如何确保你的DNS服务器免受劫持困扰

太多太多的DNS服务器被恶意人士加以劫持,并用于实施DDoS攻击。在今天的文章中,我们将共同探讨如何确保自身免受此类恶意行为的影响。

虽然现在看来已经可以算是陈年旧事,但就在互联网刚刚诞生的约二十年前,我们曾面临着一个巨大的难题:邮件服务器太过友好。

简而言之,大多数邮件服务器允许任何人进行接入,并将邮件发送给任何收件者。要实现这一切,我们甚至不需要作为邮件服务器的用户,或者只需要费一点小劲来将自己伪装成用户即可。

攻击者能够利用邮件服务器的邮件SMTP接收端口(TCP端口25)来实现连接,并模仿全部SMTP服务器用于交换邮件的内部命令发送各类操作(通过telent、脚本或者其它程序)。如此一来,黑客将能够伪造电子邮件、宣称其来自邮件服务器所托管的某位合法用户并将任意邮件内容发送给任意收件人。

垃圾邮件发送者会寻找这类“开放转发”服务器,并将成千万甚至上亿封垃圾邮件发送到世界各地。全球技术人员——以及邮件服务器供应商——花了约二十年时间来强制要求所有始发邮件必须进行实际来源验证,且由认证用户所发出。

然而在多年之后,类似的开放转发问题又出现在互联网领域的另一大基础性技术当中,即DNS。攻击者经常会利用配置不当的DNS服务器向查询客户端发送无效IP地址——或者发送大量虚假流量以实施DDoS攻击。

利用DNS实施DDoS攻击

DDoS以及其它攻击者多年来一直在利用DNS实施他们的邪恶阴谋,但在过去几年当中,这种状况出现了愈演愈烈之势。

最近一段时间来,多数大规模DDoS攻击者开始频繁利用DNS“放大”技术。如果大家对其具体实现方式及背景信息感兴趣,可以查看US-CERT、互联网系统联盟以及CloudFlare上的相关资料(英文原文)。

最终,DNS服务器供应商与协议开发商不得不采取对应措施,而这一切正如当年SMTP邮件供应商所作出的保护努力一样。其中包括更理想的默认设置及新型防御机制。不过遗憾的是,DNS服务器——虽然它们看起来可能运行良好——仍然被人们所忽视,而且继续保留着攻击者不希望管理方发现的大量安全漏洞。

禁用开放转发DNS服务器

每一家企业客户都能够轻松实现的保护手段就是限定自身DNS服务器对哪些以及来自谁的请求做出响应。对于内部DNS服务器而言,我们需要确保其只会针对来自内部计算机或者其它认证DNS服务器的查询给出DNS响应。

即使是在外部环境下,面向公众的DNS服务器也不应该以无脑方式对所有请求做出响应。如果大家的DNS服务器托管于*.example.com地址,那么绝对不会有合法用户在该域名之外进行域名地址查询。如果大家的DNS服务器当前会对来自任何使用者的全部查询做出响应,特别是来自任意域名的请求,那么这就是一台开放转发DNS服务器——相信我,这绝不是什么好事。

为了确保我们的DNS服务器不被划归为开放转发一类,并对其进行严格锁定并保证其合法运作,请将其IP地址输入到以下各DNS开放转发检测服务中进行安全性测试:

· Open Resolver Project

· Open DNS Resolver Check Site

· DNS Expertise - The Measurement Factory

· DNS Inspect

DNS响应速率限制

作为防止自有DNS服务器被用于DDoS攻击活动的最佳防御手段之一,我们应当对其进行响应速率限制(简称RRL)。RRL主要面向权威DNS服务器(即那些应当对一个或者多个域名进行响应的DNS服务器),且允许DNS管理员针对DNS响应流量作出有效速率限制。尽管在默认情况下并未启用(但绝对应该被启用!),我们可以在BIND 9.9(及其后续版本)当中找到RRL,其同时也作为微软即将推出的Windows Server 2016 DNS服务的组成部分。

