陳 慧

[摘要]5.19斷網(wǎng)事件是全國(guó)范圍內(nèi)出現(xiàn)的網(wǎng)絡(luò)大面積故障,分析斷網(wǎng)事件產(chǎn)生的原因以及所涉及的技術(shù)問(wèn)題,提出可以采取的措施。并且從域名系統(tǒng)安全問(wèn)題入手,探討目前域名系統(tǒng)所應(yīng)解決的幾個(gè)問(wèn)題。

[關(guān)鍵詞]DNS斷網(wǎng)事件DNSPod域名系統(tǒng)安全

中圖分類號(hào):TP393.0文獻(xiàn)標(biāo)識(shí)碼:A文章編號(hào):1671-7597(2009)1220075-01

一、斷網(wǎng)事件背景

2009年5月19日21時(shí)起,中國(guó)互聯(lián)網(wǎng)遭遇了“多米諾骨牌”連鎖反應(yīng),多個(gè)省市數(shù)以億計(jì)的網(wǎng)民遭遇了罕見(jiàn)的“網(wǎng)絡(luò)塞車”,網(wǎng)民反映上網(wǎng)故障,出現(xiàn)打不開(kāi)網(wǎng)頁(yè)等問(wèn)題。據(jù)工業(yè)和信息化部通信保障局發(fā)布的公告,確認(rèn)該事件原因是暴風(fēng)網(wǎng)站域名解析系統(tǒng)受到網(wǎng)絡(luò)攻擊出現(xiàn)故障,導(dǎo)致電信運(yùn)營(yíng)商的本地域名解析服務(wù)器收到大量異常請(qǐng)求而引發(fā)擁塞。

事情最開(kāi)始是由于,一個(gè)游戲私服的網(wǎng)站對(duì)它的競(jìng)爭(zhēng)對(duì)手發(fā)動(dòng)的攻擊。黑客從域名下手對(duì)國(guó)內(nèi)最大的免費(fèi)域名服務(wù)商DNSPod的服務(wù)器進(jìn)行了狂轟濫炸,史無(wú)前例的大流量攻擊導(dǎo)致了DNSPod的服務(wù)器癱瘓,運(yùn)行在DNSPod服務(wù)器上的10萬(wàn)個(gè)域名無(wú)法解析。遭到攻擊癱瘓的服務(wù)器正好也是在為暴風(fēng)影音的某項(xiàng)服務(wù)提供域名解析。于是,號(hào)稱2.8億用戶的暴風(fēng)影音客戶端,通過(guò)用戶電腦里的后臺(tái)進(jìn)程訪問(wèn)暴風(fēng)網(wǎng)站出現(xiàn)無(wú)法連接之后,持續(xù)不斷發(fā)起訪問(wèn)請(qǐng)求,而且這些請(qǐng)求全部擁塞在本地域名服務(wù)器中,大量擁塞的請(qǐng)求占用了大量的服務(wù)器處理性能,進(jìn)而導(dǎo)致本地域名服務(wù)器無(wú)法對(duì)其他的正常請(qǐng)求進(jìn)行解析,并最終釀成大規(guī)模的網(wǎng)絡(luò)故障。

二、相關(guān)技術(shù)分析

(一)DNS

DNS是域名系統(tǒng)(Domain Name System)的縮寫,該系統(tǒng)用于命名組織到域?qū)哟谓Y(jié)構(gòu)中的計(jì)算機(jī)和網(wǎng)絡(luò)服務(wù),是最基本的網(wǎng)絡(luò)服務(wù)之一。DNS命名用于Internet等TCP/IP網(wǎng)絡(luò)中,通過(guò)在網(wǎng)絡(luò)中構(gòu)建一個(gè)層次化的樹(shù)狀服務(wù)結(jié)構(gòu),建立IP地址與域名的邏輯映射關(guān)系,通過(guò)用戶友好的名稱查找計(jì)算機(jī)和服務(wù),供其他相關(guān)的IP網(wǎng)應(yīng)用服務(wù)使用。一般的DNS故障,如果導(dǎo)致DNS不能正常工作,在普通網(wǎng)絡(luò)用戶看來(lái),就是連不上網(wǎng)站“上不了網(wǎng)”。如果DNS服務(wù)器被入侵者控制,有可能篡改IP地址與主機(jī)名的映射關(guān)系和獲得其他敏感信息,從而會(huì)使主機(jī)遭受Web欺騙攻擊等嚴(yán)重后果。

