一、DNS應用系統的重要性
DNS是負責將互聯網的域名解析成計算機容易識別的IP地址。DNS系統出現故障,將使互聯網的通信無法進行,因此其在互聯網通信中的作用舉足輕重。互聯網上的域名系統的安全防禦能力其實較為脆弱,破壞者乘機蓄意攻擊並非難事(譬如:2009年巴西最大銀行遭遇DNS攻擊;2010年百度域名被劫持;2014年騰訊DNS故障)。
DNS系統出現故障,通常比較隱祕,不易覺察;因此排查這類故障,往往比較棘手。不過,倘若藉助專業的可視化回溯分析系統進行故障排查,將起到事半功倍的作用。
以下案例分享,闡述了通過迪思分析系統,排查某大型網絡中心DNS故障的詳細流程。
二、故障基本描述
發生故障後,訪問網站時,多數網頁打不開;有的網頁雖然能打開,但是並非想要訪問的網頁,而是幾個不知名的信息雜亂的網頁。而登錄QQ,則沒有問題。
三、旁路部署設備
旁路方式接入網絡,對原有架構無影響。通過交換機的鏡像口,將網絡中心所有的數據流量捕獲;進行全面的網絡應用性能分析,發現性能瓶頸,定位故障源。
故障分析
1.總覽分析
根據故障描述,初步判斷是DNS服務器出現問題,於是對DNS應用做詳細分析。如圖所示,抓包10分鐘,DNS服務器執行了389次域名解析,解析成功數是389個,解析失敗數是0個。從域名解析的結果來看,是很正常的。
2.對比分析
多數網頁打不開,即使少部分能夠打開的網頁也是不知名的網頁,那麼所有解析出來的域名,應該是錯誤的。回溯解析成功的域名與IP地址的對應列表,選擇幾個常見的域名與IP的對應關係,與正確的對應關係進行對比。發現這幾個域名所對應的IP地址和實際IP地址不符。在一個主機中安裝一個臨時的DNS服務,用其解析域名,結果就可以正常訪問網頁了。顯然,該網絡中心DNS服務器確實存在故障。
3.深入分析
考察其他所解析出來的IP,發現絕大多數IP是廣播地址;試問訪問廣播地址,又豈能打開互聯網中的網頁呢?而QQ之所以可以正常登陸,是因為它並不依賴該DNS服務器解析域名。分析到這裡,基本可以判斷該DNS服務器被劫持了;DNS服務器中的數據庫緩存數據很可能被黑客串改。查詢DNS服務器數據庫緩存,發現數據庫中的正常數據的確被串改。
這種情況,當機立斷應該先把被劫持的DNS服務器的緩存數據刪除,並對系統進行徹底殺毒處理。其次,應當全面檢查有關DNS的業務。
四、小結
DNS劫持是黑客攻擊DNS服務器的常用方式,其造成的危害往往是非常嚴重的。上述案例中,通過迪思分析系統的可視化分析,迅速發現了問題的癥結所在,找出問題根本原因,大幅度提升了排障效率。因此,在實際運維當中,能起到明顯的輔助作用。