Hace poco, ayudé a un amigo a resolver un incidente de secuestro de DNS y descubrí que mucha gente sigue utilizando un servicio de resolución de nombres de dominio básico. El atacante dirigió el tráfico a sitios de phishing, y las quejas de los usuarios volaron como copos de nieve. Hoy en día, incluso las CDN tienen que “prevenir a los compañeros de equipo”, por no hablar de las DNS públicas.
Puede que piense que con un CDN de alta defensa todo irá bien, pero no lo olvide: el DNS es la primera puerta de entrada del tráfico. Si la puerta es forzada, la pared detrás de ella no sirve para construir un muro alto. He probado varios casos, 90% “anomalía de tráfico” no es un ataque CC, pero el nivel de DNS ha sido perforado hace tiempo.
Hace tiempo que el secuestro de DNS es algo más que cambiar una resolución.Ahora está de moda el “paquete man-in-the-middle”. Ahora está de moda el "paquete de hombre en el medio": primero contaminar la caché DNS local, y luego con la manipulación de respuesta a nivel de ISP, e incluso directamente contra el registrador para lanzar ataques. El año pasado, el nombre de dominio de una conocida empresa de comercio electrónico se señaló a una IP maliciosa, la causa raíz es la cuenta del registrador trabajadores sociales, y CDN no tiene nada que ver con - pero los usuarios sólo se sentirá que su sitio se derrumbó.
Es hora de sacar a relucir el viejo caballo de batalla DNSSEC. No se asuste por esta palabra, para decirlo sin rodeos, se trata de hacer firmas digitales para los registros DNS. Como si vas al banco a sacar dinero, el cajero no sólo para comprobar la tarjeta de identificación (resolución de nombres de dominio), sino también para comprobar las huellas dactilares (firma digital). Falsificación tendría que aplastar a través de la base criptográfica, el costo de tirón directo completo.
Sin embargo, mucha gente pisa más baches que problemas cuando configura DNSSEC. Por ejemplo, utilizan algunos registradores extranjeros pero se olvidan de activar la sincronización de registros DS, o el TTL se establece en una longitud enorme, lo que resulta en una lenta reversión como un caracol en caso de fallo. La lección más dolorosa que aprendí fue cuando lo desplegué en una plataforma financiera, porque el servidor NS no soportaba EDNS0, lo que provocó directamente el timeout de resolución para los usuarios de Asia-Pacífico - la historia de sangre y lágrimas nos lo dice:Haz pruebas antes de ponerte en marcha y no te fíes de la “compatibilidad por defecto” de los proveedores.”。
Aquí para publicar una prueba real utilizable DNSSEC secuencia de comandos de verificación (no se puede ejecutar a golpearme):
DNSSEC por sí sola no es suficiente. Entorno de la red doméstica es demasiado complejo, los usuarios de telecomunicaciones van Unicom retraso de línea se disparó a 300ms es común. Esta vez tenemos que ofrecer el arma mágica de resolución multilínea. Pero no seas tonto con la división geográfica - ahora los usuarios están colgando VPN, que el enrutamiento de la ubicación geográfica IP no es tan fiable como lanzar dardos.
Mi programa actual esestrategia de desvío a tres nivelesEl primer paso consiste en identificar la red troncal del operador mediante ASN (Autonomous System Number), luego ajustar dinámicamente el peso en función del retardo en tiempo real y, por último, utilizar Anycast para garantizar el fondo. En concreto, los proveedores de servicios con BGP Anycast como CDN07, junto con el análisis sintáctico multilínea, pueden endurecer la latencia de análisis a menos de 50 ms.
