2014年1月21日全国DNS污染始末以及分析
大概1月21日15:30的时候 Ovear正在调试新的服务器结果发现肿么突然上不去了。 。结果ping了以下结果发现Ovear的域名都指向到[65.49.2. 178]这个IP。 Ovear第一反应就是 DNSPOD又被黑了!
AD
大概1月21日15:30的时候 Ovear正在调试新的服务器结果发现肿么突然上不去了。 。结果ping了以下结果发现Ovear的域名都指向到[65.49.2. 178]这个IP。 Ovear第一反应就是 DNSPOD又被黑了!为什么说DNSPOD被黑了呢其实以前DNSPOD就出过一次类似的问题导致所有的域名都跪了刚好Ovear这个域名还有测试的几个域名都是那里的然后就到某交流群吐槽。结果管理员说他们的DNS被污染了 Ovear心想不会是全国DNS都被污染了吧。结果乌鸦嘴说中了。还真的是全国劫持。
然后Ovear就很好奇到底是怎么回事呢~有谁能做到这样的事情~于是就有了以下的分析和科普~
以下内容为Ovear家电脑中病毒所致跟本人无任何关系谢绝跨省balablabala说了这么久肯定有同学问了窝又不是学计算机的 dns是什么跟我有什么关系!
那么DNS是什么呢 Ovear就来科普下。
我们访问一般是通过域名[Domain]来访问的咦DNS怎么也是D开头的难道有关系?说对了!就是有关系:DNS的全称其实是[Domain Name System]翻译过来就是域名系统。
在互联网中是只存在IP的 IP其实就是一串数字相当于你家里的门牌号大家在网络中想找到你必须通过这个所以 IP对于每个人来说是唯一的。但是第四代IP都是root-servers.net] 储存着各个后缀域名的[顶级域名根服务器]
[顶级域名根服务器] 每个后缀对应的DNS服务器存储着该[后缀]所有域名的权威DNS[权威DNS] :这个域名所使用的DNS比如说我设置的DNSPOD的服务器权威DNS就是DNSPOD。在WHOI S(一个查看域名信息的东西)中可以看到。储存着这个域名[对应着的每条信息]如IP等~
所以正确的解析过程应该跟下面的图一样
用户使用的DNS(边缘DNS)- (还会网上推很多级最终到)根DNS-顶级域名根服务器-权威DNS)
根DNS是什么呢?大家想想每个域名都有一个后缀,比如说ovear是[. info]后缀的。那么就有一个专门记录[. info]后缀的dns服务器其他后缀也一样。这个DNS就是该域名的根DNS。那么递归DNS呢?其实递归DNS就是一个代理人是用来缓解[根DNS]压力的如果大家都去问[根DNS] 那[根DNS]不早就跪了。毕竟一个人(网站)的地址不是经常变的所以就有了TTL这一说法根据DNS的规定在一个TTL时间呢大家就认为你家里(域名所指向的IP)的地址是不会变的所以代理人[递归DNS]在这个时间内是只会问一次[根DNS]的如果你第二次问他他就会直接告诉你域名所指向的IP地址。这样就可以解决[根DNS]负载过大的问题啦。
顺便这一张图也可以很准确反映出来之前所说的~
说了这么久 口水都干了那么DNS到底跟这次事件有什么关系呢~
首先来看张图
瓦特!肿么这么多域名都指向同一个IP了这是什么情况00。其实这就是典型的[DNS污染]了。
我们知道互联网有两种协议一种是TCP一种则是UDP了(知道泥煤啊(╯ ‵□)╯┻━┻都说我不是学计算机的了) 。
TCP和UDP的主要差别就是能不能保证传递信息的可靠性。UDP是不管消息是否到达了目标也不管通过什么途径的他只管我发出去了就好所以UDP比TCP快得多但是可靠性没有TCP好。
而DNS查询默认就是用的是UDP那么就很好劫持啦。在UDP包任何传输的路途上直接拦截然后返回给接收端就行了。
啧啧说道这大家也隐隐约约知道这次事件的问题了吧范围如此之广的劫持必须要在各个省市的主干网上进行而能处理这么大数据同时能控制这么多主干网的。 。啧啧啧。 。 。没错!就是***了~至于***是什么 Ovear在这就不说了不然可能大家都见不到Ovear了QAQ。说道这里 Ovear就准备手动查一下到底是不是所推测的***呢?于是拿到了这个图(FromXiaoXin)
