114DNS 的應急 DNS 服務對付 3 月 31 日潛在的DNS故障。
準備工作
在遞歸DNS服務器上備份原有的 hint 文件(例如named.root),編輯一個新文件114dns_0331.hint 內容爲如下12行:
. 518400 IN NS A-ROOT.114DNS.NET. . 518400 IN NS B-ROOT.114DNS.NET. . 518400 IN NS C-ROOT.114DNS.NET. . 518400 IN NS D-ROOT.114DNS.NET. . 518400 IN NS E-ROOT.114DNS.NET. . 518400 IN NS F-ROOT.114DNS.NET. A-ROOT.114DNS.NET. 3600000 IN A 114.114.118.201 B-ROOT.114DNS.NET. 3600000 IN A 114.114.118.202 C-ROOT.114DNS.NET. 3600000 IN A 114.114.118.203 D-ROOT.114DNS.NET. 3600000 IN A 114.114.118.204 E-ROOT.114DNS.NET. 3600000 IN A 114.114.118.205 F-ROOT.114DNS.NET. 3600000 IN A 114.114.118.206
應急方案一
操作:以 114dns_0331.hint 覆蓋原有 hint 文件並重載 named。
效果:能有效應對前述 A、B 兩種攻擊,絕大部份網絡資源可訪問如往常,個人用戶訪問這些網絡資源的速度如往常,極少量的網絡資源不可訪問。
原理:114DNS 具有 6 個應急 root 服務單元和 18 個應急 gTLD/ccTLD 服務單元,可按攻擊的不同情況,無損接續現有的 13 個 DNS 根節點及 200 多個 gTLD/ccTLD 服務節點中部分節點或全部節點的工作,從而讓 ISP 及企業的遞歸 DNS 服務器能正常完成 DNS 遞歸工作。
應急方案二
操作:修改 /etc/named.conf 文件,增加如下配置,然後重載 named。
zone "." {
type forward;
forwarders { 114.114.114.114;114.114.115.115; };
};
效果:能有效應對前述 A、B、C 三種攻擊,大部分網絡資源可以正常訪問,但是個人用戶訪問這些網絡資源的速度可能下降,小部分的網絡資源不可訪問。
原理:114DNS具有28個遞歸點,對相同域名的解析請求,能根據DNS請求包的IP源地址的不同而給出不同的應答,從而讓互聯網公司的 CDN 能正常工作。
DNS應急可引發的後果及規避方法
DNS應急處理不當可引發如下後果:(1)DNS應急備份中心所在地區的網絡被堵塞,它又反過來影響DNS應急備份中心提供正常服務;(2)大中型互聯網公司的CDN調度嚴重受損,造成大部分網絡資源無法訪問。如果DNS應急備份中心僅在同一個地點做DNS遞歸,則大部分CDN公司的域名都被解析到該地(或鄰近該地)的IP地址段,導致該地骨幹網流量暴漲、CDN公司的服務器過載,而其他地區卻沒有流量。因而DNS應急備份系統的基本要求,就是在多個地區具備輔助DNS遞歸點、備份中心能按DNS請求的源IP進行不同的應答。114DNS目前在國內有28個DNS遞歸點,但是國內大型互聯網公司的分區高於28個,因而會對其CDN調度造成一定的損傷,但可以肯定的是:僅有1個遞歸點的DNS應急備份方案是不可用的。
其他說明
1. 上述DNS應急方案的有效性,僅在BIND 9上測試過;
2. 由於一些不可控的原因,114DNS暫時僅能保證在AS4134、AS4837及其信任聯盟範圍內的遞歸DNS應急有效;
3. 114DNS會盡最大的努力嘗試讓國內互聯網正常運轉,但DNS乃互聯網基石,該基石如受損我們無法確保每個互聯網企業和個人用戶不受絲毫影響;
4. 無論是方案一還是方案二,114DNS都有嚴格的限流策略,事先發郵件到dnsadmin#114dns.com(#換成@)註明你的遞歸DNS服務器的服務IP地址、遞歸用IP地址、單位、姓名和聯繫電話,可確保DNS應急功能正常。
114DNS已投入大量的精力應對3月31日潛在的DNS故障,相關的應急方案已被基礎電信運營商所採納。由於內存資源的限制,114DNS無法將全球幾億個域名的NS記錄都注入到114DNS的應急單元,信風已通過程序自動將排名在前300萬的域名的NS記錄注入到114DNS的應急單元。爲保證3月31的DNS應急行之有效,信風將對部分訪問量較大的站點做人工測試,必要時會與其NS維護人員做EMAIL或電話勾通。互聯網企業也可直接發郵件到dnsadmin#114dns.com,註明企業的所有域名(域名本身而非DNS記錄)以確保它們都被注入到114DNS的應急單元。歡迎DNS業內的同行專家提出更好的建議,共同渡過3月31日這一潛在的網絡難關。