使用ansible-playbook实现dnsdist快速劫持工具

dnsdist和dnsanycast

dnsdist以其高性能常备用作dns缓存服务器
搭配bgp+bird或osfp 组成 dns anycast模式

anycast

• 简单来说就是:所有region中host的/etc/resolv.conf nameserver 写的都是同一个ip,如10.10.10.10/8.8.8.8
• dns请求会被ecmp转发到本region的dns-cache上面
• 达到请求不跨region但是配置一致的目的

dns-view

• 做view的目的是服务使用同一个域名
• 在不同来源ip解析到不同的region
• 一个典型的应用就是客户端和服务端多region部署时的通信
• 以open-falcon为例,agent需要跟transfer和hbs建立长连接

• transfer和hbs服务在多个reigon中都有部署，经过L4(lvs/katran)暴露不同vip
• 但是域名保持一致，这样agent的配置文件可以统一
• agent发起dns请求经过anycast并解析view给出对应region服务vip
• 避免agent跨region请求、传输数据

项目地址

https://github.com/ning1875/dns_spoof

项目介绍

• 使用powerdns dnsdist作为缓存dns服务器
• dns_spoof 是基于ansible-playbook 操作pipline
• 在dnsdist配置文件中添加劫持记录实现多view劫持A记录或劫持到指定权威dns解析的目的
• 支持历史记录查看和回滚
• 有完整的存量测试和灰度流程

整体流程说明:

• 获取线上dns_dist配置文件到本地备份
• 在本地装配配置文件
• 推送到此region的线下测试机上检查配置并重启服务
• 发起对线下测试机的主域名测试(即存量测试)
• 发起对线下测试机的劫持测试: case1: 直接劫持的期望直接是A记录 case2: 转发的期望需要去对应的server query一次
• 测试正常后,灰度一台推送到线上机器(如果线上机器dist重启失败则会摘bird)
• 全量其余机器
• 注意:上述流程是链式的,中间任何一部失败都会终止操作

使用说明

安装依赖包

# 在python2.7环境中运行
pip install -r requirements.txt 

环境准备 vars.yaml

• 各个view的dns_dist ip :每个region包含一个线上同步配置的server和线下测试的机器,以及全量缓存机器

  view-a:
    online_ip: 1.1.1.1
    offline_ip: 1.1.1.4
    online_all:
      - 1.1.1.2
      - 1.1.1.3

• 修改dnsdist_conf/dns_dist.conf中的标志位:对应就是

   spoof:
       # dnsdist配置文件中劫持标志注释行
       g_dist_spoof_flag_line: --auto spoof by sys sre
       # dnsdist配置文件中转发标志注释行
       g_dist_pool_flag_line: --auto forward pool by sys sre   ```

调用参数说明

• region: 代表劫持生效的region
• 类型: spoof代表直接劫持,forward代表转发的
• 域名: 要劫持的域名
• a记录列表或者dns server ip列表,空格分隔

劫持域名到指定ip列表

• eg: 将baidu.com在view-a中的记录劫持为1.1.1.1,1.1.1.2两个A记录
• 参数: region type domain ips
• 多个域名用空格分隔
• 触发: python spoof_action.py -S -r view-a -t spoof -d baidu.com -i 1.1.1.1 1.1.1.2
• case1: 劫持型,原纪录为劫持型,变更
• case2: 劫持型,原纪录为转发型,肯定pool存在,变更
• case3: 劫持型,原纪录不存在,新增

劫持域名转发的指定dns server列表

• eg: 将stackoverflow.com 在view-a中 劫持到8.8.8.8 dns上解析
• 参数: region type domain ips
• 多个域名用空格分隔
• 触发: python spoof_action.py -S -r view-a -t forward -d stackoverflow.com -i 8.8.8.8
• case1: 转发型,原纪录为劫持型,pool存在
• case2: 转发型,原纪录为劫持型,pool不存在
• case3: 转发型,原纪录为转发型,pool存在
• case4: 转发型,原纪录为转发型,pool不存在
• case5: 转发型,原纪录不存在,pool存在
• case6: 转发型,原纪录不存在,pool不存在

使用指定的配置文件回滚

• 参数: region 和配置文件
• 触发: python spoof_action.py -R -r view-a -f ./dnsdist_conf/view-a/dnsdist.conf_2_2019-09-19_stackoverflow.com