DNS解析“风暴”现象分析及预防

　　

作者：周安宇 季宇斌 韩冬梅 徐耀群 唐林德 铁峰 张冰

　　【摘要】本文阐述了一种互设DNS造成DNS解析风暴,进而造成对DNS服务器攻击的异常现象,本文对该现象发生的条件、原因,发生后对DNS服务器的危害以及预防都做了比较详细的分析。
　　【关键词】DNS服务器 DNS解析 网络风暴
　　
　　1 DNS风暴现象的发生
　　目前不少家庭用户拥有多台电脑,并且安装了不同运营商宽带网络,这些用户往往需要多台电脑能够同时上网,因此Windows操作系统中的网络共享就成为首选。刚开始的时候用户设置其中一台为网关服务器,利用这台计算机拨号,另外一台上网。经过设置以后,网关服务器电脑的IP地址会自动变成192.168.0.1。然后,将另外一台电脑的IP地址设置为自动获取或者192.168.0.2,另外再设置网关和DNS都为192.168.0.1,就可以利用共享上网了。网关服务器没有打开而另外一台电脑需要上网,因此用户就希望两台电脑能够互相设置为网关,哪台电脑先打开就先设置为网关服务器。这样两台电脑的工作都不耽误。
　　这种情况在拥有多台电脑的家庭网络中经常发生,但是经过了这么一个简单的设置后,如果输入正确的Web地址,系统能够正常的上网,并且在表面上不会发生问题。但是当输入了错误的Web地址或者简单地Ping 一个不存在的WWW地址时,就会观察到系统通知域显示的网络图标开始处于不断地发送接受状态。而且这种状态不会自动停止,如果观察连接状态,可以观察到数据包的接受和发送以每秒3000个的速度在进行,非专业者在上网的时候如果发现了这种现象可能会感觉网络速度很慢,但是仍旧可以比较正常的浏览网页,而且当重新启动计算机以后在正常情况下又能够正常工作,因此很容易忽视这个问题。其实这个时候,大量的DNS数据包已经在网络之间传送,DNS解析的网络风暴发生了。
　　如上所述,发生DNS解析“风暴”的4个条件:(1)计算机双方设置微软的网络共享(2)双方互设DNS (3)安装了PPPoe协议,Adsl和网通宽带用户恰恰都是安装PPPoe协议的。(4)请求解析不能解析的Web地址。
　　
　　2 现象的分析
　　为了分析这种现象的发生,进行截包分析,在发生现象的时候,可以截获到大量的DNS请求解析和解析结果数据包。
　　这些数据包的地址有共享网关服务器A计算机的地址192.168.0.1,客户端B计算机的地址192.168.0.2,还有一个地址是拨号的地址xxx.xxx.xxx.xxx,另外两个地址210.46.112.8和202.97.224.69就是ISP的DNS服务器地址了。系统在192.168.0.1和192.168.0.2之间不间断的传送解析数据包,也在因特网上的DNS服务器中进行解析,但是由于解析都是失败的,因此这个地址的解析不停地进行,并引起了“风暴”现象。

同样的设置在解析一个正常的WWW地址时并不会引起任何问题,通过截包发现,当在A计算机中要进行如www.hrbcu.edu.cn这个地址的解析时,由于A计算机的首选DNS服务器为B,A计算机会直接将这个解析包转发给B计算机,但是由于B计算机并不能解析这个地址,而且首选的DNS解析服务器是A,所以B计算机还是将这个数据包发送给了A计算机,虽然经过了一轮转发,但是当A计算机发现首选的DNS设置并不能解决问题时,A会自动选择默认的备用DNS服务器即ISP提供的DNS服务器进行解析,这样解析就成功的完成了。
　　当一台计算机发现自己解析不了的地址时,是马上给出一个解析错误的信息,还是转发给他的首选DNS服务器。如果本身有DNS解析服务,那么这台计算机可以返回DNS解析错误的信息,如果没有设置共享网络,那么什么转发也不会出现,但是设置了共享网络自身又没有启动DNS服务,那么问题就出现了,收到不能解析的地址的计算机会直接将数据包发送给他的首选DNS服务器,这就是造成DNS解析风暴的原因。
　　
　　3 预防及避免
　　由上可见,非专业的家庭用户在不经意间,可能就会将自己的网络设置成为DNS服务器的“杀手”,这种问题必须引起DNS服务提供商和普通用户的注意,以下提出一些预防和避免的方法。
　　(1)避免
　　只要将两台计算机中的一台的DNS设置为本地的DNS供应商的DNS地址或者自动获取,就不会产生这样的情况,上述文章产生的根本原因也在于早期的很多设置共享的文章都要求客户计算机设置网关和DNS服务器地址为共享的计算机的地址。
　　(2)解除
　　为了彻底解除局域网内的解析风暴,直接在操作系统更改DNS地址,改动后经过一定时间就可以消除风暴。
　　
　　参考文献
　　[1] TCP/IP使用祥解.机械工业出版社.Ed Taylor着.
　　[2] DNS相关的减少www访问延迟的办法.罗学君,张汝元.计算机工程与应用,2002.15.