分类目录归档:旧文

mark下:2014年1月21日全国DNS污染始末以及分析(作死)ovear

好吧,科普下,学习下,了解下,八卦下~你懂得~ 

丫丫丫~好久都没见到各位了,Ovear都有点想念各位了。于是今天就来码一篇=w=

群众:滚,你的反编译和海量查询系统呢
Ovear:QAQ Ovear刚刚考完试,也要让Ovear喘口气嘛。。那些文章很难写的,一不小心就被喷的要死
群众:吃翔翔,看你天天在某群里聊天,还说自己玩过头挂科了
Ovear:啊哈哈哈哈哈 今天下午出了个大新闻你们知道了
群众:啊?啥信息,喂别转移话题

=w=大概今天15:30的时候,Ovear正在调试新的服务器,结果发现肿么突然上不去了。。结果ping了以下,结果吓尿了,Ovear的域名都指向到[65.49.2.178]这个IP。Ovear第一反应就是,尼玛DNSPOD又被黑了! 为什么说DNSPOD被黑了呢,其实以前DNSPOD就出过一次类似的问题=。=,导致所有的域名都跪了,刚好Ovear这个域名还有测试的几个域名都是那里的,然后就到某交流群吐槽。结果管理员说他们的DNS被污染了,Ovear心想不会是全国DNS都被污染了吧。结果乌鸦嘴说中了。。还真的是全国劫持。

然后Ovear就很好奇,到底是怎么回事呢~有谁能做到这样的事情~于是就有了以下的分析和科普~
—————–以下内容为Ovear家电脑中病毒所致,跟本人无任何关系,谢绝跨省————————

balablabala说了这么久,肯定有同学问了,窝又不是学计算机的,(╯‵□′)╯︵┻━┻dns是什么玩意,跟我有什么关系!
那么DNS是什么呢,Ovear就来科普下┑( ̄Д  ̄)┍。
我们访问一般是通过域名[Domain]来访问的,咦DNS怎么也是D开头的,难道有关系?说对了!就是有关系:DNS的全称其实是[Domain Name System]翻译过来就是域名系统
在互联网中,是只存在IP的,IP其实就是一串数字,相当于你家里的门牌号,大家在网络中想找到你,必须通过这个,所以IP对于每个人来说是唯一的。但是第四代IP都是XXX.XXX.XXX.XXX这样的,多难记啊,谁会没事记住IP呢,更何况以后天那么长的IPV6,要记住不是得要人命!这时候一个聪明的科学家出来,我们给IP加一个别名,大家通过别名不就可以不记住这个IP,也可以知道这个IP了!于是就有了域名[Domain]这个东西.
当你访问www.ovear.info的时候
电脑的DNS解析系统就会自动问DNS服务器:尼知道www.ovear.info对应的IP地址是神马么?
DNS:窝帮你查查,奥,找到了,IP是[122.10.94.169].
Ovear的电脑:谢啦,再见
DNS:恩
对应现实就是,问知道张三的人:尼知道张三家在哪里么? 回答 在南山区 balabalabla。

当然这样解释还是不怎么恰当的,因为一个DNS服务器是不可能知道所有域名的地址的,因为这需要耗费极大地代价,所以这时候就出现了递归DNS和根DNS。(由于篇幅原因,Ovear就简单的说一下,其实还是有问题的。Ovear以后再写一篇文章详细阐述下DNS的工作原理,或者看[http://en.wikipedia.org/wiki/Domain_Name_System] QAQ)
根DNS是什么呢?大家想想,每个域名都有一个后缀,比如说ovear是[.info]后缀的。那么就有一个专门记录[.info]后缀的dns服务器,其他后缀也一样。这个DNS就是该域名的根DNS。
那么递归DNS呢?其实递归DNS就是一个代理人,是用来缓解[根DNS]压力的,如果大家都去问[根DNS],那[根DNS]不早就跪了。毕竟一个人(网站)的地址不是经常变的,所以就有了TTL这一说法,根据DNS的规定,在一个TTL时间呢,大家就认为你家里(域名所指向的IP)的地址是不会变的,所以代理人[递归DNS]在这个时间内,是只会问一次[根DNS]的,如果你第二次问他,他就会直接告诉你域名所指向的IP地址。这样就可以解决[根DNS]负载过大的问题啦。
顺便这一张图也可以很准确反映出来之前所说的~ =w=
figure_01

说了这么久,口水都干了,那么DNS到底跟这次事件有什么关系呢~
首先来看张图
QQ截图20140121154922
瓦特!肿么这么多域名都指向同一个IP了,这是什么情况0 0。其实这就是典型的[DNS污染]了。
我们知道互联网有两种协议,一种是TCP,一种则是UDP了(知道泥煤啊(╯‵□′)╯︵┻━┻都说我不是学计算机的了)。
TCP和UDP的主要差别就是:能不能保证传递信息的可靠性。UDP是不管消息是否到达了目标,通过什么途径的,他只管我发出去了就好,所以UDP比TCP快得多,但是可靠性没有TCP好。
QQ截图20140121180655
而DNS查询默认就是用的是UDP,那么就很好劫持啦。在UDP包任何传输的路途上,直接拦截,然后返回给接收端就行了。
啧啧,说道这大家也隐隐约约知道这次事件的问题了吧,范围如此之广的劫持,必须要在各个省市的主干网上进行,而能处理这么大数据,同时能控制这么多主干网的。。啧啧啧。。。没错!就是GFW了~至于GFW是什么,Ovear在这就不说了,不然可能大家都见不到Ovear了QAQ。
说道这里,Ovear就准备手动查一下,到底是不是所推测的GFW呢?于是拿到了这个图(From XiaoXin)
d2c0c26c8b00a17a01806b3f0c7b163b_r

