Récemment, j'ai aidé un ami à gérer un incident de détournement de DNS et j'ai constaté que beaucoup de gens utilisent encore un service de résolution de noms de domaine rudimentaire. L'attaquant a dirigé le trafic vers des sites d'hameçonnage et les plaintes des utilisateurs ont afflué comme des flocons de neige. De nos jours, même les CDN doivent “empêcher les coéquipiers”, sans parler des DNS publics.
Vous pouvez penser qu'avec un CDN à haute défense tout ira bien, mais n'oubliez pas : le DNS est la première porte d'entrée du trafic. Si la porte est forcée, le mur qui se trouve derrière ne sert à rien. J'ai testé un certain nombre de cas, l“”anomalie de trafic" 90% n'est pas une attaque CC, mais le niveau DNS a été percé depuis longtemps.
Le détournement de DNS est depuis longtemps plus qu'un simple changement de résolution.Le “man-in-the-middle package” est aujourd'hui en vogue. Le "paquet de l'homme du milieu" est désormais en vogue : il s'agit d'abord de polluer le cache DNS local, puis d'altérer les réponses au niveau du fournisseur d'accès, et même de lancer des attaques directement contre le bureau d'enregistrement. L'année dernière, le nom de domaine d'une société de commerce électronique bien connue a été pointé vers une adresse IP malveillante, la cause première étant les travailleurs sociaux du compte du bureau d'enregistrement, et le CDN n'a rien à voir avec cela - mais les utilisateurs auront seulement l'impression que votre site s'est effondré.
Il est temps de ressortir le vieux cheval de bataille DNSSEC. Ne soyez pas effrayés par ce mot, pour dire les choses franchement, il s'agit de faire des signatures numériques pour les enregistrements DNS. Comme si vous alliez à la banque pour retirer de l'argent, le caissier vérifie non seulement la carte d'identité (résolution du nom de domaine), mais aussi les empreintes digitales (signature numérique). Pour qu'il y ait falsification, il faudrait que la base cryptographique soit percée, le coût de l'extraction directe est donc élevé.
Cependant, de nombreuses personnes marchent sur plus de nids-de-poule que de problèmes lorsqu'elles configurent DNSSEC. Par exemple, ils utilisent des bureaux d'enregistrement étrangers mais oublient d'activer la synchronisation des enregistrements DS, ou bien le TTL est fixé à une longueur énorme, ce qui entraîne un retour en arrière lent comme un escargot en cas de défaillance. La leçon la plus douloureuse que j'ai apprise a été lorsque je l'ai déployé sur une plateforme financière, parce que le serveur NS ne prenait pas en charge EDNS0, ce qui a directement conduit au dépassement du délai de résolution pour les utilisateurs d'Asie-Pacifique - l'histoire du sang et des larmes nous l'apprend :Testez avant de vous lancer et ne vous fiez pas à la “compatibilité par défaut” des vendeurs.”。
Voici pour poster un vrai test utilisable du script de vérification DNSSEC (je ne peux pas courir pour me frapper) :
Le protocole DNSSEC ne suffit pas. L'environnement du réseau national est trop complexe, les utilisateurs de télécommunications vont Unicom le retard de ligne a grimpé à 300 ms est commun. Cette fois, nous devons proposer l'arme magique de la résolution multiligne. Mais ne soyez pas stupide avec la division géographique - maintenant que les utilisateurs sont suspendus au VPN, votre routage de localisation géographique IP n'est pas aussi fiable que de lancer des fléchettes.
Mon programme actuel est le suivantstratégie de détournement à trois niveauxLa première étape consiste à identifier le réseau dorsal de l'opérateur par ASN (Autonomous System Number), puis à ajuster dynamiquement le poids en fonction du délai en temps réel, et enfin à utiliser Anycast pour garantir le fond. En particulier, les fournisseurs de services utilisant BGP Anycast comme CDN07, ainsi que l'analyse multi-lignes, peuvent réduire le temps de latence de l'analyse à 50 ms.
