是什么讓半個(gè)美國(guó)互聯(lián)網(wǎng)癱瘓？

圖1　物聯(lián)網(wǎng)的勒索

美國(guó)時(shí)間10月21日（以下提到時(shí)間均為美國(guó)時(shí)間），DDoS攻擊導(dǎo)致大半個(gè)美國(guó)互聯(lián)網(wǎng)癱瘓。此次攻擊，從早上7時(shí)左右一直持續(xù)到當(dāng)天下午18時(shí)，黑客總共發(fā)起三波攻擊，影響范圍波及歐美，包括推特（Twitter）、亞馬遜、Paypal、BBC、華爾街日?qǐng)?bào)及紐約時(shí)報(bào)等在內(nèi)的多家知名網(wǎng)站，在攻擊中一度癱瘓，Twitter甚至出現(xiàn)了近24小時(shí)0訪問(wèn)的局面，所造成的直接和間接經(jīng)濟(jì)損失更是一個(gè)天文數(shù)字。

事件原由

美國(guó)域名服務(wù)供應(yīng)商DYN是此次攻擊的主要目標(biāo)，而根據(jù)DYN的聲明，黑客在攻擊活動(dòng)中利用存在漏洞的物聯(lián)網(wǎng)設(shè)備，此次的攻擊是一次成熟的分布式攻擊，在10秒鐘內(nèi)，由數(shù)百萬(wàn)的IP地址發(fā)起。能夠確定的是，根據(jù)Akamai（知名cdn廠商）的分析，其中一個(gè)源頭是由被Mirai僵尸網(wǎng)絡(luò)控制的IOT（物聯(lián)網(wǎng)設(shè)備）發(fā)起。

2016年9月，一位名叫Anna Senpai的黑客將Mirai僵尸網(wǎng)絡(luò)源代碼發(fā)布到Hackforums這一地下黑客社區(qū)當(dāng)中。Mirai僵尸網(wǎng)絡(luò)能夠感染各類存在漏洞的物聯(lián)網(wǎng)設(shè)備，其中包括安保攝像頭、DVR以及互聯(lián)網(wǎng)路由器等。由于很多人購(gòu)買物聯(lián)網(wǎng)設(shè)備之后并不修改固定密碼，而廠商基本上都使用的是熟知的固定密碼，以至于相當(dāng)數(shù)量的智能硬件攜帶非常多的漏洞，很容易被攻破。Mirai僵尸網(wǎng)絡(luò)，就是主要通過(guò)暴力破解物聯(lián)網(wǎng)設(shè)備被惡意感染，同時(shí)Mirai的源代碼已經(jīng)開(kāi)源，導(dǎo)致被很多黑客使用。也就是說(shuō)分布在各家各戶的攝像頭、智能傳感器、智能門磁、智能冰箱洗衣機(jī)等智能硬件們都可能成為了黑客們發(fā)起攻擊的利器，成為僵尸網(wǎng)絡(luò)中的肉雞設(shè)備，并被用于實(shí)施大規(guī)模DDoS攻擊。

根據(jù)安全記者Brian Krebs的說(shuō)法，黑客們?nèi)缃衲軌蛎俺淦渥髡逜nna Senpai以利用Mirai對(duì)目標(biāo)基礎(chǔ)設(shè)施服務(wù)供應(yīng)商進(jìn)行針對(duì)性打擊。網(wǎng)絡(luò)惡意人士亦可借此以DDoS攻擊為要挾，冒用Mirai開(kāi)發(fā)者的名字以威脅各托管服務(wù)供應(yīng)商，從而通過(guò)勒索獲取非法所得。

而根據(jù)Flashpoint、Level 3 Communications以及BackConnect等安全研究機(jī)構(gòu)的說(shuō)法，Mirai僵尸網(wǎng)絡(luò)確實(shí)被應(yīng)用在了針對(duì)Dyn公司的攻擊活動(dòng)當(dāng)中。

ESET安全專家Mark James在接受采訪時(shí)表示，“DDoS如今已經(jīng)被廣泛用于實(shí)施破壞與滋擾。隨著可被感染的設(shè)備數(shù)量持續(xù)增加，具備可行性的僵尸網(wǎng)絡(luò)構(gòu)成類型也變得愈發(fā)豐富，相關(guān)資源的規(guī)模正快速得到擴(kuò)張。DDoS當(dāng)然不僅僅被用于發(fā)布抗議聲明或者強(qiáng)調(diào)自身立場(chǎng)，其在不少情況下還可能被作為煙幕，即用于掩蓋其它真實(shí)惡意目標(biāo)，包括數(shù)據(jù)竊取或者惡意軟件感染等?！?/p>

低成本攻擊導(dǎo)致高額損失

不管此次攻擊背后的動(dòng)機(jī)是什么，攻擊造成的經(jīng)濟(jì)損失卻是不可估量的。2014年Imperva Incapsula公司給出報(bào)告：超過(guò)三分之一的公司遭受DDoS攻擊后每小時(shí)損失2萬(wàn)美元以上（部分公司這一數(shù)字可達(dá)到百萬(wàn)甚至千萬(wàn)美元）?？紤]到此次受波及的公司數(shù)目眾多，斷斷續(xù)續(xù)接近6個(gè)小時(shí)，直接損失就已經(jīng)是天文數(shù)字。此外，公司除了在被攻擊期間可能損失訂單等等，事發(fā)后還要忍受一段時(shí)間的工作效率大幅下降，并耗資進(jìn)行軟硬件維修升級(jí)。這部分人力物力時(shí)間效率的成本，折現(xiàn)的話也將是非常大的數(shù)目。