Tomemos el caso de nuestra migración a 08Host el año pasado: los usuarios de telecomunicaciones originales siempre se enrutan a los nodos Unicom, y luego en el nivel de DNS para hacer la identificación ASN + detección de retardo, directamente dejar que la tasa de aciertos de resolución aumentó en 40%. la configuración es largo como este:
Pero no creas que puedes estar tranquilo con DNSSEC+Multiline en tu manga.Envenenamiento de caché DNS, DDoS de servidor NS, e incluso falsificación de registro de transparencia de certificados...... los atacantes juegan más trucos de lo que piensas. Una vez me topé con un equipo que plantaba un troyano dirigido específicamente al envenenamiento recursivo de DNS en pequeños operadores porque su versión de software DNS seguía estancada en 2014.
El valor real de un CDN de alta defensa está en los bolsillos. Los nodos como CDN5 verificarán los resultados de la resolución DNS dos veces: si se detecta que la IP resuelta coincide con la base de datos de inteligencia de amenazas, se activa directamente el proceso de limpieza. Esto equivale a añadir un doble seguro al DNS: incluso si se manipula la resolución del front-end, el tráfico hacia el nodo de borde tiene una última oportunidad de corregir el error.
Añade una teoría de la tormenta final:Atreverse a no utilizar el equipo de DNSSEC en 2024 equivale a circular por la autopista en una furgoneta con dinero sin caja fuerte.Pero no exagere. Pero no exagere - He visto una empresa a los dominios de prueba interna también en un conjunto completo de DNSSEC, cada vez que cambie el registro de esperar a que la sincronización de la firma, los desarrolladores casi poner la operación y mantenimiento de sacrificio.
La verdadera arquitectura fiable tiene que estar anidada como una cebolla: autenticación de tubo DNSSEC, optimización del rendimiento de tubo de análisis sintáctico multilínea, limpieza de tráfico de tubo CDN de alta defensa. Por cierto, Amway una operación desenfrenada: CNAME aplanar el registro alias del proveedor de CDN aplanamiento, tanto para disfrutar del efecto acelerador de CDN, sino también para evitar la resolución de la cadena es demasiado larga que conduce a puntos de fallo.
Para ponerlo en perspectiva: muchas organizaciones siguen centrando sus inversiones en seguridad en cortafuegos y WAF, y la seguridad DNS se deja al azar. Pero si nos fijamos en los principales incidentes de seguridad de los últimos años, desde el secuestro de GitHub hasta la quiebra del banco brasileño, ¿cuál no fue arrancado del nivel DNS?La resolución de nombres de dominio es las dos venas de Internet, si se pincha aquí, todas las defensas posteriores son sólo para aparentar.。
Por cierto, si usted está en el proceso de selección de un modelo, recuerde que debe probar la compatibilidad DNSSEC del proveedor. ¡Algunos de los viejos vendedores (por no nombrar) EDNS apoyo apesta como un colador, sería mejor utilizar 08Host como proveedores de servicios emergentes - al menos desde el primer día de su nacimiento de la pila completa de apoyo DoH / DoT. datos medidos aquí: el mismo nodo para abrir el DoH, las fluctuaciones de latencia de resolución de 200 ms a menos de 30 ms! La razón es que se salta la cadena de contaminación DNS del ISP local.
Esta cosa de la tecnología es más miedo a medias. Ya sea como la puerta de al lado Wang equipo completamente mentira plana con el DNS público, o honestamente DNSSEC + multilínea + CDN suite de tres piezas completa. El más miedo de la clase de gastar millones para comprar alta defensa, el resultado es ahorrar unos pocos miles de DNS versión profesional del servicio - lo mismo que a la bóveda para instalar cerraduras de iris, pero la clave se inserta en la puerta.
La próxima vez que se encuentre con un “sitio no se puede abrir, pero ping a través de” eventos psíquicos, en primer lugar sacar la mano de la DNS de diagnóstico de tres ejes: comprobar los registros DS, comprobar la firma RRSIG, medir el enrutamiento de línea. Garantizado el 80% del problema puede ser localizado en el acto - el 20% restante? Esa es la red troncal operador bombardeado, date prisa para empapar fideos y otra repararlo.