Prenons le cas de notre migration vers 08Host l'année dernière : les utilisateurs télécoms d'origine sont toujours routés vers les nœuds Unicom, puis au niveau DNS pour faire l'identification ASN + la détection de retard, ce qui permet directement d'augmenter le taux de résolution de 40%. La configuration est longue comme ceci :
L'empoisonnement du cache DNS, le DDoS du serveur NS et même la falsification du journal de transparence du certificat...... attaquants jouent plus de tours que vous ne le pensez. Je suis tombé une fois sur une équipe qui implantait un cheval de Troie ciblant spécifiquement l'empoisonnement récursif du DNS sur les petits opérateurs parce que la version de leur logiciel DNS était encore bloquée en 2014.
La valeur réelle d'un CDN de haute défense se trouve dans les poches. Les nœuds tels que CDN5 vérifieront deux fois les résultats de la résolution DNS : si l'IP résolue correspond à la base de données de renseignements sur les menaces, le processus de nettoyage est déclenché directement. Cela revient à ajouter une double assurance au DNS - même si la résolution frontale est altérée, le trafic vers le nœud périphérique a une dernière chance de corriger l'erreur.
Ajoutez-y une dernière théorie de la tempête :Oser ne pas utiliser l'équipe DNSSEC en 2024 équivaut à prendre l'autoroute dans un fourgon de transport de fonds sans coffre-fort !Mais n'en faites pas trop. Mais n'en faites pas trop - j'ai vu une entreprise tester des domaines internes également sur un ensemble complet de DNSSEC, chaque fois que vous changez l'enregistrement pour attendre la synchronisation de la signature, les développeurs ont presque sacrifié l'exploitation et la maintenance.
La véritable architecture fiable doit être imbriquée comme un oignon : tube d'authentification DNSSEC, tube d'analyse multi-lignes, tube d'optimisation des performances, tube de nettoyage du trafic CDN haute défense. D'ailleurs, Amway a réalisé une opération émeutière : l'aplatissement du CNAME, l'aplatissement de l'enregistrement alias du fournisseur CDN, à la fois pour profiter de l'effet d'accélération du CDN, mais aussi pour éviter que la résolution de la chaîne ne soit trop longue et ne conduise à des points d'échec.
Pour mettre les choses en perspective : de nombreuses organisations concentrent encore leurs investissements en matière de sécurité sur les pare-feu et les WAFs, et la sécurité DNS est laissée au hasard. Pourtant, si l'on considère les principaux incidents de sécurité de ces dernières années, du détournement de GitHub au crash de la banque brésilienne, quel est celui qui n'a pas été piraté au niveau du DNS ?La résolution des noms de domaine est la deuxième veine de l'internet. Si elle est pincée à ce niveau, toutes les défenses ultérieures ne sont que de la poudre aux yeux.。
D'ailleurs, si vous êtes en train de choisir un modèle, n'oubliez pas de tester la compatibilité DNSSEC du fournisseur. Certains des anciens fournisseurs (pour ne pas les nommer) supportent l'EDNS comme une passoire, il serait préférable d'utiliser 08Host comme les fournisseurs de services émergents - au moins à partir du premier jour de sa naissance du support complet DoH/DoT. données mesurées ici : le même nœud pour ouvrir le DoH, les fluctuations de latence de résolution de 200 ms à moins de 30 ms ! La raison en est que la chaîne de pollution DNS du FAI local est ignorée.
Cette technologie craint surtout les demi-mesures. Soit comme l'équipe Wang d'à côté qui se couche complètement avec le DNS public, soit comme la suite complète DNSSEC + multi-ligne + CDN. Ce qui effraie le plus, c'est de dépenser des millions pour acheter une haute défense, le résultat étant d'économiser quelques milliers d'euros sur la version professionnelle du service DNS - c'est la même chose que d'installer des serrures à iris dans une chambre forte, mais la clé est insérée dans la porte.
La prochaine fois que vous rencontrerez un événement psychique du type “le site ne peut pas être ouvert mais le ping passe”, sortez d'abord la main du diagnostic DNS à trois axes : vérifiez l'enregistrement DS, vérifiez la signature RRSIG, mesurez le routage de la ligne. Il est garanti que 80 % du problème peut être localisé sur place - les 20 % restants ? C'est le réseau dorsal de l'opérateur qui a été bombardé, il faut se dépêcher d'absorber les nouilles et autres réparations.

