域名服务器缓存污染“1·21”域名解析大规模

域名可以解析到facebook

网域伺服器快取污染 (DNS缓存污染),也称为 域名服务器缓存投毒 (DNS缓存中毒), DNS缓存投毒 ,指的是某些有意或无意创建的域名服务器数据包,将域名指向错误的IP地址。一般来说,Internet上有可靠的域名服务器,但是为了减轻网络上的流量压力,通用域名服务器将临时存储从上游域名服务器获得的解析记录。当机器请求解析域名时,它可以立即提供服务。一旦相关域的本地域名服务器的缓存被污染,该域中的计算机将被定向到错误的服务器或服务器URL。

域名服务器缓存污染可能是由域名服务器软件中的设计错误引起的,但是通过研究开放结构的域名服务器系统,它也可能被别有用心地利用。

为了防止本地域名服务器缓存受到污染,除了定期更新服务器软件外,可能还需要手动更改某些设置以控制服务器过滤可疑域名数据包。 [1]

缓存污染攻击 [ 编辑 ]

一般来说,连接到Internet的计算机将使用Internet服务提供商提供的域名服务器。该服务器通常仅服务于提供者的客户。通常,它将临时存储某些客户要求的域名。这种服务器称为非权威服务器,其响应称为非权威响应。缓存污染攻击针对这种服务器,以影响服务器或下游服务的用户。

中国防火长城 [ 编辑 ]

在中国大陆,对通过Great Firewall(英语:Great Firewall,通常称为GFW)的UDP 53端口上的所有域名查询执行IDS入侵检测。一旦找到与黑名单关键字匹配的域名查询请求,解析服务器将立即伪装成目标域名,返回错误的查询结果。由于通常的域名查询没有任何身份验证机制,并且域名查询通常基于无连接且不可靠的UDP协议,因此查询器只能接受第一种格式正确的结果,而丢弃后续的结果。 [2]

  • 对于不了解相关知识的网民,由于系统默认会从所使用的ISP提供的域名查询服务器中查询国外的权威服务器,因此会受到防火墙的污染,进而污染其缓存,因此,默认情况下会查询ISP服务器将获得伪造的IP地址;当用户直接直接查询域名查询服务器(如Google Public DNS)时,可能会被长城防火墙直接污染,因此,如果没有任何预防机制,就无法正确获取目标网站。 IP地址。 [2]
  • 由于TCP连接机制可靠,因此防火长城理论上不会污染TCP协议下的域名查询,因此现在可以使用TCP协议查询真实IP地址。现实情况是,防火墙长城还可能使用其他手段来阻止真实IP地址,或者使用连接重置方法来查询行为,因此,是否可以实际访问它可能还需要其他手段来推翻防火墙。
  • 通常,无论您使用在中国大陆设置的DNS服务还是在国外设置的DNS服务,由于解析结果都需要通过GFW,它将被GFW污染。但是,中国大陆仍然有一些小型DNS安装,这些安装使用技术手段来避免GFW污染并提供未污染的结果。通常,这些小型DNS也可以用于访问其他被阻止的网站。
  • 另外,DNS污染的IP不是静态的,被污染的无效IP将在一段时间后更新。
  • 污染攻击大事记 [ 编辑 ]

