今天早上,我发现我们的域名和子域名在4.2.2和4.2.2.1 DNS服务器以及其他我认为是中毒的,尽pipe我还没有确认其他域名。 使用OpenDNSparsing正常工作。 我已经更新了我们的本地DNS服务器,并清除了内部已修复内容的caching。
问题在于,该领域是面向公众的,客户也有问题。 我们是域名的权威DNS服务器,所有这一切都在我们的控制之下。 我不知道该怎么做的是修复名称服务器不受我们的控制。
我们能做些什么来达到目的? 目前我唯一能想到的解决方法是要求客户把他们的DNS改为OpenDNS,这是不实际的。 另一个解决方法是改变我们的TLD,这是不太实际的。
听起来你需要实现DNSSEC 。
由于您没有提供有关您的设置的许多细节,因此很难推荐一个软件解决scheme,但是使用您当前的设置searchDNSSEC应该会为您提供一些关于如何执行该操作的很好的教程。
你确定这是一个caching中毒攻击吗?
互联网上每一个广泛使用的recursionDNS服务器早已对CVE-2008-1447进行修复,使得你所描述的那种大规模中毒几乎是不可能的。
不是完全不可能的,因为源端口随机化只是使攻击花费了2 ^ 16倍以上的成功毒药。 攻击多个具有高交易量的权威名称服务器,都在同一时间? 这是相当的壮举。 纠正我,如果我错了,但你的域名可能不够重要的互联网上成为最好的攻击目标; 具有这种能力的攻击者只需要击中google.com 。
更合理或可能的解释是对域的委派进行更改,而OpenDNS服务器由于caching而没有采用。 域名是否过期,或者是否有人能够访问注册服务商,对名称服务器委派设置做出不明智的更改?
更改您的TLD? 这是极端的。 你的TTL是什么? 你的那种在其他DNS服务器的怜悯下到期你的logging之前,他们的任何麻烦寻找新的,非caching,条目。 如果您将Alogging设置为一周,则没有人会在一周内看到caching的更改。 我总是把我的Alogging设置为这样的情况下的最低设置,或者使用CloudFlare,它让我在飞行中改变它们。
4.2.2.2和4.2.2.1是Level 3的networkingDNS服务器,它们并不真正被互联网使用。 因此,它们并不是整个互联网DNS基础设施的代表。 我使用DNSStuff.com做我所有的testing/查找,因为它们是非caching的结果。
另外,不用OpenDNS,inputGoogle(8.8.8.8,8.8.4.4)就更容易,不pipe你个人的信仰如何。
DNSSEC的build议太仓促了。 你冒险去解决错误的问题,并且花费相当的维护费用。
首先检查这些问题:
DNScaching中毒现在比较less见。 如果产生这种可能性微乎其微,那么你最好使用DNSCurve。 以下是它与DNSSEC的比较:
对于不受您控制的服务器,您无能为力。
试着了解它是如何发生的 – 现在中毒不容易,应该有一些漏洞。 检查家长NS代表团。 检查您的所有身份validation。 服务器。 联系Level3,告诉他们他们的服务器中毒 – 要求他们冲洗您的域的caching,但他们希望将调查的原因。 也许他们的服务器被攻破了,这不仅仅是你的域名。
另外,请参阅TTL。 如果是故意中毒,TTL应该是非常大的(除非Level3设置了一些最大的TTL)。 你会看到什么时候会过期,然后检查是否不会再发生。
并放在街上,让人们开始最终实施DNSSEC 。