您当前的位置:首页 > 电脑百科 > 安全防护 > DDOS

「华安解密之DDoS攻防」01 DNS原理篇“暴风”事件解密

时间:2019-10-30 10:51:49  来源:  作者:

杨哥关注的华为官方的【华安解密之DDoS攻防】非常实用,纯纯的干货,决定每天一篇分享给爱看头条并且爱学习的条友们。

正文如下:


「华安解密之DDoS攻防」01 DNS原理篇“暴风”事件解密

 

说到DDoS攻击,就让人不由得想起多年前那场触目惊心的“519暴风断网”事件。这场灾难仿佛一阵飓风,瞬间席卷了中国互联网。暴风事件带来的巨大破坏性,不仅仅是在短短两个小时内让天津、北京、上海、河北、山西、内蒙古、辽宁、吉林、江苏、黑龙江、浙江、安徽、湖北、广西、广东等地区的DNS服务陆续瘫痪,导致用户不能正常上网,更为重要的是,众多黑客灵光一闪,开启了一种新的攻击模式。那次互联网灾难之后,DDoS攻击的编年史中出现了两个时代:一个是前暴风时代,一个是后暴风时代。

今天就和大家一起回顾一下“519暴风断网”事件。

事件回顾

失了一颗铁钉,亡了一个国家。一个馒头,引发一场血案。很多很多大事件,都是从微不足道的小事开始的。这一次,小人物再次改变了历史。

“暴风”这件事儿的起因是两个游戏私服互相竞争,来回发动DDoS攻击。在达不到预期效果的情况下,干脆直接向对方的域名服务器下手了。

5月18日开始,DNS服务提供商DNSPod的6台服务器开始受到攻击。

18日晚20点33分,在史无前例的大流量攻击下,DNSPod的6台服务器开始陆续失效,大量网站开始间歇性无法访问。第一波攻击的流量在21点30分左右达到高峰,流量超过了10Gbps。要知道那可是2009年,奥运会才开过一年,北京的房价还是可以接受的,一个电信核心机房的带宽最多也只有几十G。

18日当晚,由于DNSPod耗尽了整个机房近乎三分之一的带宽资源,为了不影响机房其他用户,DNSPod服务器被运营商下线。

如果事情到此为止,其实也不会造成多大的影响。可是发动攻击的黑客忘了,运营商的管理员也忘了,DNSPod并不仅仅为这个被攻击的网游私服提供域名解析服务,还支持数十万其他的网站,这其中就包括大名鼎鼎的暴风影音。普通用户遇到上网失败,试几次就放弃了;暴风影音软件的设计,使它在请求失败后持续不断地重新发起请求。再考虑到暴风影音巨大的装机量,悲剧发生了。

19日晚,由于DNSPod网络服务被中断,致使其无法为包括baofeng.com在内的域名提供域名解析服务,诸多采用DNSPod服务的网站无法访问,DNS请求涌向了本地DNS缓存服务器,DNS缓存服务终于顶不住了,发生了大面积的堵塞。

19日晚21点左右,浙江电信DNS缓存服务开始瘫痪,之后的两个小时内天津、北京、上海、河北、山西、内蒙古、辽宁、吉林、江苏、黑龙江、浙江、安徽、湖北、广西、广东等地区的DNS缓存服务器也陆续瘫痪。全国各省市出现大面积断网。

「华安解密之DDoS攻防」01 DNS原理篇“暴风”事件解密

 

事件中涉及的几个关键角色

DNSPod

DNSPod是国内最大的一家免费DNS解析服务提供商,暴风影音和前面恶性竞争的游戏私服都是DNSPod的客户。

运营商

由于中国特色的运营商市场,导致DNSPod这样的网络基础服务提供商无法独立承建数据中心,只能租用运营商IDC的机房和服务器资源。

暴风影音

影音软件起家,后来向媒体提供商转型。暴风影音软件中,有一项强制随机启动的名为stormliv.exe的进程,只要用户安装了暴风影音,该进程就会自动运行,并不断连接暴风影音网站,下载广告或升级。

私服与黑客

这个就很容易理解了,一个是为了一己私欲,策划这场攻击事件的背后指示者;一个是为了牟取暴利的攻击事件执行者。

从事件整个过程来看,一共有几个关键点:

1、游戏私服攻击竞争对手DNS服务,打蛇打七寸,间接攻击了整个DNSPod的业务。

2、运营商对DNSPod流量进行了阻断,粗暴的对流量进行了黑洞处理。

3、几亿安装了暴风影音客户端的PC充当“肉鸡”,导致运营商DNS缓存服务器无法提供服务,进而导致大面积断网。

如果把这次事件看成是“多米诺骨牌”效应,那被推倒的第一张“骨牌”是DNSPod服务器;第二张“骨牌”毫无疑问就是暴风影音充当“肉鸡”导致服务耗尽的运营商DNS缓存服务器;而第三张“骨牌”就是全国范围瘫痪的网络了。如果想深入理解这次互联网灾难,我们要先从DNS的基础知识讲起。

DNS服务器在网络中充当什么角色?