  • 2010年3月,当美国和智利的用户尝试访问诸如facebook.com,youtube.com和twitter.com之类的域名时,他们的域名查询请求已转移到中国控制的DNS根镜像服务器。该网站在中国被封锁。结果,用户收到错误的DNS解析信息,这意味着防火长城的DNS域名污染已经劫持了该域名并影响了Internet。 [3] [4]
    • 2014年1月21日下午3:30,中国互联网顶级域名的解析异常,错误网站解析的URL为65.49.2.178。该IP位于加利福尼亚州弗里蒙特的Hurricane Electric Company,并由Dynamic Internet Technology(即Freegate的开发公司)使用,用于通过网络将节点与软件连接起来[5]。
    • 从2015年1月2日开始,污染方法将升级。它不再解析为固定的无效IP,而是随机指向该国家/地区之外的有效IP。最初,它只处理YouTube视频域名(* .googlevideo.com),然后逐渐扩展到污染最严重的域名。 [6]这导致来自某些海外服务器上的海外服务器的DDoS攻击,并且某些网站阻止了中国IP。 [7]
    • 自2016年3月29日起,防火长城已经升级了Google的污染控制方法。初始升级后,所有包含关键字(例如google,gmail等)的域名查询均被污染,导致许多用户暂时无法使用Gmail服务。在那之后,防火长城调整了规则。其中* .google.com域名会污染主域名(google.com,不包括www)和某些服务域名(drive.google.com,plus.google.com等),而区域域名会污染,它会选择性污染Pan域名(* .google.com.hk,*。google.co.kr,*。google.ru等),其他地区的域名不受影响(* .google.us,等等。)。 [8]
    • 目前,大多数网站污染方法已恢复为固定的无效IP,但是访问Google时,少数网站和新疆地区仍会被污染为有效IP(中国大陆的Google服务器IP)
    • 自2020年起,当访问大多数带有围墙的网站时,它们将决定随机使用海外有效地址,例如美国Facebook公司,爱尔兰Facebook分公司,北荷兰省的荷兰UTC + 1数据中心以及位于美国的SoftLayer技术公司。美国德克萨斯州达拉斯。 IP。

    ISP域名劫持 [ 编辑 ]

    中国大陆的互联网服务提供商经常劫持某些域名,并去其指定的网站提供自己的广告。污染方法是当被劫持的域名不存在时,返回从其服务器IP返回的NXDOMAIN记录(不存在的域)。跳转到服务器以显示诸如广告之类的内容。

    参考文献 [ 编辑 ]

    外部链接 [ 编辑 ]

    虎嗅注: 1月21日下午15:10左右,国内的Internet根域名服务器出现故障,导致大量无法访问的网站。 Tiger Sniff没有幸免,并且处于异常状态将近30分钟。
    国内DNS解析服务提供商DNSPod在16:18发出了确认该异常的紧急通知,并明确指出“技术人员已与相关机构联系以进行协调和处理”。此时,根服务器已恢复正常,但是由于缓存,某些区域的异常状态可能仍会持续12个小时。
    与此同时,“中国的互联网瘫痪并被怀疑被黑客入侵”的消息迅速传播并在Twitter,新浪微博和各种媒体上传播。在随后的几个小时中,新闻头条已升级为“互联网安全专家说,故障可能与黑客攻击有关”。
    这次失败持续了大约20分钟,影响了全国十多个省。进行如此大规模的攻击是非常困难的。
    在此故障正式宣布之前,一切都只是猜测。可以确认的是 这是大规模的DNS污染。
    中文中的DNS(域名系统)称为域名系统,这是一种Internet服务,可将数字IP地址和字符域名相互映射。 DNS污染是指通过制造域名服务器数据包将域名指向错误的IP地址。相应的行为称为DNS劫持。

    这次发生了什么事?

    “所有连接到Internet的设备都必须具有IP地址,就像每个房屋都有一个地址一样,以便其他人可以找到它。”寇波(负责国内交通十大网站的运营和维护的人)向新浪科技解释。 “此IP地址是一个数字,例如120.84.21.23,但是对于用户来说,在Internet上记住该数字太麻烦了,因此他们拥有一个域名。”


    域名是体现IP地址的另一种方式,DNS是将域名转换为IP地址的转换器。例如,如果用户在浏览器中输入Facebook.com,浏览器将询问用户最近的DNS服务器,“与Facebook.com对应的IP地址是什么?”


    该最新的DNS服务器通常是本地电信运营商的服务器。如果服务器不知道,他将请求下一个级别,通常是运营商的国家DNS服务器。如果不知道该国家DNS,它将查询全局DNS服务器。


    在此层次结构级别中,最高级别是全球13台根服务器,从“ A”到“ M”,其中10台位于美国,一台位于英国,瑞典和日本。


    为了防止上述服务器故障引起全局访问异常,目前世界上许多国家都设有镜像。在整个网络的出口中,我国也有顶级域名服务器。 “这次由于此服务器上的解析错误,网络异常。” Kobo解释道。


    为什么有些人正常而另一些人异常?

