DNSPod與您回顧2013年DNS行業安全事件

2013-12-30

DNS作為互聯網的基礎服務和入口，對站長的重要性不言而喻。然而在中國，或者説世界範圍來講，DNS正在面臨越來越嚴重的安全威脅，針對DNS服務的攻擊也越來越嚴重。DNS攻擊具體表現就是攻擊流量越來越大、攻擊手段越來越新穎。DNSPod為了保障用户的解析服務，這兩年也做了很多相應的工作來應對這些攻擊。

1. DDoS

雖然Anonymous沒能黑掉13個根域名服務器，不過年初Spamhaus受到300G的攻擊，攻擊流量之大史無前例，對整個歐洲的互聯網都造成了很大的影響。Spamhaus攻擊是通過大量的遞歸DNS服務器反射放大攻擊流量來攻擊目標服務器，這是這兩年比較流行的一種攻擊方式。

DNSPod服務器也經常受到或者被利用進行反射放大攻擊，我們在防護此種類型的攻擊上也做了大量的工作，比如在去年上半年關閉了any類型的查詢，和騰訊安全中心研發部署了支持多種防護算法的防護設備，並且針對黑客不斷變化的攻擊方式不斷更新防護算法，部署完成到現在近兩年的時間裏抗住了所有針對DNSPod的攻擊。

2013年9月，DNSPod受到一次超過100G流量的攻擊，這次攻擊不僅在攻擊流量上刷新了DNSPod的記錄，在攻擊手段上也很新穎，不是直接打流量，也不是反射放大流量攻擊。黑客通過向大量的遞歸服務器發送要攻擊域名的查詢請求，然後遞歸再向DNSPod的解析服務器發出查詢請求，因為各地的遞歸服務器一般都在我們防護設備的白名單中，所以黑客通過這種方式繞過我們防護設備原有的過濾算法，迫使我們的解析服務器對攻擊請求進行應答，當然DNSPod還是成功防禦了此次攻擊，沒有用户受到影響。

這次攻擊之後除了我們針對性的更新防護算法之外，也已經在部署今年新研發的高性能解析服務器集羣，單機可以處理最高1100萬次DNS查詢請求，到明年年初會在全國各地部署完成多個集羣。屆時，DNSPod的最高扛攻擊能力會從現在的160G升級到300G以上。

2013年8月底，.cn根域被DDoS，這是今年對國內互聯網影響最大的一次攻擊，包括.cn、.com.cn和.gov.cn等大量.cn後綴的域名的解析受到影響，攻擊流量也刷新了.cn被攻擊的最大記錄，這次攻擊DNSPod首先監控到併發布了相關消息，後續也配合CNNIC等有關部門進行了相應溝通和處理。

2. DNS劫持

DNS攻擊的另一個流行方式就是DNS劫持，或者説域名劫持，黑客通過網站漏洞、撞庫或者社工等方式將域名的NS或者記錄修改成指定的值，從而達到自己的目的。

通過網站漏洞的方式劫持域名今年有比較出名的就是5月土豆域名被劫持和6月點評網的域名被劫持，尤其是點評網域名被劫持和找回的過程更是比較戲劇化。這種攻擊方式主要是對域名註冊和服務商的安全性要求比較高，如果發現安全漏洞一定要重視並且儘快修復。

然後就是密碼的問題，不得不説的一件事是前幾個月有很多用户跑到上質問説DNSPod存在漏洞，在DNSPod解析的域名被添加了泛解析或者二級域名，解析到了博彩或者黃色網站上，被搜索引擎K站。但是經過我們的徹查，發現出現這些問題的用户都是因為在DNSPod使用了和其他網站(主要是CSDN)相同的賬號密碼，而不是DNSPod的漏洞導致的。甚至道哥也在黑板報裏對CSDN的密碼庫都已經泄漏了幾年了還這麼有效表示驚訝，當然也不能排除有些站長是修改過密碼但覺得時間很長沒事了，最後又改回了在CSDN用過的密碼。

針對這個問題DNSPod快速上線了很多功能來減少影響，包括多次提醒此類存在安全隱患的用户修改密碼、禁止添加黑名單中的ip、異地登陸限制、微信鎖定賬號等等，到最後直接將所有存在安全隱患的用户賬户全部鎖定禁止修改。

我們所做的這些工作都是治標不治本，最需要的還是站長提高安全意識，在DNSPod使用獨立的強密碼。而且近期DNSPod也將會把D令牌改為免費開啓，通過動態密碼減少密碼泄漏問題對站長造成的影響。

除了從已泄露的密碼庫獲取賬號密碼來撞庫外，另一個古老但非常有效的方式就是社工了，尤其國內個人資料泄露的情況比較嚴重的情況下，社工更是一個簡單有效的進行域名劫持的方法。

作為站長，防止社工主要的還是在重要的賬號上使用單獨私有的賬號密碼等信息，並保護好信息不被泄露，一旦發現異常馬上更改。DNSPod為了防止社工，對審核用户資料和後台權限控制也限制的越來越嚴格，關閉和回收了部分技術支持的後台修改權限，儘量做到用户自助服務，後台修改需要經過多層嚴格檢查，當然這個不可避免的會對正常用户的正常取回等操作有一定影響。

今年還有一個影響比較大的DNS劫持事件就是對家用路由DNS的劫持，這個對國內普通網民來説可能不會關注也不會去修改自己家裏路由器的默認密碼或者去升級固件，現在主要是還靠桌面管家和安全助手等桌面工具來減少影響。

總的來説，今年DNS行業發生了不少比較大的安全事件，整體的安全形勢一直很嚴峻，DNSPod會一直和廣大站長一起來應對威脅。