大家都知道,当我们在上网的时候,通常输入的是网址,其实这就是一个域名,比如www.vmall.com。这个域名就好比是餐馆的招牌,通常我们想要找一个餐馆,一般都会输入餐馆名称进行查找,而不是直接找XX街XX号。大家很难记住这个门牌号,而餐馆名称却很容易记住。

网络上的计算机彼此之间只能用IP地址才能相互识别,但是IP地址是一串数字,很难记忆,所有就有了域名。域名很容易被人们记住,我们上网的时候可以直接输入域名,计算机需要通过域名找到对应的IP地址,这就是域名解析的过程。

域名解析要由专门的域名解析系统(Domain Name System,简称DNS)来完成。在DNS系统中,涉及以下几种类型的服务器:

服务器主要用来管理互联网的主目录,全世界只有13个根逻辑服务器节点。这13个节点其中10个设置在美国,另外各有一个设置于英国、瑞典和日本。虽然网络是无国界的,但服务器还是有国界的。所有根服务器均由美国政府授权的互联网域名与号码分配机构ICANN统一管理。

顶级域名服务器一般用于存储.com、.edu、.cn等顶级域名。

递归服务器也可理解为存储着官方域名解析授权的授权服务器,一般存储着这个网络中域名和IP地址的解析关系,也就是DNSPod充当的角色。试想一下,如果每个上网用户在上网的时候都向授权服务器发送请求,那授权服务器必然承受不住,所以就有了缓存服务器存在的必要。

缓存服务器就相当于是授权服务器的一个代理,可以缓解授权服务器的压力。我们每次上网的时候,域名解析的请求都是发给缓存服务器的,缓存服务器第一次收到用户请求的时候,会向授权服务器请求域名和IP地址的解析表,然后储存在本地,等后续再有用户请求相同的域名时,就会直接答复,不再请求。毕竟一个网站的IP地址不是经常变换的。当然,这个解析表是有一定的有效期的,等有效期到了,这个解析表就会自动老化,等下次有用户请求时重新向授权服务器询问。这个定期老化机制,可以保证缓存服务器上域名解析的定期更新。

「华安解密之DDoS攻防」01 DNS原理篇“暴风”事件解密

 

1、 DNS客户端查询通常采用递归方式,缓存服务器首先会判断本地是否有这个域名的解析缓存。

2、 如果本地没有缓存,就会把域名发送到根服务器。根服务器收到www.vmall.com请求后,会判断.com是谁授权管理,并返回.com所在的顶级域名服务器IP地址。

3、 缓存服务器继续向顶级域名服务器发送www.vmall.com解析请求,顶级域名服务器收到请求后,会返回下一级.vmall.com的递归服务器IP地址。

4、 缓存服务器继续向递归服务器发送www.vmall.com解析请求,递归服务器收到请求后,返回www.vmall.com的解析地址。如果域名层级较多,则递归服务器也会存在多级。

5、 缓存服务器得到www.vmall.com的解析IP地址后,将IP地址发送给客户端,同时在本地缓存。

6、 后续一段时间内,当有客户端再次请求www.vmall.com这个域名解析时,缓存服务器直接回应解析的IP地址,不再重复询问。

针对关键环节解决方案思路:

我们继续回到暴风影音这件事上。运营商对DNSPod采用的是粗暴式的黑洞处理,显然这种方式是不行的,直接影响了其他域名的解析业务。

1、DNS递归(授权)服务缺少有效的保护,运营商IDC和SP缺少应用层清洗能力,可以针对应用层流量进行攻击流量的识别和针对性清洗。

2、DNS缓存服务缺少有效的保护,DNS缓存服务缺少对于特定域名的限速,以及异常流量中有针对性的清洗攻击流量,转发正常流量的能力。

华为专业Anti-DDoS解决方案怎么做?

