DNS作为互联网的基础服务和入口,对站长的重要性不言而喻。然而在中国,或者说世界范围来讲,DNS正在面临越来越严重的安全威胁,针对DNS服务的攻击也越来越严重。DNS攻击具体表现就是攻击流量越来越大、攻击手段越来越新颖。DNSPod为了保障用户的解析服务,这两年也做了很多相应的工作来应对这些攻击。
1. DDoS
虽然Anonymous没能黑掉13个根域名服务器,不过年初Spamhaus受到300G的攻击,攻击流量之大史无前例,对整个欧洲的互联网都造成了很大的影响。Spamhaus攻击是通过大量的递归DNS服务器反射放大攻击流量来攻击目标服务器,这是这两年比较流行的一种攻击方式。
DNSPod服务器也经常受到或者被利用进行反射放大攻击,我们在防护此种类型的攻击上也做了大量的工作,比如在去年上半年关闭了any类型的查询,和腾讯安全中心研发部署了支持多种防护算法的防护设备,并且针对黑客不断变化的攻击方式不断更新防护算法,部署完成到现在近两年的时间里抗住了所有针对DNSPod的攻击。
2013年9月,DNSPod受到一次超过100G流量的攻击,这次攻击不仅在攻击流量上刷新了DNSPod的记录,在攻击手段上也很新颖,不是直接打流量,也不是反射放大流量攻击。黑客通过向大量的递归服务器发送要攻击域名的查询请求,然后递归再向DNSPod的解析服务器发出查询请求,因为各地的递归服务器一般都在我们防护设备的白名单中,所以黑客通过这种方式绕过我们防护设备原有的过滤算法,迫使我们的解析服务器对攻击请求进行应答,当然DNSPod还是成功防御了此次攻击,没有用户受到影响。
这次攻击之后除了我们针对性的更新防护算法之外,也已经在部署今年新研发的高性能解析服务器集群,单机可以处理最高1100万次DNS查询请求,到明年年初会在全国各地部署完成多个集群。届时,DNSPod的最高扛攻击能力会从现在的160G升级到300G以上。
2013年8月底,.cn根域被DDoS,这是今年对国内互联网影响最大的一次攻击,包括.cn、.com.cn和.gov.cn等大量.cn后缀的域名的解析受到影响,攻击流量也刷新了.cn被攻击的最大记录,这次攻击DNSPod首先监控到并发布了相关消息,后续也配合CNNIC等有关部门进行了相应沟通和处理。
2. DNS劫持
DNS攻击的另一个流行方式就是DNS劫持,或者说域名劫持,黑客通过网站漏洞、撞库或者社工等方式将域名的NS或者记录修改成指定的值,从而达到自己的目的。
通过网站漏洞的方式劫持域名今年有比较出名的就是5月土豆域名被劫持和6月点评网的域名被劫持,尤其是点评网域名被劫持和找回的过程更是比较戏剧化。这种攻击方式主要是对域名注册和服务商的安全性要求比较高,如果发现安全漏洞一定要重视并且尽快修复。
然后就是密码的问题,不得不说的一件事是前几个月有很多用户跑到微博上质问说DNSPod存在漏洞,在DNSPod解析的域名被添加了泛解析或者二级域名,解析到了博彩或者黄色网站上,被搜索引擎K站。但是经过我们的彻查,发现出现这些问题的用户都是因为在DNSPod使用了和其他网站(主要是CSDN)相同的账号密码,而不是DNSPod的漏洞导致的。甚至道哥也在黑板报里对CSDN的密码库都已经泄漏了几年了还这么有效表示惊讶,当然也不能排除有些站长是修改过密码但觉得时间很长没事了,最后又改回了在CSDN用过的密码。
针对这个问题DNSPod快速上线了很多功能来减少影响,包括多次提醒此类存在安全隐患的用户修改密码、禁止添加黑名单中的ip、异地登陆限制、微信锁定账号等等,到最后直接将所有存在安全隐患的用户账户全部锁定禁止修改。
我们所做的这些工作都是治标不治本,最需要的还是站长提高安全意识,在DNSPod使用独立的强密码。而且近期DNSPod也将会把D令牌改为免费开启,通过动态密码减少密码泄漏问题对站长造成的影响。
除了从已泄露的密码库获取账号密码来撞库外,另一个古老但非常有效的方式就是社工了,尤其国内个人资料泄露的情况比较严重的情况下,社工更是一个简单有效的进行域名劫持的方法。
作为站长,防止社工主要的还是在重要的账号上使用单独私有的账号密码等信息,并保护好信息不被泄露,一旦发现异常马上更改。DNSPod为了防止社工,对审核用户资料和后台权限控制也限制的越来越严格,关闭和回收了部分技术支持的后台修改权限,尽量做到用户自助服务,后台修改需要经过多层严格检查,当然这个不可避免的会对正常用户的正常取回等操作有一定影响。
今年还有一个影响比较大的DNS劫持事件就是对家用路由DNS的劫持,这个对国内普通网民来说可能不会关注也不会去修改自己家里路由器的默认密码或者去升级固件,现在主要是还靠桌面管家和安全助手等桌面工具来减少影响。
总的来说,今年DNS行业发生了不少比较大的安全事件,整体的安全形势一直很严峻,DNSPod会一直和广大站长一起来应对威胁。