有声读物,欢乐颂第一季

新聞中心

這里有您想知道的互聯(lián)網(wǎng)營銷解決方案

與DNS的DDoS搏斗看應急團隊如何行動

【.com 綜合消息】“5．19斷網(wǎng)事件”，網(wǎng)絡安全警鐘再響。5月19日晚21點左右，中國出現(xiàn)大范圍網(wǎng)絡故障。江蘇、河北、山西、廣西、浙江、天津、內蒙古、黑龍江、廣東等省份均有網(wǎng)民反映上網(wǎng)遭遇故障，出現(xiàn)打不開網(wǎng)頁等問題。據(jù)工業(yè)和信息化部通信保障局發(fā)布的最新公告，確認該事件原因是暴風網(wǎng)站域名解析系統(tǒng)受到網(wǎng)絡攻擊出現(xiàn)故障，導致電信運營企業(yè)的遞歸域名解析服務器收到大量異常請求而引發(fā)擁塞。

在此事件發(fā)生的第一時間，綠盟科技作為網(wǎng)絡安全領域的領軍企業(yè)，伴隨客戶度過了驚心動魄的兩小時，上演了一場與DNS DDoS搏斗的精險實戰(zhàn)。

臨危受命

5月19日晚9點半左右，綠盟科技的安全專家小林正在回家的路上，出于職業(yè)習慣，小林路過廣場旁邊的幾個網(wǎng)吧時，下意識地把視線掃了過去，現(xiàn)在應該是網(wǎng)吧人滿為患的時候，但今晚有些異樣：有的網(wǎng)吧沒什么人，有人的網(wǎng)吧則是人聲鼎沸，群情激奮，大家在嚷著什么？！

突然，急促的手機鈴聲打斷了小林的思路，來電顯示：某電信工程師。小林急忙接通電話，局方工程師非常焦急地說：“我們的網(wǎng)絡出現(xiàn)重大故障，請馬上趕到電信機房”。小林急忙調轉方向趕過去，此時電信機房門口工作人員正焦急等待，小林一下車馬上與他們趕往運維中心。

互聯(lián)網(wǎng)危機四伏

進入運維中心首先經(jīng)過客服中心，客服中心的電話此起彼伏，客服人員經(jīng)常重復的幾個詞就是“網(wǎng)頁訪問特別慢 ”、“郵件無法接收”、“無法上網(wǎng)”。進入運維中心，發(fā)現(xiàn)里面燈火通明，監(jiān)控中心網(wǎng)絡、系統(tǒng)、業(yè)務技術專家都在現(xiàn)場，運維中心主任一臉嚴肅。人員到齊后，主任召集各條線的技術人員開了一個緊急會議，對當前問題做了總結。網(wǎng)絡組技術人員反饋：網(wǎng)絡設備CPU利用率、數(shù)據(jù)流量沒有異常；系統(tǒng)組技術人員反饋：RADIUS服務器工作正常，寬帶客戶認證授權正常；業(yè)務組人員反饋：城域網(wǎng)大面積出現(xiàn)寬帶用戶訪問網(wǎng)頁速度慢、無法上網(wǎng)現(xiàn)象。

小林一邊迅速記錄著網(wǎng)絡的現(xiàn)場數(shù)據(jù)信息，一邊與綠盟科技總部的技術支持中心聯(lián)系，此時綠盟科技的另兩位同事已經(jīng)趕到了運維中心。

應急團隊在響應

與此同時，綠盟科技總部技術中心也是一片忙碌。在當晚九點左右，總部就陸續(xù)接到華南、華北、華東等地分支機構的匯報，稱運營商互聯(lián)網(wǎng)出現(xiàn)故障，部分互聯(lián)網(wǎng)用戶的服務受到影響。鑒于此次網(wǎng)絡故障影響范圍廣，技術支持中心立即向應急響應團隊經(jīng)理報告了情況，經(jīng)過對現(xiàn)有數(shù)據(jù)分析發(fā)現(xiàn)這是一起重大的互聯(lián)網(wǎng)安全事件，馬上通知全國各地分支機構技術專家迅速組建應急響應團隊，為各地隨時可能出現(xiàn)的安全問題進行準備。

重大轉機

運維中心現(xiàn)場人員在分析本地城域網(wǎng)故障的同時，與集團公司運維部也進行了匯報交流，反映了本地網(wǎng)遇到的問題，詢問骨干網(wǎng)是否出現(xiàn)異常。小林根據(jù)來自于總部技術支持中心的技術應急信息以及現(xiàn)場情況對網(wǎng)絡故障進行了初步分析。隨后對相關安全系統(tǒng)展開檢查，突然發(fā)現(xiàn)部署在DNS系統(tǒng)網(wǎng)絡出口的黑洞安全防護設備有異常告警，DNS系統(tǒng)的網(wǎng)絡流量出現(xiàn)激增。針對此異常情況，小林即時啟動設備自帶的抓包功能進行抓包，然后對獲得的數(shù)據(jù)包進行分析，發(fā)現(xiàn)超過50%的DNS解析請求是針對某互聯(lián)網(wǎng)業(yè)務提供商的。隨后，運維中心的現(xiàn)場人員對DNS系統(tǒng)進行了核查，發(fā)現(xiàn)DNS服務器群處于超負荷運行狀態(tài)，DNS查詢響應延遲非常大。