华为Anti-DDoS专业防御系统支持对DNS服务器提供精细化的防御。精细化的意思就是针对不同的DNS服务器、不同的攻击类型、不同的应用场景,提供不同的防御手段。华为Anti-DDoS针对这次事件可以从两方面进行部署。

授权服务器防护

DNSPod服务器的防护可以作为第一道防线。对于DNSPod服务器,由于它所遭受的攻击其实都是僵尸主机发送的DNS query,属于虚假源攻击,所以可以采用重定向方式进行防御。

「华安解密之DDoS攻防」01 DNS原理篇“暴风”事件解密

 

缓存服务器防护

如果DNSPod服务器不幸沦陷了,那还可以通过保护DNS缓存服务器,作为阻止事件继续恶化的第二道防线。

DNS缓存服务器和DNSPod服务器所遭受的攻击不同,毕竟暴风影音用户都是真实存在的源,属于真实源攻击,源认证防御方式对这种真实源无效, 所以可以这么做:

1、 首先,Anti-DDoS支持针对DNS服务的TopN统计,并提供报表。从报表中,可以获知访问最多的Top N域名,在这么大的访问量下,暴风影音一定是名列前茅的。

2、 然后,针对被攻击域名进行指定域名限速,即对暴风影音的域名进行限速。

这样就可以避免其他域名服务受影响,也不会导致DNS缓存服务器瘫痪。

「华安解密之DDoS攻防」01 DNS原理篇“暴风”事件解密

 

域名作为广大民众访问互联网的起点和入口,是全球互联网通信的基础。域名解析系统作为承载全球亿万域名正常使用的系统,是互联网的基础设施。而域名系统又是一种公开服务,很容易被黑客作为攻击的对象。域名系统的故障会导致互联网陷入瘫痪,所以保护域名系统也变得至关重要。

“暴风影音”事件的第二阶段,也就是DNS缓存服务器拒绝服务,导致大面积Internet接入瘫痪,才是本次攻击的威力点。这个结果虽然不是攻击者的本意,但是一连串的连锁反应,使它成为DDoS史上具有里程碑意义的关键事件。它给了DDoS攻击者新的方向,如何利用庞大的网络基础设施架构产生更大、更真实的DDoS攻击。后面的NTP反射攻击,搜狐视频签名嵌入式攻击等都是源于这个思路,它开启了DDoS攻击的新纪元。