    这是因为为了加快用户访问速度,整个系统配备了多个级别的缓存,包括浏览器缓存,系统缓存,路由器缓存,DNS服务器缓存等等。


    当用户访问网站时,其浏览器会在一段时间内自动记录与该域名对应的IP,以便当用户第二次进入该网站时,浏览器不必重复查询上一级,并可以直接将结果通知用户。同样,用户的计算机,路由器和DNS服务器都设置了一定的缓存。当然,缓存有时间限制。到期时,必须查询上层服务器以获取最新记录。


    当顶级根域名服务器发生故障时,用户访问不会立即中断,因为所有级别的缓存仍然存在。当缓存时间到期时,它们将重新查询到下一个级别,然后根服务器的错误反馈将生效,从而导致异常的用户访问。但是,此缓存时间根据设置而有很大差异。某些缓存时间仅为30秒,而某些缓存时间则为12小时。


    截至下午4点同一天,国家级根服务器的解析已恢复正常。同样,具有异常情况的用户也不会立即恢复正常,因为错误的记录仍在缓存中,并且在缓存过期后,正确的记录最多可能需要24小时才会生效。


    对于大型网站,通常不会将内容放在相同的域名下。例如,图片和数据库通常采用不同的域名。当某些域名正确缓存而某些域名错误缓存时,页面将被加载,但是图片将不会显示,或者图片将显示出来,并且文本数据将变得混乱。


    神秘的IP地址导致黑客怀疑云

    刘硕(北京机房负责人,中国最大的数据中心之一)告诉新浪科技,事故的原因是根域名服务器受到污染,域名解析请求都直接发送给了IP地址“ 65.49.2.178”。


    但是,根据刘硕对多个域名的测试,发现诸如Facebook和Twitter之类的外国域名的解析是正常的,但是国内域名却受到了污染。即使这样,受影响的范围也是前所未有的。包括百度,新浪和腾讯在内的绝大多数国内网站都具有异常访问权限,并且根域名服务器故障持续了将近一个小时。


    粗略估计,受影响的家庭用户超过2亿,平均受影响时间约为3个小时。截至21日晚1点,全国仍有10多个受DNS评估影响的地区,包括贵州电信,河南电信,香港新世界,江苏电信,北京电信等。


    国内漏洞报告平台“黑云”表示: 65.49.2.178该IP位于国外。有证据表明,IP所在的网络出于政治目的发送了垃圾邮件和其他黑客活动。黑客不排除这种攻击。


    来自金山的一位安全专家说,在查询65.49.2.178后,发现该IP位于北卡罗来纳州卡里镇的Dynamic Internet Technology,Inc.。 “中国许多知名的IT公司将其域名解析为美国的一家公司。从当前的角度来看,此事件很可能是黑客攻击。”专家说。


    去年8月25日凌晨,China.cn域名解析出现大规模解析失败。中国互联网络信息中心后来透露,当天零时,国家域名解析节点遭到了拒绝服务攻击。处理后,服务器在2点之前恢复正常。这是有史以来对.cn域名的最大的拒绝服务攻击。


    但是,刘硕和另一位网络安全专家都认为,此DNS污染事件的影响和范围在中国尚属首次,远远超出了普通黑客的能力。 “这可能与骨干网设置的调整有关。”上述网络安全专家表示。

    关于中国用户访问.com和.net域名的问题已解析为65.49.2.178,我发现了一些新内容。我发现为什么.cn和.org域名不受影响,并指向65.49.2.178。根名称服务器无关。

    在上一篇文章中,我找到了IP 65.49.2.178的背景,验证了根域名服务器在中国是否具有镜像,并驳斥了主要媒体和维基百科的观点,“只有13个根名称服务器,唯一的一个。在亚洲,“台湾在日本”声称该事件是来自家用计算机房的DNS污染事故。

    我注意到,国家互联网紧急响应中心的通知中提到,只有以“ .com”,“。net”等结尾的站点受到了影响,而以.cn结尾的站点没有受到影响,而以.org结尾的站点受到了影响。未提及,并且不应受到影响:

    1月21日,中国互联网异常访问的通知源:CNCERT时间:2014-01-22 2014年1月21日15:20,中国大量互联网用户通常无法访问域名“ .com”。 ,“。net”等终端站点。事件发生后,国家互联网应急中心尽快启动了应急机制,并协调组织了一些技术支持单位进行调查和应急处理。访问基本恢复正常,在对现有数据进行分析后,初步判断该事件是由互联网攻击引起的,该攻击通过我国国际顶级域名服务导致我国互联网用户的解析异常。攻击的进一步调查。

    为什么以.cn和.org结尾的网站不受影响?

