1
CEBBCAT 2017-05-12 00:46:22 +08:00 via Android
|
2
102400 2017-05-12 01:02:18 +08:00
这个时候用小众 dns 的有优势了
|
3
Alwaysonline 2017-05-12 01:26:51 +08:00
怪不得家里宽带上不了网了啊 原来是这个 dns 的问题啊。。NND
|
4
YunLan 2017-05-12 01:38:02 +08:00 via Android
大晚上的突然家里就解析不了网站了,还以为路由里某些东西炸了,结果发现是 dnspod 解析出问题了,切成阿里云正常了
|
6
JJaicmkmy 2017-05-12 01:49:29 +08:00
直接断在城域网,BGP 的问题?
|
7
CloudnuY 2017-05-12 02:22:59 +08:00
联通表示 mtr 和 traceroute 挂在了 AS4808。。。ping ttl=42
另外 1248 此时没问题 |
8
him007 2017-05-12 03:08:02 +08:00 via Android
移动用户表示不受影响,反正 53 端口的请求都被劫持了
|
9
Devmingwang 2017-05-12 06:09:49 +08:00
@JJaicmkmy 嘿,guys,在 twitter 看到你了。
|
10
johnjiang85 2017-05-12 08:06:46 +08:00
抱歉昨晚 119.29.29.29 的影响。119.29.29.29 在电信被大流量攻击( 22:24 )多个机房带宽被打满,随后这个 ip 在电信被黑洞,其他运营商未封堵,目前已经解封( 6:50 ),可以使用备用 ip 119.28.28.28 进行备份使用,备用 ip 的理由播布略有区别,功能一致。
httpdns 如果使用了我们的 SDK 或者按照最佳实践流程进行开发实现 最终使用 ldns 进行兜底应该不会对实际业务造成影响,所以还是建议按照最佳实践进行实现或者直接使用 SDK。 |
11
aruisi OP @johnjiang85 刚才 dig 了下 119.29.29.29 好像又挂了,但是能 ping 通,是不是攻击又来了?
另,182.254.116.116 也是你们的备用 dns 吗,这个和 119.28.28.28 有什么区别? 这三个都支持 edns 吗? |
12
johnjiang85 2017-05-12 09:32:46 +08:00
@aruisi 都是支持 edns 的,182.254.116.116 也可以使用,但是很多策略不同通
|
13
Lullaby 2017-05-12 09:39:35 +08:00
查了半小时原因 裤子都脱了 才发现自己用的 119.29.29.29
|
14
21grams 2017-05-12 09:41:00 +08:00 via Android
这个不是腾讯的吗,怎么一攻击就跨了,这水平太次了吧
|
15
QQ2171775959 2017-05-12 09:50:46 +08:00
原来又是被攻击了啊。。。
|
16
johnjiang85 2017-05-12 10:25:56 +08:00
@aruisi 182.254.116.116 和 182.254.118.118 相比 119.29.29.29 和 119.28.28.28 有很多优化没有做,延迟上在部分地区可能会更高一些。
|
17
johnjiang85 2017-05-12 10:50:18 +08:00
@aruisi 排查北方部分地区电信 119.29.29.29 这个 ip 无法 dig,ping 和 httpdns 可以,正在联合排查中。
|
18
johnjiang85 2017-05-12 11:45:16 +08:00
@aruisi 能给下你这里是什么省份运营商,我们在统计,看有没有遗漏的
|
19
aruisi OP @johnjiang85 甘肃电信。为何会能 Ping 不能 dig,是不是你们昨晚为了应对攻击封了不少 ip 段
|
20
7sa 2017-05-12 12:09:13 +08:00
@johnjiang85 新疆电信也一样,不能 dig
|
21
johnjiang85 2017-05-12 12:46:09 +08:00
|
22
aruisi OP @johnjiang85 好了,可以用了。官方能不能给写个此次事件的来龙去脉和处理过程给大家学习学习。
|
23
yuchenr 2017-05-12 13:43:37 +08:00
江苏移动,目前还不可用
用 dig udp 查询直接超时;+tcp www.baidu.com 会返回电信的 ip |
24
ytmsdy 2017-05-12 13:51:01 +08:00
昨天晚上 119.29.29.29 确实挂了,家里百度都打不开。后来换了电信的 dns 就好了。
|
25
maojy1989 2017-05-12 13:52:34 +08:00
上海移动用着也不稳定,很多域名无法解析
|
26
xcodeghost 2017-05-12 14:13:17 +08:00
@johnjiang85 目前 119.29.29.29 的上海前端节点撤了?江苏电信 ping 过去延迟比以前高多了。不知道为什么时候能恢复。
|
27
7sa 2017-05-12 16:39:46 +08:00
@johnjiang85 恩,新疆电信恢复正常~
|
28
yexm0 2017-05-12 22:39:26 +08:00
@johnjiang85 (帮朋友反馈的)湖北黄石电信.无法访问.
