设为首页收藏本站

Panabit Support Board!

 找回密码
 注册

QQ登录

只需一步,快速开始

    Panabit-SMB专版, 中小企业上网行为管理网关,正式发布!了解详情请点击这里。
搜索
热搜: 活动 交友 discuz
查看: 277|回复: 1

你到底是提醒我DNS被劫持,还是来劫持我的?

[复制链接]
发表于 2017-7-20 12:55:43 | 显示全部楼层 |阅读模式

你到底是提醒我DNS被劫持,还是来劫持我的?

              
学校期末考试刚刚结束,教务处的老师们正埋头网上阅卷,突然安全软件弹出提醒,提示DNS被劫持,刘老师赶紧点击“立即修复”。没想到,从此之后网络变得十分缓慢,很多校内网站还不能访问了!第二天怒气冲冲到网络中心投诉,网络中心的老师们也是一脸无辜。
1.jpg

按照常理来说,如果网络配置有问题,修复后网络状况应该变好才对,为什么会出现相反的结果呢?因为DNS并没被劫持,安全软件检测到的只是“假性劫持”!假阳性、假性近视之类概念大家都不陌生,但是DNS“假性劫持”相信很多人还是第一回听说,然而假性家族这个新成员却让网管们很是抓狂。学校设立私有DNS为师生服务,同时为了安全并不对外开放,而这类DNS经常被安全软件误认为是非法DNS,弹出劫持提示。这个现象,网管老师们在各种安全群里屡有提到,终端安全厂家一直没有给出明确的回应,造成了很多不必要的麻烦。
2.jpg

DNS“假性劫持”是什么?
DNS作为网络内容的引导工具,直接决定了内容是否解析到本网,不使用自己网络下发的DNS,通常不能获得最好的网络访问速度。而企业、高校内部使用的DNS服务器IP仅对内公开,因此常被某些安全软件会误报为“DNS被劫持”,也就是DNS“假性劫持”。显然,这是一种误判!当点击自动修复后,会触发自动修改DNS设置行为。被修改后的DNS并不理解本地网络的优化原则,导致网络变慢、甚至有些网站不可访问,“提醒劫持”反倒成了“真劫持”!怎么避免这类事件发生呢?
DNS智能管控,预防“假性劫持”
所谓DNS智能管控是一种高级的DNS请求干预动作,它可以按照DNS请求的来源地址、目标地址和请求的域名作为组合条件,对DNS请求进行有效干预,达到阻断、代答和引流的目的。具体到DNS被“假性劫持”的场景,不管是被安全软件修改,还是用户自己设置错误,网管们都不用手动帮用户修改配置,就可恢复网络正常的DNS使用,实现内部网络的优化控制。例如,可以设定用户不管使用了哪个DNS服务器,都把用户引流到学校的DNS进行解析,进一步更可以设定,只把学校想干预的部分域名解析请求进行引流,比如本校网站,而其他域名请求则不进行干预。


那么,是不是在实施如上的全量DNS牵引或者更加简单粗暴的DNS DNAT之后,学校的DNS就绝对安全了?答案是否定的。比如在实施DNS全量牵引后,如果一个用户中了DNS蠕虫,他的攻击流量会被牵引到学校自己的DNS服务器,大部分学校部署的DNS服务器处理能力不足,遇到蠕虫攻击很容易造成网络瘫痪。
因此,在DNS牵引的基础上,我们还需要从两个维度进一步保护DNS的可用性:

1、QPS限速
所谓QPS限制,就是对DNS每秒钟解析请求的次数做限制。在Panabit内,可以对网络中DNS协议的QPS进行实时监控。



如果发现QPS异常,我们可以设置一个总QPS阈值限制,同时设置一个单IP的QPS限制,这个类似于流量通道和单IP限速。QPS限速能保障DNS牵引后,学校的DNS服务器不受客户端DNS蠕虫攻击影响。
3.jpg

2、连接数控制限流
QPS虽然限制了DNS的请求次数,但是被攻击的DNS IP的连接数仍然可能会很大,特别是伪造源地址的DNS蠕虫,进而耗尽沿途设备的连接总数,导致网络瘫痪。连接数控制可以对IP的连接数做限制,阻挡部分攻击形态。所以,在进行QPS限速之后再增加对IP连接数的限制是非常必要的,双管齐下,这样才能真正使网络畅通,稳而有序。
4.jpg

说到这里,有人会问怎么发现DNS被劫持?难道要等到网络瘫痪么?
NONO,Panabit能对网络内所有IP的连接数曲线做记录,精确到每时每刻每个IP的每个Session。借助于连接数曲线,可以进行DNS可视化分析,如果连接数曲线偏离正常值,则表明DNS被攻击,根据曲线便能一眼判断出攻击源。看看下图的连接数的直观展示,会让你对DNS攻击有切身感受,所有蓝色部分都是由一个内网DNS蠕虫引发。
5.jpg

总结
DNS服务系统是互联网络的中枢神经,Panabit智能应用网关通过智能管控DNS,对其实施保护、引导、管控,满足所有互联网运营环境的需求。想要了解更多DNS的优化方法,参考原文链接,或者直接联系我们的网络专家进行一对一讨论。

发表于 2017-7-21 15:04:08 | 显示全部楼层
有些不明白,此例中,360等卫士的电脑客户端,为什么能识别网络中心自己搭建的DNS服务器为劫持,并发出警告,而对Panabit的DNS劫持不做处理呢?
您需要登录后才可以回帖 登录 | 注册

本版积分规则


QQ|小黑屋|手机版|Archiver|北京派网软件有限公司 ( ICP备案序号:京ICP备14008283号  

GMT+8, 2017-9-24 22:04 , Processed in 0.220575 second(s), 23 queries .

Powered by Discuz! X3.1

© 2001-2013 Comsenz Inc.

快速回复 返回顶部 返回列表