文章版权归华为官方,烦请大家转载的话注明。



Tags:DDoS   点击:()  评论:()
声明:本站部分内容及图片来自互联网,转载是出于传递更多信息之目的,内容观点仅代表作者本人,如有任何标注错误或版权侵犯请与我们联系(Email:2595517585@qq.com),我们将及时更正、删除,谢谢。
▌相关推荐
前言传统的 DDOS 防御通常使用“硬抗”的方式,导致开销很大,而且有时效果并不好。例如使用 DNS 切换故障 IP 的方案,由于域名会受到缓存等因素的影响通常有分钟级延时,前端难以...【详细内容】
2021-12-21  Tags: DDoS  点击:(19)  评论:(0)  加入收藏
DDOS简介DDOS又称为分布式拒绝服务,全称是Distributed Denial of Service。DDOS本是利用合理的请求造成资源过载,导致服务不可用,从而造成服务器拒绝正常流量服务。就如酒店里...【详细内容】
2021-08-20  Tags: DDoS  点击:(69)  评论:(0)  加入收藏
工具https://github.com/poornigga/tfn2k.githttps://github.com/cxueqin/falcon.git //tfn2k web版本https://github.com/GinjaChris/pentmenu.githttps://github.com/Of...【详细内容】
2021-08-04  Tags: DDoS  点击:(69)  评论:(0)  加入收藏
摘要: 发送大量的数据包消耗目标主机资源,使其无法正常工作。1.前言:DOS攻击原理:发送大量的数据包消耗目标主机资源,使其无法正常工作。DNS放大攻击的原理:伪造DNS数据包,向DNS服...【详细内容】
2021-04-15  Tags: DDoS  点击:(219)  评论:(0)  加入收藏
随着如今DDoS攻击技术的不断成熟,关于防DDoS攻击的安全防护措施你知道多少?只有清楚的了解DDoS攻击的定义和原理和你有可能或者将会面临什么样的攻击,才更好的不断加强防护,才能...【详细内容】
2021-01-22  Tags: DDoS  点击:(201)  评论:(0)  加入收藏
上网的时候,我们总能或多或少地听到一些新闻,某某网站又遭遇DDoS攻击了,十几二十个小时,网站都没办法打开。似乎每一次DDoS的出现,都有大新闻。...【详细内容】
2021-01-19  Tags: DDoS  点击:(141)  评论:(0)  加入收藏
DDoS攻击的危害:DDoS的攻击方式有很多种,最基本的DDoS攻击就是利用合理的服务请求来占用过多的服务资源,从而使合法用户无法得到服务的响应。单一的DDoS攻击一般是采用一对一方...【详细内容】
2020-09-23  Tags: DDoS  点击:(160)  评论:(0)  加入收藏
.DDos概念  分布式拒绝服务攻击(英文意思是Distributed Denial of Service,简称DDoS)是指处于不同位置的多个攻击者同时向一个或数个目标发动攻击,或者一个攻击者控制了位于...【详细内容】
2020-09-03  Tags: DDoS  点击:(131)  评论:(0)  加入收藏
如果您对DDoS攻击有所了解,您很可能已经注意到DDoS攻击会如何危害您的网站。DDoS攻击通过拖延业务和使网站脱机而对全球的企业和网站造成严重破坏。根据NSFOCUS发布的报告显...【详细内容】
2020-08-24  Tags: DDoS  点击:(120)  评论:(0)  加入收藏
DDOS是最常见的网络攻击方式,具有极强的破坏性和危害性,很多人对ddos攻击的感知主要来自于一些关于网络安全的新闻报道,下面是DDoS攻击的五个误区。知道DDOS的攻击,才能更好的防...【详细内容】
2020-08-24  Tags: DDoS  点击:(146)  评论:(0)  加入收藏
▌简易百科推荐
前言传统的 DDOS 防御通常使用“硬抗”的方式,导致开销很大,而且有时效果并不好。例如使用 DNS 切换故障 IP 的方案,由于域名会受到缓存等因素的影响通常有分钟级延时,前端难以...【详细内容】
2021-12-21  网盾科技    Tags:DDOS   点击:(19)  评论:(0)  加入收藏
DDOS简介DDOS又称为分布式拒绝服务,全称是Distributed Denial of Service。DDOS本是利用合理的请求造成资源过载,导致服务不可用,从而造成服务器拒绝正常流量服务。就如酒店里...【详细内容】
2021-08-20  KaliMa    Tags:DDOS攻击   点击:(69)  评论:(0)  加入收藏
工具https://github.com/poornigga/tfn2k.githttps://github.com/cxueqin/falcon.git //tfn2k web版本https://github.com/GinjaChris/pentmenu.githttps://github.com/Of...【详细内容】
2021-08-04  安全客小安    Tags:DDoS   点击:(69)  评论:(0)  加入收藏
死亡之 Ping 攻击是一种拒绝服务 (DoS) 攻击,攻击者旨在通过发送大于最大允许大小的数据包来破坏目标计算机,从而导致目标计算机冻结或崩溃。原始的死亡之 Ping 攻击如今并不...【详细内容】
2021-04-15  埃文  今日头条  Tags:Ping 攻击   点击:(183)  评论:(0)  加入收藏
摘要: 发送大量的数据包消耗目标主机资源,使其无法正常工作。1.前言:DOS攻击原理:发送大量的数据包消耗目标主机资源,使其无法正常工作。DNS放大攻击的原理:伪造DNS数据包,向DNS服...【详细内容】
2021-04-15  安界  今日头条  Tags:DDoS   点击:(219)  评论:(0)  加入收藏
国内外有很多网站会遇到CC攻击这种说简单也简单说不简单也不简单的攻击类型,CC攻击很不利于一个网站服务器的运行,因此很多技术人员针对这种攻击手段来研发应对手段。不过,目前...【详细内容】
2021-03-19      Tags:CC攻击   点击:(157)  评论:(0)  加入收藏
根据Google最新公布的“Chrome中的HTTPS加密情况”统计数据表明,2015年至2020年通过HTTPS加载的业务占比逐步升高,截至2020年7月,在Chrome上加密的比例已达到96%,越来越多Web业...【详细内容】
2021-01-22      Tags:恶意流量   点击:(159)  评论:(0)  加入收藏
随着如今DDoS攻击技术的不断成熟,关于防DDoS攻击的安全防护措施你知道多少?只有清楚的了解DDoS攻击的定义和原理和你有可能或者将会面临什么样的攻击,才更好的不断加强防护,才能...【详细内容】
2021-01-22      Tags:DDoS攻击   点击:(201)  评论:(0)  加入收藏
上网的时候,我们总能或多或少地听到一些新闻,某某网站又遭遇DDoS攻击了,十几二十个小时,网站都没办法打开。似乎每一次DDoS的出现,都有大新闻。...【详细内容】
2021-01-19      Tags:DDoS攻击   点击:(141)  评论:(0)  加入收藏
当我在 Heroku 管理安全团队时,我经常做一个噩梦:我的 PagerDuty 警报响了,提醒我发生了安全事故。在梦中,我盯着手机并意识到“不,大事不好”——接着,我就被惊醒了。...【详细内容】
2020-12-07      Tags:DoS攻击   点击:(143)  评论:(0)  加入收藏
最新更新
栏目热门
栏目头条