|
30
johnjiang85 2017-05-13 10:22:02 +08:00
@yexm0 昨晚该时间段再次发生攻击,然后我们的防护生效,但是阈值太低,导致部分地区正常请求也被限速丢包,丢包率最高时超过 20%,目前已经调高了过滤攻击请求后的正常请求的限速阈值(调整时间 5.12 22:48 ),已经大大高于高峰时段正常请求峰值。
|
31
Mijjj 2017-05-13 22:21:04 +08:00
@johnjiang85 广东电信 100%丢
|
32
yexm0 2017-05-13 23:02:44 +08:00
@johnjiang85 电信线又 BOOM 了啊.
|
33
bclerdx 2017-05-14 00:51:18 +08:00
@johnjiang85 北京鹏博士旗下的电信通、宽带通线路疑似走电信出口的,119.29.29.29 解析也出故障了,超级慢,甚至无法打开网页了。
|
34
meanmachine 2017-05-14 15:13:25 +08:00
昨晚成都电信同样 timeout
|
35
johnjiang85 2017-05-14 19:29:06 +08:00
昨晚又被打了 400G,再次封堵了电信线路,最近可能会被持续攻击,建议先用 119.28.28.28 的备用 IP 或者设置多个 NS
|
36
johnjiang85 2017-05-14 19:50:23 +08:00
电信线路从 21:01 被攻击,随后在电信线路被自动封堵,2 小时后 23:10 解封,但依然有攻击持续,只是流量相对较小,没有再次被封堵。
我们正在根据攻击特征等评估动态的路由调度方案和策略,由多节点同时分担攻击流量,防止某地一个节点被打满被封整个运营商。 |
37
adfsadfssfd 2017-05-14 21:17:55 +08:00
@johnjiang85 400g 是如何算出来的
|
38
bclerdx 2017-05-14 21:44:48 +08:00
@adfsadfssfd 同问,是怎么计算出来的 400GB 的流量,这 400GB 流量怎么就算做或你们认为或电信认为是流量攻击,请解释?攻击你们 119.29.29.29 的目的是什么?
|
39
aruisi OP @johnjiang85 有没有报警或者追查攻击源头呢,或者是有什么线索没有?
|
40
bclerdx 2017-05-16 08:20:57 +08:00 via Android
现在 119 的还是有问题么?
|
41
liaoyaoheng 2017-05-16 19:30:11 +08:00
@johnjiang85 请教:备用 119.28.28.28 比备用 182.254.116.116 更好吗?
|
42
johnjiang85 2017-05-17 10:15:21 +08:00
@adfsadfssfd
@bclerdx @aruisi 在机房入口处都有针对每个 IP 的流量、包量、攻击类型的统计,119.29.29.29 虽然是 BGP Anycast 的,但是统计还是分运营商出口的,这次攻击主要是电信的,统计到的到达机房入口的是 450G+的流量,主要攻击方式是大包 SYN FLOOD,目前攻击目的还没有明确,溯源内部安全部门有在做,不过这个耗时和成本都会比较高。 @bclerdx 本周没有问题 @liaoyaoheng 路由上会略好一些,119.28.28.28 和 119.29.29.29 在每个省份的路由调度上,做了比较长期的全国大范围拨测调整,而 182.254.116.116 主要不是给外部使用的,并没有做这些优化,当然如果使用地区在北上广的话,区别不大。 |
43
bclerdx 2017-05-17 23:06:32 +08:00
@johnjiang85 您是说北京地区的北京鹏博士旗下的电信通、宽带通和长城宽带线路使用你们的这三个 DNS 本周(从 2017.5.15 开始计算)没有 DNS 解析问题,对么?可是,据我们测试,目前北京鹏博士旗下的电信通政企客户、家宽客户及家宽宽带通客户基本上其出口主要的疏导流量是往 AS4847 的北京电信出口走,那么按您的意思,是全国范围内的中国电信网络都会受到 SYN FLOOD 攻击的影响,进而导致解析到电信 IP 的线路会出现 DNS 无法解析、解析缓慢或网页无法打开的现象吗?谢谢!