如果大家的DNS服务器并不支持RRL,则可以尝试利用其它备选方案实现同样的效果,包括使用防火墙速率过滤或者其它反DDoS服务来保护自己的DNS。

禁用向上转介响应

对于大多数DNS来讲,当某台非递归权威DNS服务器收到一条未经认证的域名查询时,该DNS服务器会直接将该查询客户重新定向至顶级域名DNS服务器(能够在文件托管‘root hints’当中按照名称及IP地址进行排列)。这是一种较为礼貌的作法,类似于“嘿,我不知道答案是什么,但我建议你到那边试试运气。”

但事实上,这种方式相当于因为个人原因而毁掉大家的生活,而DNS放大攻击的出现也使得这种使用root hints的方式饱受诟病。BIND长久以来一直建议大家禁用这一向上转介行为。微软公司计划在其Windows Server 2016当中默认禁用向上转介机制,而大家也可以通过删除该root hints文件(具体位置为c:\windows\system32\DNS\cache.dns)的方式在其它Windows Server早期版本中禁用该功能。

检查所有DNS服务

针对计算机及设备用于接收连接的TCP或者UDP端口53进行扫描,从而检查所有运行有DNS服务的计算机及设备并对其进行安全配置。一般来讲,大家会发现其中存在着一些运行有计划外DNS服务器的装置及网络设备(例如无线路由器等)。

开门揖盗最为愚蠢

DNS协议自从1983年诞生以来就一直拥有良好的实际表现。它虽然也经历过被滥用以及后续更新作为补救的状况,但总体而言,它仍然扮演着保障互联网正常运转的核心角色。不过我们绝不能够对现有安全水平盲目自满,特别是在DNS方面。

在文章的最后,我要提醒大家千万别让自己的DNS服务器重复当初公共邮件服务器的覆辙——作为现代IT世界中的一员,我们不可能再拿出十年时间来解决那些早就该进行修复的问题。

时间: 2024-11-05 15:18:07

如何确保你的DNS服务器免受劫持困扰的相关文章

最近MAC上网,DNS好像被劫持了

最近用safari浏览网页,发现打开有的网页是会弹出另外的网页.以为是电脑有段时间没关机了,可能是safari有些垃圾缓存或被装了插件什么的.但换了chrome也有这个问题.最后用垃圾软件随便清理了一下,关机重启了也还是这样. 搜了一下应该是DNS被劫持,看了下连接的WIFI下的DNS服务器: 218.108.248.245 和 128.108.248.228 搜了下这两个都是华数的IP,应该是自动获取的,因为我用的是华数的网. 最后换成:199.91.73.222 和 178.79.131.1

最新可靠好用的DNS服务器地址汇总

如果修改DNS服务器地址就可以访问google等服务,你还等什么?使用免费DNS解析服务除了去掉了运营商的各种广告,还有个最大的好处就是不会重定向或者过滤用户所访问的地址,这样就防止了很多网站被电信.网通劫持,有利于提供访问一些国外网站的成功率 如googlecode,网友应该养成不使用默认DNS的习惯,笔者汇总了常用可靠的DNS服务器地址. 1.OpenerDNS:42.120.21.30 该DNS是国内服务器,延迟在30ms左右,不掉包,速度非常好,该官方称使用该DNS能够无压力访问Face

全球免费知名DNS服务器

全球免费知名DNS服务器 jalone 2013-06-18 14:25:46 最近老是发表DNS相关文章,今天继续说DNS,国内75%以上的家用宽带路由器存在严重的安全隐患:用户浏览网页的时候其DNS就有可能被黑客篡改, DNS被篡改之后,黑客可轻易地骗取用户的帐号密码,威胁您的网游.微博.QQ.淘宝.网银安全!DNS尤为重要!今天讲全球知名DNS服务器的部分内容,希望对于DNS大家能学到更多!Google-Public-DNSGoogle Public DNS:IPV4首选DNS服务器:8.

