著名黑客组织威胁将于3月31日攻击13个DNS根服务器从而让全球互联网瘫痪,以此抗议美国网络反盗版法案及华尔街银行家。由于该黑客组织曾攻破美国中央情报局、欧洲议会的网站,所以这个攻击威胁引起关注。4月1号是愚人节,不排除这是黑客组织的一个恐怖玩笑,但作为互联网的从业者,114DNS对此严阵以待。下面的章节主要提供给ISP及大中型企业的递归DNS维护人员及互联网企业的NS维护人员参考,个人用户仅需将DNS地址修改为114.114.114.114而无需关心下述内容。
从技术上而言,13个DNS根节点如果被攻瘫,递归DNS服务器可以比较容易地绕过这个故障并正常完成DNS递归工作(从IANA能下载到相关的Hint文件),从而保证大众能正常上网。我们分析,国际著名的黑客组织不应该这么业余,黑客组织最有可能攻击的方法是以BotNet攻击ISP的递归DNS服务,间接导致gTLD/ccTLD节点过载的同时加速ISP的递归DNS服务瘫痪,达到黑客让全球互联网瘫痪的目的。
114DNS将尽匹夫之责,协助国人继续上网!下面简单罗列黑客可能攻击的对象,并说明114DNS在每种情况下能达到的效果,然后再阐述如何使用114DNS应对各种攻击。
直接攻击13个DNS根节点容易防护。114DNS的应急根服务器,可以承载DNS根节点的绝大部分服务;
直接攻击gTLD/ccTLD节点较难防护。114DNS的应急gTLD/ccTLD根服务器,可以承载gTLD/ccTLD节点的主要服务,但极少量的服务会受到损伤;
直接攻击ISP的递归DNS服务器很难防护。以随机域名直接攻击ISP的递归DNS服务,间接导致gTLD/ccTLD节点过载,反过来又加速ISP的递归DNS服务瘫痪。114DNS的智能应急备份中心,可以承载ISP递归DNS的大部分服务,但有少量的服务会受到损伤;
下面简述如何使用114DNS的应急DNS服务对付3月31日潜在的DNS故障。 准备工作
在递归DNS服务器上备份原有的 hint 文件(例如named.root),编辑一个新文件114dns_0331.hint 内容为如下12行:
. 518400 IN NS A-ROOT.114DNS.NET.
. 518400 IN NS B-ROOT.114DNS.NET.
. 518400 IN NS C-ROOT.114DNS.NET.
. 518400 IN NS D-ROOT.114DNS.NET.
. 518400 IN NS E-ROOT.114DNS.NET.
. 518400 IN NS F-ROOT.114DNS.NET.
A-ROOT.114DNS.NET. 3600000 IN A 114.114.118.201
B-ROOT.114DNS.NET. 3600000 IN A 114.114.118.202
C-ROOT.114DNS.NET. 3600000 IN A 114.114.118.203
D-ROOT.114DNS.NET. 3600000 IN A 114.114.118.204
E-ROOT.114DNS.NET. 3600000 IN A 114.114.118.205
F-ROOT.114DNS.NET. 3600000 IN A 114.114.118.206。 应急方案一
操作:以114dns_0331.hint覆盖原有hint文件并重载named。
效果:能有效应对前述A、B两种攻击,绝大部份网络资源可访问如往常,个人用户访问这些网络资源的速度如往常,极少量的网络资源不可访问。
原理:114DNS具有6个应急root服务单元和18个应急gTLD/ccTLD服务单元,可按攻击的不同情况,无损接续现有的13个DNS根节点及200多个gTLD/ccTLD服务节点中部分节点或全部节点的工作,从而让ISP及企业的递归DNS服务器能正常完成DNS递归工作。
应急方案二
操作:修改/etc/named.conf文件,增加如下配置,然后重载named。
zone "." {
type forward;
forwarders { 114.114.114.114;114.114.115.115; };
};
效果:能有效应对前述A、B、C三种攻击,大部分网络资源可以正常访问,但是个人用户访问这些网络资源的速度可能下降,小部分的网络资源不可访问。
原理:114DNS具有28个递归点,对相同域名的解析请求,能根据DNS请求包的IP源地址的不同而给出不同的应答,从而让互联网公司的CDN能正常工作。
IP卡
狗仔卡
提升卡
置顶卡
沉默卡
喧嚣卡
变色卡
抢沙发
千斤顶
显身卡