    首先让我们看一下正常的域名解析过程:

    1. 第一步,DNS将返回“根域名服务器”的地址和IP。上图是root-servers.net末尾的地址;
    2. 第二步,根域名服务器192.33.4.12返回gTLD的服务器地址和IP。
    3. 第三步,gTLD服务器返回上图中的NS(名称服务器)地址和IP ns1.dreamhost.com;
    4. 在第四步中,NS返回与域名对应的真实IP地址,即上图中的69.163.141.215。

    以下是dig + trace zuola.com和dig + trace dbanotes.net的结果,显示第二步中以“ .com”,“。net”等结尾的域名返回以gtld-结尾的服务器地址。 server.net;域名“ .org”使用另一个域名服务器。

    以下是域名dig + trace 1kg.org的结果。还必须启动对DNS的第一步查询。返回的结果是相同的根域名服务器地址,但第二步返回的服务器不是以gtld-server.net结尾的服务器。该地址是以org.afilias-nst.org和org.afilias-结尾的地址nst.info

    以下是域名dig + trace hightechlowlife.cn的结果。 .cn和.org的域名还需要启动对DNS的第一个查询,以获取正确的根域名服务器地址;第二步不返回gtld-server以.net结尾的服务器地址不是以org.afilias-nst.org和org.afilias-nst.info结尾的地址,而是以dns.cn结尾的地址:

    好吧,.cn和.org的域名也需要启动对DNS的第一个查询,它们还获得与.com和.net域名相同的“根域名服务器”查询结果,只返回结果在第二步中有所不同。这证明该事件与“根域名服务器”无关。这种区别可以解释为什么.cn和.org域名没有受到影响。

    下图来自DNSPod的BLOG,该图确认了您在2014年1月21日访问.com域名时,将获得IP 65.49.2.178:

    不会返回gTLD的服务器地址和IP,也不会返回名称服务器地址。

    不会返回gTLD的服务器地址和IP,也不会返回名称服务器地址。

    我将在2014年1月22日发布另一张使用dig在中国跟踪twitter.com域名解析过程的图片:

    图片由陈少举提供

    Twitter.com的域名被劫持为203.98.7.65的IP。从http://whois.webhosting.info/203.98.7.65开始,此IP并非Twitter的IP,性能和2014年1月21日被劫持的域名的IP,与65.49.2.178完全相同:返回gTLD的服务器地址和IP,不返回名称服务器地址。

    完整而准确的分析应该分四次返回数据,如下所示:

    图片由陈少举提供

    结论:

    中国的互联网用户通过国际顶级域名服务进行解析时会出现异常情况。 “ .com”和“ .net”域名解析为65.49.2.178,这是一种DNS污染行为,并且GFW污染Twitter.com,Facebook.com Youtube.com,而Zuola.com等域名的性能为一致,与根域名服务器无关。以.cn和.org结尾的网站不受影响,这表明GFW可能将gtld-servers.net意外添加到了受污染域名列表中。如果下次遇到域名的相同部分,请使用dig + trace gtld-servers.net进行故障排除。

    分享来自公众微信的这篇文章-FreeBuf(freebuf),作者:Zola

    文本中详细说明了原始来源和转载的信息。如果有任何侵权,请联系yunjia_community@tencent.com将其删除。

    原始发表时间:2014-01-24

    本文参与了腾讯云自媒体共享计划。欢迎您加入并分享。

    本文网址: http://www.11st22.com/d/2020529221240_3115_723162868/home

    推荐阅读

    tags

    最新发布