与此同时运维也在各地的服务器上开始了跟踪查询,发现全国各地解析时间均为25ms左右。这时候结论就出来了。

这样就明显了,肯定是GFW做的了~~于是Ovear又好奇的查了下,这个IP是什么来头,为什么都要指向到这里去,于是Ovear发现了一些好玩的东西~(http://bgp.he.net/net/65.49.2.0/24#_dns)
QQ截图20140121181511
从侧面点出了此次事件的始作俑者。
那么某FW为什么要这么做呢?Ovear在这里做一个无责任的推测,最有可能的就是:某FW的员工本来是想屏蔽这个IP段的,但是呢一不小心点进去了DNS污染这个选项,然后又没写污染目标,于是就全局污染了啧啧啧~

但是有些童鞋会问了(╯‵□′)╯︵┻━┻为什么他们都说

65.49.2.178

 牛气哄哄啊,国人一直说自己黑客有多牛多厉害,今天这个ip红了,全网指向,什么概念!

继续围观!

2014年1月21日下戰書15時左右開始,全球大量互聯網域名的DNS解析泛起題目,一些著名網站及所有不存在的域名,均被錯誤的解析指向65.49.2.178


 
微博摘要:


@張立坤的微博:多個遞歸服務器(1.2.4.8, 8.8.8.8, 114.114.114.114)竟然同時把某某域名解析到65.49.2.178!首先排除DNSPOD的題目,竟然發現L根直接回復的A記實。這次題目搞大了!不是GW的題目,就是根域名服務器的題目啊


@資同阿傑:根據大量用戶反饋,從15:20左右,全國泛起大范圍DNS故障,包括weibo等良多網站被解析到65.49.2.178上。 
  @王岩_超級蒼蠅:貌似發生大事件了? 大量域名(有效的和無效的)被解析到65.49.2.178 … 詭異


@wis_:所有不能正常訪問的域名都被指向65.49.2.178了


@已停藥已拋卻治療:海內 DNS 全掛了, 良多域名都被解析為: 65.49.2.178 連qq和360也被解析成這個IP了


@互聯網的一些事:全國泛起大范圍DNS故障,用Google 8.8.8.8 的都泛起了無法打開網頁的情況。


@枯木-Linux微博達人://@aullik5: 比上次cn域名被攻擊更惡劣的事情發生了!沒有最壞,只有更壞!//@安全寶: 海內所有通用的頂級域名,包括.com、.cn部門DNS解析被污染,解析到65.49.2.178


 20140121164017_1931.png 


事件追蹤:


2014-1-21 15:30


此次事件必將載入史冊,無數網站將會造成巨量的經濟損失。


2014-1-21 16:00


各大安全網站均發現此題目,紛紛通報此事,還沒有組織發布故障原因。


2014-1-21 16:08


據cnBeta訊:海內互聯網根域泛起重大故障 已持續數十分鍾。

黑客攻防系统与鲶鱼效应

    上一期电商例会austin提出电商平台拍砖会议,此项事务一度是电商必备常规例会之一。随着事务繁忙,陆续规范就模糊了,销售业绩固然重要,但也须有一个良好的内部环境及学习型态度。简单说吧,就是磨刀不误砍柴工,行内圣外王之道,从正其心,诚其意,致知,格物作起。
 
    早在上个世纪(其实也就十几年前),互联网的兴起,WWW万维网的出现,http协议,TCP/IP协议等各种规则将整个世界联系起来。初创的世界问题不断,各种萌芽的工具,漏洞非常多。轻松侵入电子邮箱,暴力破解FTP密码,终端跟踪即时通讯工具,伪装地址跳跃代理等等,接着互联网世界出现大乱子了。大到千年虫的困惑,小到木马远程BUG。一时间大家都觉得网络是个非常不安全的世界。当然黑客的成长都是先研究病毒,从攻击开始,最后变成防御专家。但是随着这十几年的攻击,防御,各系统的安全系数不断提升,从而形成了当今这个大生态系统,接着所展示的是无比强大的能量。
 
   鲶鱼效应,想必就比较理解了。沙丁鱼运输容易死亡,挪威人就将生性好动的鲶鱼来刺激沙丁鱼。生于忧患,死于安乐。随即沙丁鱼就能活下来,从而具备了防范意识。市场呆滞,团队缺少活力都需要鲶鱼的积极态度来激活。如<史玉柱自述>多次强调的团队文化,在过往防范情绪污染的前提,更需要投入激活团队活力的鲶鱼。
 
   以上两个案例所说明的是,一个团队需要的拍砖机制,是一个净化功能,镜子功能。一个人的视界有限,想法有限,只有通过团队的多维多角度进行剖析,才能更为全面健全防御系统。与朋友英子所聊及,一个组织有无活力,要看有没有自己革自己命的勇气。解放军是个勇于自我革命的组织。这种自我革命,使这个组织在适应环境变化中,永远处于最佳战斗状态。
 
    拍砖会议的细则是,给每个平台的运营官展示自己羽翅的舞台,但是获得的未必是掌声鲜花,接招的可能是板砖。团队内部良性的冲突,这种存在是一个必要,如沙丁鱼群中的鲶鱼。多面镜子的反射才能看清自己背后的不足,才能弥补一些过失,从而在面对外部战场的时候,可以从容应对各种意外。电商的变数太多,天猫提倡的是拥抱变化,我们则是天机算尽,各种推演,尽力抢在人之先。