使用ansible-playbook实现dnsdist快速劫持工具

dnsdist和dnsanycast

dnsdist以其高性能常备用作dns缓存服务器
搭配bgp+bird或osfp 组成 dns anycast模式

anycast使用ansible-playbook实现dnsdist快速劫持工具_第1张图片

  • 简单来说就是:所有region中host的/etc/resolv.conf nameserver 写的都是同一个ip,如10.10.10.10/8.8.8.8
  • dns请求会被ecmp转发到本region的dns-cache上面
  • 达到请求不跨region但是配置一致的目的

dns-view

  • 做view的目的是服务使用同一个域名
  • 在不同来源ip解析到不同的region
  • 一个典型的应用就是客户端和服务端多region部署时的通信
  • 以open-falcon为例,agent需要跟transfer和hbs建立长连接

falcon架构图.png

  • transfer和hbs服务在多个reigon中都有部署,经过L4(lvs/katran)暴露不同vip
  • 但是域名保持一致,这样agent的配置文件可以统一
  • agent发起dns请求经过anycast并解析view给出对应region服务vip
  • 避免agent跨region请求、传输数据

项目地址

https://github.com/ning1875/dns_spoof

项目介绍

  • 使用powerdns dnsdist作为缓存dns服务器
  • dns_spoof 是基于ansible-playbook 操作pipline
  • 在dnsdist配置文件中添加劫持记录实现多view劫持A记录或劫持到指定权威dns解析的目的
  • 支持历史记录查看和回滚
  • 有完整的存量测试和灰度流程

整体流程说明:

  • 获取线上dns_dist配置文件到本地备份
  • 在本地装配配置文件
  • 推送到此region的线下测试机上检查配置并重启服务
  • 发起对线下测试机的主域名测试(即存量测试)
  • 发起对线下测试机的劫持测试: case1: 直接劫持的期望直接是A记录 case2: 转发的期望需要去对应的server query一次
  • 测试正常后,灰度一台推送到线上机器(如果线上机器dist重启失败则会摘bird)
  • 全量其余机器
  • 注意:上述流程是链式的,中间任何一部失败都会终止操作

使用说明

安装依赖包

# 在python2.7环境中运行
pip install -r requirements.txt 

环境准备 vars.yaml

  • 各个view的dns_dist ip :每个region包含一个线上同步配置的server和线下测试的机器,以及全量缓存机器
  view-a:
    online_ip: 1.1.1.1
    offline_ip: 1.1.1.4
    online_all:
      - 1.1.1.2
      - 1.1.1.3
  • 修改dnsdist_conf/dns_dist.conf中的标志位:对应就是

     spoof:
         # dnsdist配置文件中劫持标志注释行
         g_dist_spoof_flag_line: --auto spoof by sys sre
         # dnsdist配置文件中转发标志注释行
         g_dist_pool_flag_line: --auto forward pool by sys sre   ```

调用参数说明

  • region: 代表劫持生效的region
  • 类型: spoof代表直接劫持,forward代表转发的
  • 域名: 要劫持的域名
  • a记录列表或者dns server ip列表,空格分隔

劫持域名到指定ip列表

  • eg: 将baidu.com在view-a中的记录劫持为1.1.1.1,1.1.1.2两个A记录
  • 参数: region type domain ips
  • 多个域名用空格分隔
  • 触发: python spoof_action.py -S -r view-a -t spoof -d baidu.com -i 1.1.1.1 1.1.1.2
  • case1: 劫持型,原纪录为劫持型,变更
  • case2: 劫持型,原纪录为转发型,肯定pool存在,变更
  • case3: 劫持型,原纪录不存在,新增

劫持域名转发的指定dns server列表

  • eg: 将stackoverflow.com 在view-a中 劫持到8.8.8.8 dns上解析
  • 参数: region type domain ips
  • 多个域名用空格分隔
  • 触发: python spoof_action.py -S -r view-a -t forward -d stackoverflow.com -i 8.8.8.8
  • case1: 转发型,原纪录为劫持型,pool存在
  • case2: 转发型,原纪录为劫持型,pool不存在
  • case3: 转发型,原纪录为转发型,pool存在
  • case4: 转发型,原纪录为转发型,pool不存在
  • case5: 转发型,原纪录不存在,pool存在
  • case6: 转发型,原纪录不存在,pool不存在

使用指定的配置文件回滚

  • 参数: region 和配置文件
  • 触发: python spoof_action.py -R -r view-a -f ./dnsdist_conf/view-a/dnsdist.conf_2_2019-09-19_stackoverflow.com

你可能感兴趣的:(dns劫持,dns解析,ansible,python)