|
44
aruisi OP @johnjiang85 最近发现 DNSpod 的 119.29.29.29 和 119.28.28.28 似乎存在解析结果 ip 全国乱跳不准确的情况,例如我在兰州电信 dig @119.29.29.29 www.sohu.com 出来的 Ip 是 14.18.240.6 (广州电信),而 dig @223.5.5.5 www.sohu.com 出来的是 117.34.8.50 (西安电信),很明显后者准确。是不是 dnspod 受攻击后撤销了许多节点的问题?
|
45
johnjiang85 2017-05-23 17:39:33 +08:00
|
46
bclerdx 2017-05-23 18:34:18 +08:00
@johnjiang85 请问 119.29.29.29 针对北京地区北京鹏博士旗下的宽带通、长城宽带公众宽带和商业宽带有后端递归节点?你们的 119.29.29.29 在北京地区北京鹏博士 IDC 机房有放 DNS 服务器?
|
47
bclerdx 2017-05-23 18:35:46 +08:00
@johnjiang85 另外,可否公布一下你们目前最新的全国各地的递归节点的数据及运营商么?你们网站上的数据好像有点老点了吧,或者有错误吧?
|
48
johnjiang85 2017-06-02 10:42:58 +08:00
@bclerdx 我们有长宽的后端递归节点,但是这个与后端递归节点的分布没有关系,主要是接入端在部分运营商被封禁导致的。
另外后端递归节点最近正在经历比较大的调整,变动比较频繁,调整完后主要以腾讯云北上广川四个地区助理部署的递归节点为主力,加上各个地区和其他业务复用的部分递归节点。 |
49
bclerdx 2017-06-02 11:12:28 +08:00
@johnjiang85 长宽的后端递归节点不一定使用宽带通和电信通吧?
|
50
johnjiang85 2017-06-02 14:44:30 +08:00
@bclerdx 不一定,各个运营商的都有可能使用,带着 ecs ip。
|
51
bclerdx 2017-06-02 18:29:17 +08:00
@johnjiang85 可是长城宽带、电信通 和 宽带通都是其鹏博士旗下的网络呀,怎么会不一样呢?
|
52
cjjdaq 2017-06-03 13:21:08 +08:00
@johnjiang85 最近 29.29 和 28.28 经常解析不出 ip 呀。上一秒 dig 出来有 ip。下一秒就没有 ip 了。坐标江苏淮安。
|
53
johnjiang85 2017-06-05 09:30:51 +08:00
@cjjdaq 把域名和运营商发我下吧,我找人看下
|
54
cjjdaq 2017-06-06 12:27:59 +08:00
|
55
johnjiang85 2017-06-13 18:29:56 +08:00
@cjjdaq 看上去像是某个授权 DNS 返回的了错误格式的包,我们的某台服务器解析出错,没有结果,还缓存了 特别特别特别 长的时间,一直不刷新,手工刷新了下。
不过这个域名的授权 DNS 返回确实比较奇怪,地址不固定。 |
56
KCheshireCat 2017-09-18 15:48:25 +08:00 1
@johnjiang85 #55
你好,最近 manjaro 升级 dig 到 9.11.2 了,默认请求会带上 cookie 参数,请求 DNSPod 都不会有响应,加上+nocookie 不在请求里带 cookie 就会收到响应. 还有,DNSPod 是不是关闭了 tcp53 端口了呢?发出握手直接响应 RST. 浙江联通 |
57
aruisi OP @johnjiang85 感觉最近 dnspod 的 ip 库很乱啊,例如之前多次反映过 106.0.5.x 是北京电信,结果到现在还是识别为海南电信。。
|
58
aruisi OP @johnjiang85 183.78.180.x 是北京电信的 ip 段,目前 dnspod 仍然识别为福建电信,请更新。
|
59
johnjiang85 2018-06-04 17:48:14 +08:00
@aruisi 106.0.5.x 看了眼应该是 OK 的,183.78.180.0 在 DNSPod 权威识别是准确的,公共 DNS 的反馈给相关负责人了
|
60
aruisi OP @johnjiang85 恩恩,就是公共 dns 识别不准确的问题,谢谢。
|
61
johnjiang85 2018-06-15 15:25:15 +08:00
@aruisi 我看了一眼,公共 DNS 已经更新了。
|