楊哥關注的華為官方的【華安解密之DDoS攻防】非常實用,純純的干貨,決定每天一篇分享給愛看頭條并且愛學習的條友們。
正文如下:
說到DDoS攻擊,就讓人不由得想起多年前那場觸目驚心的“519暴風斷網”事件。這場災難仿佛一陣颶風,瞬間席卷了中國互聯網。暴風事件帶來的巨大破壞性,不僅僅是在短短兩個小時內讓天津、北京、上海、河北、山西、內蒙古、遼寧、吉林、江蘇、黑龍江、浙江、安徽、湖北、廣西、廣東等地區的DNS服務陸續癱瘓,導致用戶不能正常上網,更為重要的是,眾多黑客靈光一閃,開啟了一種新的攻擊模式。那次互聯網災難之后,DDoS攻擊的編年史中出現了兩個時代:一個是前暴風時代,一個是后暴風時代。
今天就和大家一起回顧一下“519暴風斷網”事件。
事件回顧
失了一顆鐵釘,亡了一個國家。一個饅頭,引發一場血案。很多很多大事件,都是從微不足道的小事開始的。這一次,小人物再次改變了歷史。
“暴風”這件事兒的起因是兩個游戲私服互相競爭,來回發動DDoS攻擊。在達不到預期效果的情況下,干脆直接向對方的域名服務器下手了。
5月18日開始,DNS服務提供商DNSPod的6臺服務器開始受到攻擊。
18日晚20點33分,在史無前例的大流量攻擊下,DNSPod的6臺服務器開始陸續失效,大量網站開始間歇性無法訪問。第一波攻擊的流量在21點30分左右達到高峰,流量超過了10Gbps。要知道那可是2009年,奧運會才開過一年,北京的房價還是可以接受的,一個電信核心機房的帶寬最多也只有幾十G。
18日當晚,由于DNSPod耗盡了整個機房近乎三分之一的帶寬資源,為了不影響機房其他用戶,DNSPod服務器被運營商下線。
如果事情到此為止,其實也不會造成多大的影響。可是發動攻擊的黑客忘了,運營商的管理員也忘了,DNSPod并不僅僅為這個被攻擊的網游私服提供域名解析服務,還支持數十萬其他的網站,這其中就包括大名鼎鼎的暴風影音。普通用戶遇到上網失敗,試幾次就放棄了;暴風影音軟件的設計,使它在請求失敗后持續不斷地重新發起請求。再考慮到暴風影音巨大的裝機量,悲劇發生了。
19日晚,由于DNSPod網絡服務被中斷,致使其無法為包括baofeng.com在內的域名提供域名解析服務,諸多采用DNSPod服務的網站無法訪問,DNS請求涌向了本地DNS緩存服務器,DNS緩存服務終于頂不住了,發生了大面積的堵塞。
19日晚21點左右,浙江電信DNS緩存服務開始癱瘓,之后的兩個小時內天津、北京、上海、河北、山西、內蒙古、遼寧、吉林、江蘇、黑龍江、浙江、安徽、湖北、廣西、廣東等地區的DNS緩存服務器也陸續癱瘓。全國各省市出現大面積斷網。
事件中涉及的幾個關鍵角色
DNSPod
DNSPod是國內最大的一家免費DNS解析服務提供商,暴風影音和前面惡性競爭的游戲私服都是DNSPod的客戶。
運營商
由于中國特色的運營商市場,導致DNSPod這樣的網絡基礎服務提供商無法獨立承建數據中心,只能租用運營商IDC的機房和服務器資源。
暴風影音
影音軟件起家,后來向媒體提供商轉型。暴風影音軟件中,有一項強制隨機啟動的名為stormliv.exe的進程,只要用戶安裝了暴風影音,該進程就會自動運行,并不斷連接暴風影音網站,下載廣告或升級。
私服與黑客
這個就很容易理解了,一個是為了一己私欲,策劃這場攻擊事件的背后指示者;一個是為了牟取暴利的攻擊事件執行者。
從事件整個過程來看,一共有幾個關鍵點:
1、游戲私服攻擊競爭對手DNS服務,打蛇打七寸,間接攻擊了整個DNSPod的業務。
2、運營商對DNSPod流量進行了阻斷,粗暴的對流量進行了黑洞處理。
3、幾億安裝了暴風影音客戶端的PC充當“肉雞”,導致運營商DNS緩存服務器無法提供服務,進而導致大面積斷網。
如果把這次事件看成是“多米諾骨牌”效應,那被推倒的第一張“骨牌”是DNSPod服務器;第二張“骨牌”毫無疑問就是暴風影音充當“肉雞”導致服務耗盡的運營商DNS緩存服務器;而第三張“骨牌”就是全國范圍癱瘓的網絡了。如果想深入理解這次互聯網災難,我們要先從DNS的基礎知識講起。
DNS服務器在網絡中充當什么角色?