小林迅速將這一發(fā)現(xiàn)與綠盟科技總部進行了溝通，總部應急團隊與小林等局方現(xiàn)場技術人員緊急討論后，立即確定解決方案。隨后小林向運營商局方人員介紹了故障原因及解決方案，局方人員與集團公司再次進行了緊急溝通，匯報了本地監(jiān)控發(fā)現(xiàn)的DNS服務的異常情況，并與某互聯(lián)網(wǎng)業(yè)務提供商求證該公司的系統(tǒng)是否出現(xiàn)異常情況，該公司負責人反饋系統(tǒng)服務出現(xiàn)異常，目前正忙于相關系統(tǒng)的升級搶修工作。

問題定位后，綠盟科技的技術專家與局方人員共同商討，即刻確定了應急方案：一是在黑洞上開啟模式匹配策略，對指向該互聯(lián)網(wǎng)業(yè)務運營提供商相關域名解析請求進行過濾，減輕對DNS服務器的查詢壓力；二是在本地DNS服務器上針對該互聯(lián)網(wǎng)業(yè)務運營提供商相關域名設置強解析策略，保障運營商以最小的代價保證絕大部分的應用正常開展。

平息危機

晚上11點，小林和局方運維人員迅速下發(fā)應急策略后，DNS系統(tǒng)網(wǎng)絡流量從150M飛速下降為10M，DNS查詢請求驟然下降70%，DNS系統(tǒng)快速恢復正常，隨后用戶的互聯(lián)網(wǎng)接入業(yè)務逐漸恢復。

小林等技術專家進行應急支持的同時，華北區(qū)域的應急響應人員在也在華北某電信運營商的機房里忙得熱火朝天——網(wǎng)絡故障分析、數(shù)據(jù)抓包、數(shù)據(jù)分析……，再將現(xiàn)場情況向綠盟科技總部進行反饋?？偛考夹g專家分析發(fā)現(xiàn)華北電信運營商遇到了與小林所支持的南方電信運營商相同的DNS大流量攻擊問題，不過目前的DNS流量還只是處于快速增長階段，為了防止DNS系統(tǒng)可能出現(xiàn)的癱瘓，總部馬上與現(xiàn)場應急響應人員交流現(xiàn)狀和制訂應急處置方案，并經(jīng)過與局方運維人員確認后立即啟動相應的防護策略。應急策略下發(fā)實施后，防止了該地區(qū)互聯(lián)網(wǎng)業(yè)務大面積中斷的發(fā)生。

華東、華南、華北、西北等地省電信運營商陸續(xù)與集團公司取得聯(lián)系，各省市電信運維部門采取緊急策略，對各地的DNS實施應急防護策略，隨后DNS服務逐漸恢復正常，互聯(lián)網(wǎng)業(yè)務漸漸恢復。5月20日凌晨全國互聯(lián)網(wǎng)基本恢復正常運轉。

后記

這次事件貌似由DNS的大量查詢請求所引起，對DNS服務器形成了一次飽和的DDoS攻擊，導致某些運營商的DNS癱瘓。事實上，DDoS攻擊廣泛存在于互聯(lián)網(wǎng)中，而針對DNS服務器的DDoS攻擊事件更是層出不窮，且形式越來越多樣化，主要包括以下幾種：利用緩沖期溢出；海量流量堵塞帶寬；偽造源IP發(fā)送海量DNS查詢；源端口53的UDP FLOOD（攻擊負載均衡設備）；真實協(xié)議棧大量查詢隨機域名引起迭代查詢。

針對這些廣泛存在的DDoS攻擊，綠盟科技專家指出，通過在運營商骨干網(wǎng)部署流量清洗系統(tǒng)，可以幫助運營商清洗網(wǎng)絡中的DOS流量，利用抗DDoS安全產(chǎn)品的模式匹配、以及IP地址信譽機制等獨特的防護算法對形式多樣的DDoS攻擊進行安全防護，在運營商網(wǎng)絡受到攻擊時可以為運營商的DNS服務器提供有效和及時的安全保障。

分享標題：與DNS的DDoS搏斗看應急團隊如何行動
分享地址：http://fisionsoft.com.cn/article/cdogghh.html

新聞中心

其他資訊