(二)DNSPod

DNSPod是一款免費(fèi)智能DNS產(chǎn)品。中國(guó)的網(wǎng)絡(luò)是由電信和網(wǎng)通分別壟斷南北兩方面的,所以,“南北互通”在當(dāng)時(shí)建網(wǎng)絡(luò)的時(shí)候是就是讓人困惑的一個(gè)問(wèn)題。2006年的時(shí)候,DNSPod公司利用DNS的技術(shù)解決了這個(gè)問(wèn)題。DNSPod可以為同時(shí)有電信、網(wǎng)通、教育網(wǎng)服務(wù)器的網(wǎng)站提供智能的解析,讓電信用戶訪問(wèn)電信的服務(wù)器,網(wǎng)通的用戶訪問(wèn)網(wǎng)通的服務(wù)器,教育網(wǎng)的用戶訪問(wèn)教育網(wǎng)的服務(wù)器,達(dá)到互聯(lián)互通的效果。目前DNSPod已經(jīng)是國(guó)內(nèi)最大的免費(fèi)DNS解析產(chǎn)品提供商。管理著超過(guò)10萬(wàn)用戶和20萬(wàn)域名,日請(qǐng)求量超過(guò)20億次。

(三)DDoS攻擊

DDOS是分布式拒絕服務(wù)攻擊(Distribution Denial of service)的縮寫,DDOS的攻擊策略側(cè)重于通過(guò)很多“僵尸主機(jī)、肉雞”(被攻擊者入侵過(guò)或可間接利用的主機(jī))向受害主機(jī)發(fā)送大量看似合法的網(wǎng)絡(luò)包,從而造成網(wǎng)絡(luò)阻塞或服務(wù)器資源耗盡而導(dǎo)致拒絕服務(wù),分布式拒絕服務(wù)攻擊一旦被實(shí)施,攻擊網(wǎng)絡(luò)包就會(huì)猶如洪水般涌向受害主機(jī),從而把合法用戶的網(wǎng)絡(luò)包淹沒(méi),導(dǎo)致合法用戶無(wú)法正常訪問(wèn)服務(wù)器的網(wǎng)絡(luò)資源,因此,拒絕服務(wù)攻擊又被稱之為“洪水式攻擊”。

三、斷網(wǎng)事件分析

5.19斷網(wǎng)事件中,最先的起因是DNSPod遭遇網(wǎng)絡(luò)攻擊。因?yàn)檫m應(yīng)中國(guó)國(guó)情,DNSPod的用戶很多,眾多中小網(wǎng)站使用都在使用,其中就有經(jīng)營(yíng)網(wǎng)絡(luò)游戲的私人服務(wù)器。由于惡性競(jìng)爭(zhēng),私服之間經(jīng)常雇用黑客相互攻擊。這次攻擊DNSPod的原因是,黑客采用了“擒賊先擒王”的策略,也就是直接攻擊私服網(wǎng)站的DNS服務(wù)器,使其無(wú)法正常工作,從而無(wú)法解析私服網(wǎng)站的域名。黑客對(duì)DNSPod實(shí)施攻擊后不久,電信機(jī)房管理員就發(fā)現(xiàn)DNSPod服務(wù)器端口流量異常,為防止意外發(fā)生立即關(guān)閉了DNSPod服務(wù)器。這臺(tái)被電信關(guān)閉的DNS服務(wù)器當(dāng)時(shí)恰好在為大約10萬(wàn)家網(wǎng)站提供域名解析服務(wù),其中就包括擁有大量用戶的暴風(fēng)影音,此外還包括大量地方門戶網(wǎng)站、個(gè)人網(wǎng)站和企業(yè)網(wǎng)站。

DNSPod網(wǎng)絡(luò)服務(wù)被中斷后,致使其托管的數(shù)十萬(wàn)域名無(wú)法正常解析,導(dǎo)致大量用戶隨后無(wú)法訪問(wèn)這些網(wǎng)站。通常情況下,如果是網(wǎng)民在地址欄輸入某個(gè)域名,卻無(wú)法訪問(wèn)時(shí),網(wǎng)民就不會(huì)再次輸入相關(guān)域名請(qǐng)求解析。但是,本次網(wǎng)絡(luò)癱瘓中,發(fā)起請(qǐng)求的不僅是網(wǎng)民,更多的是安裝網(wǎng)民電腦中的暴風(fēng)影音軟件,因該軟件部分在線服務(wù)功能必須基于對(duì)其域名的正常解析,于是安裝有暴風(fēng)影音的電腦不斷發(fā)起域名解析請(qǐng)求。