大家都知道,當我們在上網的時候,通常輸入的是網址,其實這就是一個域名,比如www.vmall.com。這個域名就好比是餐館的招牌,通常我們想要找一個餐館,一般都會輸入餐館名稱進行查找,而不是直接找XX街XX號。大家很難記住這個門牌號,而餐館名稱卻很容易記住。
網絡上的計算機彼此之間只能用IP地址才能相互識別,但是IP地址是一串數字,很難記憶,所有就有了域名。域名很容易被人們記住,我們上網的時候可以直接輸入域名,計算機需要通過域名找到對應的IP地址,這就是域名解析的過程。
域名解析要由專門的域名解析系統(Domain Name System,簡稱DNS)來完成。在DNS系統中,涉及以下幾種類型的服務器:
根服務器主要用來管理互聯網的主目錄,全世界只有13個根邏輯服務器節點。這13個節點其中10個設置在美國,另外各有一個設置于英國、瑞典和日本。雖然網絡是無國界的,但服務器還是有國界的。所有根服務器均由美國政府授權的互聯網域名與號碼分配機構ICANN統一管理。
頂級域名服務器一般用于存儲.com、.edu、.cn等頂級域名。
遞歸服務器也可理解為存儲著官方域名解析授權的授權服務器,一般存儲著這個網絡中域名和IP地址的解析關系,也就是DNSPod充當的角色。試想一下,如果每個上網用戶在上網的時候都向授權服務器發送請求,那授權服務器必然承受不住,所以就有了緩存服務器存在的必要。
緩存服務器就相當于是授權服務器的一個代理,可以緩解授權服務器的壓力。我們每次上網的時候,域名解析的請求都是發給緩存服務器的,緩存服務器第一次收到用戶請求的時候,會向授權服務器請求域名和IP地址的解析表,然后儲存在本地,等后續再有用戶請求相同的域名時,就會直接答復,不再請求。畢竟一個網站的IP地址不是經常變換的。當然,這個解析表是有一定的有效期的,等有效期到了,這個解析表就會自動老化,等下次有用戶請求時重新向授權服務器詢問。這個定期老化機制,可以保證緩存服務器上域名解析的定期更新。
1、 DNS客戶端查詢通常采用遞歸方式,緩存服務器首先會判斷本地是否有這個域名的解析緩存。
2、 如果本地沒有緩存,就會把域名發送到根服務器。根服務器收到www.vmall.com請求后,會判斷.com是誰授權管理,并返回.com所在的頂級域名服務器IP地址。
3、 緩存服務器繼續向頂級域名服務器發送www.vmall.com解析請求,頂級域名服務器收到請求后,會返回下一級.vmall.com的遞歸服務器IP地址。
4、 緩存服務器繼續向遞歸服務器發送www.vmall.com解析請求,遞歸服務器收到請求后,返回www.vmall.com的解析地址。如果域名層級較多,則遞歸服務器也會存在多級。
5、 緩存服務器得到www.vmall.com的解析IP地址后,將IP地址發送給客戶端,同時在本地緩存。
6、 后續一段時間內,當有客戶端再次請求www.vmall.com這個域名解析時,緩存服務器直接回應解析的IP地址,不再重復詢問。
針對關鍵環節解決方案思路:
我們繼續回到暴風影音這件事上。運營商對DNSPod采用的是粗暴式的黑洞處理,顯然這種方式是不行的,直接影響了其他域名的解析業務。
1、DNS遞歸(授權)服務缺少有效的保護,運營商IDC和SP缺少應用層清洗能力,可以針對應用層流量進行攻擊流量的識別和針對性清洗。
2、DNS緩存服務缺少有效的保護,DNS緩存服務缺少對于特定域名的限速,以及異常流量中有針對性的清洗攻擊流量,轉發正常流量的能力。
華為專業Anti-DDoS解決方案怎么做?
華為Anti-DDoS專業防御系統支持對DNS服務器提供精細化的防御。精細化的意思就是針對不同的DNS服務器、不同的攻擊類型、不同的應用場景,提供不同的防御手段。華為Anti-DDoS針對這次事件可以從兩方面進行部署。
授權服務器防護
DNSPod服務器的防護可以作為第一道防線。對于DNSPod服務器,由于它所遭受的攻擊其實都是僵尸主機發送的DNS query,屬于虛假源攻擊,所以可以采用重定向方式進行防御。
緩存服務器防護
如果DNSPod服務器不幸淪陷了,那還可以通過保護DNS緩存服務器,作為阻止事件繼續惡化的第二道防線。
DNS緩存服務器和DNSPod服務器所遭受的攻擊不同,畢竟暴風影音用戶都是真實存在的源,屬于真實源攻擊,源認證防御方式對這種真實源無效, 所以可以這么做:
1、 首先,Anti-DDoS支持針對DNS服務的TopN統計,并提供報表。從報表中,可以獲知訪問最多的Top N域名,在這么大的訪問量下,暴風影音一定是名列前茅的。
2、 然后,針對被攻擊域名進行指定域名限速,即對暴風影音的域名進行限速。
這樣就可以避免其他域名服務受影響,也不會導致DNS緩存服務器癱瘓。
域名作為廣大民眾訪問互聯網的起點和入口,是全球互聯網通信的基礎。域名解析系統作為承載全球億萬域名正常使用的系統,是互聯網的基礎設施。而域名系統又是一種公開服務,很容易被黑客作為攻擊的對象。域名系統的故障會導致互聯網陷入癱瘓,所以保護域名系統也變得至關重要。
“暴風影音”事件的第二階段,也就是DNS緩存服務器拒絕服務,導致大面積Internet接入癱瘓,才是本次攻擊的威力點。這個結果雖然不是攻擊者的本意,但是一連串的連鎖反應,使它成為DDoS史上具有里程碑意義的關鍵事件。它給了DDoS攻擊者新的方向,如何利用龐大的網絡基礎設施架構產生更大、更真實的DDoS攻擊。后面的NTP反射攻擊,搜狐視頻簽名嵌入式攻擊等都是源于這個思路,它開啟了DDoS攻擊的新紀元。
文章版權歸華為官方,煩請大家轉載的話注明。