与此同时运维也在各地的服务器上开始了跟踪查询发现全国各地解析时间均为25ms左右。这时候结论就出来了。
这样就明显了肯定是***做的了~~于是Ovear又好奇的查了下这个IP是什么来头为什么都要指向到这里去于是Ovear发现了一些好玩的东西~(65.49.2.024)
从侧面点出了此次事件的始作俑者。
那么某FW为什么要这么做呢?Ovear在这里做一个无责任的推测最有可能的就是某FW的员工本来是想屏蔽这个IP段的但是呢一不小心点进去了DNS污染这个选项然后又没写污染目标于是就全局污染了啧啧啧~
但是有些童鞋会问了为什么他们都说用8.8.8.8就没事了~
其实这样子说是不正确的 因为Ovear之前用的就是8.8.8.8上面也说了DNS查询默认使用的UDP查询所以不管你用什么照样劫持不误。其实8.8.8.8没问题是因为污染事件已经基本结束导致的那么为什么污染结束后其他国内DNS都不能用而Goole的DNS确可以正常的使用~于是Ovear就找到了张有趣的图片~
我先来解释下上面命令的用途吧~这个命令是用来直接向DNS服务器查询域名的~
其中的[-vc]参数是强制使用TCP来查询DNS服务器这样就可以避免UDP污染的地图炮。那么为什么污染结束后 DNS还会受到污染呢?其实原因很简单。Ovear之前说了 [递归DNS]是需要询问[根DNS]的而默认的询问方式是采用的UDP所以在国内的DNS服务器 自然就受到污染了。而之前Ovear也提到过TTL这件事~
在TTL周期内根据协议[递归DNS]是直接吧结果缓存在自己那是不会再去查询[根DNS]的所以国内的DNS就把错误的结果缓存起来了~
而Google的DNS服务器基本都是在国外所以查询的时候影响并不大但是国内挺多域名使用DNSPOD啦 DNSLA的DNS所以Googl e进国内查还是会受到一定影响的。
因此如果要完全避免这次的影响有两个条件
1、你的域名的DNS必须是在国外
2、你查询的DNS必须在国外而且如果在污染期需要通过TCP查询。
这样就可以避免这个问题了。
然后Ovear又手贱查了下这次的TTL啧啧
如果没有人员来手动干预这次的事件还是要持续蛮久的~。 【编辑推荐】国内互联网根域出现重大故障大量网站无法打开国内出现大面积DNS服务器故障追踪报道国内互联网根域解析异常事件成因不单纯【责任编辑蓝雨泪TEL 010 68476606】
网络技术应试辅导三级
本书根据教育部考试中心2004年最新发布的《全国计算机等级考试大纲》编写针对计算机等级考试三级网络技术各方面的考点进行讲解
Sharktech最近洛杉矶和丹佛低价配置大部分都无货了,只有荷兰机房还有少量库存,商家又提供了两款洛杉矶特价独立服务器,价格不错,CPU/内存/硬盘都是高配,1-10Gbps带宽不限流量最低129美元/月起。鲨鱼机房(Sharktech)我们也叫它SK机房,是一家成立于2003年的老牌国外主机商,提供的产品包括独立服务器租用、VPS主机等,自营机房在美国洛杉矶、丹佛、芝加哥和荷兰阿姆斯特丹等,主...
Cloudxtiny是一家来自英国的主机商,提供VPS和独立服务器租用,在英国肯特自营数据中心,自己的硬件和网络(AS207059)。商家VPS主机基于KVM架构,开设在英国肯特机房,为了庆祝2021年欧洲杯决赛英格兰对意大利,商家为全场VPS主机提供50%的折扣直到7月31日,优惠后最低套餐每月1.5英镑起。我们对这场比赛有点偏见,但希望这是一场史诗般的决赛!下面列出几款主机套餐配置信息。CPU...
今天中午的时候看到群里网友在讨论新版本的Apache HTTP Server 2.4.51发布且建议更新升级,如果有服务器在使用较早版本的话可能需要升级安全,这次的版本中涉及到安全漏洞的问题。Apache HTTP 中2.4.50的修复补丁CVE-2021-41773 修复不完整,导致新的漏洞CVE-2021-42013。攻击者可以使用由类似别名的指令配置将URL映射到目录外的文件的遍历攻击。这里...