根據(jù)域名系統(tǒng)的解析原理,DNS是采用多級(jí)緩存的方式運(yùn)作的。通常一個(gè)程序發(fā)出DNS請(qǐng)求以后,系統(tǒng)會(huì)先搜索自己的DNS緩存,沒(méi)有找到則會(huì)向網(wǎng)絡(luò)設(shè)置中的DNS服務(wù)器發(fā)出請(qǐng)求。5.19斷網(wǎng)事件,暴風(fēng)影音軟件開(kāi)始發(fā)起的域名解析請(qǐng)求,在本地域名服務(wù)器的緩存中保留著,可以及時(shí)作出響應(yīng),3600秒以后,緩存在各地DNS服務(wù)器上的該記錄過(guò)期,但此時(shí)暴風(fēng)影音指向DNSPod的域名服務(wù)器記錄還沒(méi)有過(guò)期(一般是24小時(shí)過(guò)期),于是各地的DNS繼續(xù)向已經(jīng)被封掉IP的DNSPod服務(wù)器發(fā)送查詢。由于域名查詢使用UDP協(xié)議,服務(wù)器在超時(shí)以后才放棄查詢。但由于DNS服務(wù)器一般被配置為不緩存失敗的查詢,所以下一個(gè)DNS請(qǐng)求來(lái)的時(shí)候它還是得去向那個(gè)封掉的IP發(fā)送查詢。安裝了暴風(fēng)影音軟件的用戶電腦持續(xù)不斷產(chǎn)生了巨量域名請(qǐng)求,這些查詢請(qǐng)求類似于對(duì)DNS服務(wù)器的DDoS攻擊,導(dǎo)致多個(gè)省份的本地域名服務(wù)器出現(xiàn)故障甚至無(wú)法提供正常服務(wù)。使得使用這些本地域名服務(wù)器的其他互聯(lián)網(wǎng)用戶也無(wú)法上網(wǎng),進(jìn)而導(dǎo)致更大范圍內(nèi)的用戶聲報(bào)網(wǎng)絡(luò)無(wú)法訪問(wèn),最終釀成大規(guī)模的網(wǎng)絡(luò)故障。

針對(duì)5月19日發(fā)生的DDoS攻擊,可以實(shí)施應(yīng)急方案,在本地域名服務(wù)器上針對(duì)暴風(fēng)網(wǎng)站相關(guān)域名設(shè)置強(qiáng)解析策略,以最小的代價(jià)保證絕大部分的應(yīng)用正常開(kāi)展。面對(duì)未來(lái)可能發(fā)生的DDoS攻擊,可以采取如下措施:通過(guò)在骨干網(wǎng)部署流量清洗系統(tǒng),清洗網(wǎng)絡(luò)中的DoS流量,利用抗DDoS安全產(chǎn)品的模式匹配,以及IP地址信譽(yù)機(jī)制等獨(dú)特的防護(hù)算法對(duì)形式多樣的DDoS攻擊進(jìn)行安全防護(hù),在網(wǎng)絡(luò)受到攻擊時(shí)可以為DNS服務(wù)器提供有效和及時(shí)的安全保障。

四、域名系統(tǒng)安全的思考

域名作為廣大民眾訪問(wèn)互聯(lián)網(wǎng)的起點(diǎn)和入口,是全球互聯(lián)網(wǎng)通信的基礎(chǔ)。而域名系統(tǒng)作為承載全球億萬(wàn)域名正常使用的系統(tǒng),是互聯(lián)網(wǎng)的基礎(chǔ)設(shè)施,其作用相當(dāng)于互聯(lián)網(wǎng)的中樞神經(jīng)系統(tǒng),域名系統(tǒng)的故障會(huì)導(dǎo)致互聯(lián)網(wǎng)陷入癱瘓。域名系統(tǒng)是一種公開(kāi)服務(wù),歷來(lái)是被攻擊的對(duì)象,完整的域名系統(tǒng)由本地域名服務(wù)器、根域名服務(wù)系統(tǒng)、頂級(jí)域名服務(wù)系統(tǒng)以及各級(jí)域名服務(wù)系統(tǒng)等四個(gè)層級(jí)構(gòu)成。每個(gè)環(huán)節(jié)都可能成為黑客攻擊的對(duì)象。因此,任何一層出現(xiàn)故障,都會(huì)導(dǎo)致相應(yīng)范圍的網(wǎng)絡(luò)應(yīng)用癱瘓,大到一個(gè)國(guó)家和地區(qū)的網(wǎng)將絡(luò)全面癱瘓,小到某個(gè)網(wǎng)站將無(wú)法訪問(wèn)。

目前的域名系統(tǒng)存在以下幾個(gè)問(wèn)題:

(一)在查詢過(guò)程中沒(méi)有加密和識(shí)別機(jī)制

為了解決這一問(wèn)題,IETF已經(jīng)在DNS協(xié)議里加入安全擴(kuò)展協(xié)議,也就是所謂的域名系統(tǒng)的安全協(xié)議(Domain Name System SECurity,DNSSEC)。域名系統(tǒng)安全協(xié)議是一整套安全規(guī)則,用來(lái)確保域名系統(tǒng)內(nèi)部信息的安全,并在提供權(quán)限認(rèn)證功能的同時(shí)保證信息的完整。它同時(shí)使用非對(duì)稱與對(duì)稱式的加密模式對(duì)資源記錄(RR)和區(qū)域傳輸模式分別進(jìn)行了處理。域名系統(tǒng)安全協(xié)議已經(jīng)取得了一些進(jìn)展:.gov和.org頂級(jí)域名已經(jīng)開(kāi)始采用域名系統(tǒng)安全協(xié)議,并且也獲得了部分商業(yè)方面的支持。

(二)域名解析更換后生效時(shí)間過(guò)長(zhǎng)

DNS服務(wù)系統(tǒng)一個(gè)反向的廣播機(jī)制,以便于域名解析改變后及時(shí)通知下級(jí)DNS服務(wù)器刷新緩存列表。為了減少DNS查詢流量,在DNS查詢一個(gè)域名后會(huì)把該域名的IP保存在自己的緩存表中。在最近瑞典發(fā)生的全國(guó)網(wǎng)絡(luò)癱瘓事故中,.se頂級(jí)域服務(wù)器在故障1小時(shí)后重新更新數(shù)據(jù)改正了錯(cuò)誤,服務(wù)恢復(fù)正常,但是由于域名服務(wù)系統(tǒng)的緩存機(jī)制,整個(gè)互聯(lián)網(wǎng)上的.se解析并不能立即全部恢復(fù)正常。一些大型ISP通過(guò)清理緩存來(lái)恢復(fù)正確數(shù)據(jù);一些小規(guī)模的ISP則未能及時(shí)處理,致使部分用戶受影響的時(shí)間甚至達(dá)到24小時(shí)。

(三)管理分散

5.19斷網(wǎng)事件也暴露出我國(guó)域名體系諸多環(huán)節(jié)中的潛在安全風(fēng)險(xiǎn)。全國(guó)的域名系統(tǒng)層次眾多,規(guī)模龐大,管理歸屬分散。今后應(yīng)嚴(yán)格審批DNS服務(wù)器的建立,并對(duì)DNS服務(wù)器嚴(yán)格的分級(jí),建立防范機(jī)制。各域名解析機(jī)構(gòu)在對(duì)DNS服務(wù)器的分布也應(yīng)該做到合理的調(diào)配,在各個(gè)地方設(shè)置的服務(wù)器節(jié)點(diǎn)要做DNS的負(fù)載均衡,這樣就會(huì)對(duì)DNS服務(wù)器受攻擊的防御能力有大的提升。

五、結(jié)束語(yǔ)

隨著各種網(wǎng)絡(luò)服務(wù)的興起,互聯(lián)網(wǎng)越來(lái)越成為人們?nèi)粘Ｉ钪胁豢扇鄙俚牟糠?。在我們每天訪問(wèn)各種網(wǎng)站的時(shí)候,不為人知的DNS服務(wù)器做著“幕后工作”,對(duì)域名進(jìn)行解析,讓我們可以正常地訪問(wèn)。域名系統(tǒng)就像是“空氣”,平時(shí)我們感覺(jué)不到它的存在,但是一旦出現(xiàn)問(wèn)題,其影響可能是“致命”的。當(dāng)DNS服務(wù)器受到攻擊時(shí),不但網(wǎng)站無(wú)法提供正常服務(wù),嚴(yán)重者如此次事故,還會(huì)影響整個(gè)網(wǎng)絡(luò)的正常工作。因此,要加大針對(duì)DNS攻擊的防范力度,加強(qiáng)域名系統(tǒng)整體的安全性能,從各個(gè)環(huán)節(jié)入手提高其安全保障能力。

參考文獻(xiàn):

[1]Douglas E Comer,TCP/IP網(wǎng)絡(luò)互連技術(shù),2002.

[2]Athins D,Threat analysis of the domain name system,2002.

[3]Randal Vaughn.Gadi Evron,DNS amplification attacks,2006.

作者簡(jiǎn)介:

陳慧(1974-),女,漢族,山東濟(jì)南人,碩士,講師,就職于山東英才學(xué)院計(jì)算機(jī)電子信息工程學(xué)院,主要研究方向:計(jì)算機(jī)網(wǎng)絡(luò)。