常用公共DNS服务器地址

DNS,全称Domain Name System,即域名解析系统,帮助用户在互联网上寻找路径,它在互联网的作用是把域名转换成为网络可以识别的IP地址.目前国内电信运营商通过使用DNS劫持和DNS污染的方法,干扰用户正常上网,使得用户无法访问众多国外常用服务,因此今天我介绍一些国内外的DNS服务器地址,供大家选择使用. 国外DNS服务器地址 Google Public DNS (8.8.8.8, 8.8.4.4) OpenDNS (208.67.222.222, 208.67.220.220) O

Linux之DNS服务器搭建及常见DNS攻击和防御

DNS(Domain Name System,域名系统),因特网上作为域名和IP地址相互映射的一个分布式数据库,能够使用户更方便的访问互联网,而不用去记住能够被机器直接读取的IP数串.通过主机名,最终得到该主机名对应的IP地址的过程叫做域名解析(或主机名解析).DNS协议运行在UDP协议之上,使用端口号53. 主机名到IP地址的映射有两种方式: 1)静态映射,每台设备上都配置主机到IP地址的映射,各设备独立维护自己的映射表,而且只供本设备使用: 2)动态映射,建立一套域名解析系统(DNS),只在

Dnsmasq安装与配置-搭建本地DNS服务器 更干净更快无广告DNS解析

默认的情况下,我们平时上网用的本地DNS服务器都是使用电信或者联通的,但是这样也导致了不少的问题,首当其冲的就是上网时经常莫名地弹出广告,或者莫名的流量被消耗掉导致网速变慢.其次是部分网站域名不能正常被解析,莫名其妙地打不开,或者时好时坏. 如果碰上不稳定的本地DNS,还可能经常出现无法解析的情况.除了要避免"坏"的DNS的影响,我们还可以利用DNS做些"好"事,例如管理局域网的DNS.给手机App Store加速.纠正错误的DNS解析记录.保证上网更加安全.去掉网

免费DNS服务器有哪些?

DNS 是上网中极其重要的一环,由于电脑只认识数字组成的 IP 地址,人们发明了域名来帮助记忆 (如 iPlaySoft.com),因此,在访问任何域名时,背后都需要一台 DNS 服务器来帮你将域名「解析」成IP地址. 因此 DNS 解析的速度和准确率将直接影响我们的上网体验.很多细心的朋友会发现,很多网络运营商会通过 DNS 劫持等非法手段来强制弹窗广告并变相"嫁祸"给网站,而且网络拥挤的时候偶尔会宕机或解析速度极慢.因此换一个高速.稳定.安全的 DNS 服务器不仅在一定程度上提升上

国内外DNS服务器地址列表大全

DNS(Domain Name System)是域名解析服务器的意思,它在互联网的作用是把域名转换成为网络可以识别的IP地址. 通常来说,香港.韩国.日本等国的DNS服务器速度会比较快,大家可以多用几个试试,尽量选择一个自己访问最快的DNS服务器.具体操作方法,可以参考使用OpenDNS解决DNS域名劫持. 港澳台DNS服务器地址 香港: 205.252.144.228 208.151.69.65 202.181.202.140 202.181.224.2 澳门: 202.175.3.8 202

国内外DNS服务器地址列表

DNS(Domain Name System)是域名解析服务器的意思,它在互联网的作用是把域名转换成为网络可以识别的IP地址.目前国内电信运营商通过使用DNS劫持的方法,干扰用户正常上网,使得用户无法访问Google.Gmail.Google AdSense.Google Maps等常用服务,昨天我介绍了使用OpenDNS的方法解决这个问题,由于OpenDNS的服务器在美国,如果使用的人多了有可能会速度变慢,因此今天我介绍一些其他国外的DNS服务器地址,供大家选择. 通常来说,香港.韩国.日本等