然而，鮮明的對(duì)比是，黑客作案的成本卻非常低。市面上甚至花費(fèi)低至5美元即可雇傭?qū)Ｈ诉M(jìn)行DDoS攻擊！這也是DDoS攻擊愈演愈烈、造成損失越來(lái)越多的重要原因之一。

還原攻擊原理

相關(guān)資料分析表明，此次造成問(wèn)題的惡意流量可能首先抵達(dá)了距離發(fā)起位置最近的DYN服務(wù)副本處，遵循其ISP路由——但此路由機(jī)制并不會(huì)對(duì)流量加以控制。通過(guò)路由圖，應(yīng)該可以看到流量的主要源頭或者與其距離最近的DYN節(jié)點(diǎn)所在。

“假設(shè)DYN公司在多個(gè)位置以對(duì)等方式發(fā)布其服務(wù)，那么大家應(yīng)該會(huì)發(fā)現(xiàn)大規(guī)模源頭攻擊會(huì)被引導(dǎo)至與之距離最近的DYN節(jié)點(diǎn)或者副本處，這意味著此番攻擊的主要流量源頭很可能位于美國(guó)本土。”MWR信息安全公司高級(jí)安全顧問(wèn)Adam Horsewood分析認(rèn)為。

目前，全球域名總數(shù)超過(guò)3億，域名服務(wù)器數(shù)量超過(guò)1000萬(wàn)臺(tái)，每天提供千億次的查詢服務(wù)。域名系統(tǒng)在后臺(tái)支撐著互聯(lián)網(wǎng)產(chǎn)業(yè)中各類業(yè)務(wù)應(yīng)用的開(kāi)展和互聯(lián)互通，在互聯(lián)網(wǎng)體系中處于承上啟下的關(guān)鍵地位，同時(shí)也容易成為黑客們的關(guān)注對(duì)象和攻擊目標(biāo)。

美國(guó)DNS受攻擊事件發(fā)生之后，域名工程中心的總工程師王偉博士在ZDNS雜志上撰文還原攻擊的狀況，認(rèn)為“這就是一個(gè)DNS版本的CDN（內(nèi)容分發(fā)網(wǎng)絡(luò)Content Delivery Network），實(shí)現(xiàn)了源站和服務(wù)站的分離，理論上，在這種模型架構(gòu)下，來(lái)自終端（PC、手機(jī)、物聯(lián)網(wǎng)設(shè)備）的訪問(wèn)流量不應(yīng)到達(dá)權(quán)威服務(wù)器，DDoS攻擊流量也應(yīng)該在本地電信運(yùn)營(yíng)商的遞歸服務(wù)層面被消解掉，無(wú)法造成全網(wǎng)影響?！?/p>

王偉域名工程中心ZDNS總工程師

繞不過(guò)去的問(wèn)題及其破解

王偉博士認(rèn)為：“域名系統(tǒng)自誕生之日起，就是一直是網(wǎng)絡(luò)攻擊的重點(diǎn)目標(biāo)。如同手機(jī)中誤刪通訊錄導(dǎo)致無(wú)法撥打電話（除非直接記得電話號(hào)碼），DNS服務(wù)不可用，也會(huì)導(dǎo)致用戶終端無(wú)法獲知網(wǎng)站IP地址而無(wú)法發(fā)起訪問(wèn)。”

他分析到，DNS有三個(gè)繞不過(guò)去的關(guān)鍵問(wèn)題：

1.作為最核心最基礎(chǔ)的支撐服務(wù)之一，DNS在互聯(lián)網(wǎng)體系中的關(guān)鍵地位一直沒(méi)有變化；但針對(duì)抗攻擊問(wèn)題，除了在工程層面加大DNS節(jié)點(diǎn)數(shù)量和服務(wù)規(guī)模，DNS協(xié)議層面其實(shí)也沒(méi)有大的改進(jìn)。

2.DNS的基礎(chǔ)性和全局性，注定了對(duì)DNS的攻擊可以達(dá)到以點(diǎn)制面、擊一發(fā)而動(dòng)全身的效果，具有投資小、見(jiàn)效快的優(yōu)點(diǎn)，幾乎每次DNS運(yùn)行故障或攻擊得手，都能引發(fā)區(qū)域性、甚至全球性互聯(lián)網(wǎng)社群的哀鴻。

3.摩爾定律、庫(kù)茨維爾定律和尼爾森定律使得發(fā)動(dòng)DDoS規(guī)模攻擊的成本越來(lái)越低，與DNS關(guān)鍵地位不相襯的是，在DDoS攻擊規(guī)模幾何級(jí)增長(zhǎng)的對(duì)比下，DNS系統(tǒng)算數(shù)級(jí)增長(zhǎng)的處理能力杯水車薪，任何一家DNS運(yùn)行機(jī)構(gòu)僅依靠自身的能力都力不從心。

面對(duì)這樣的問(wèn)題，他建議“需要從協(xié)議原理入手深入思考DNS的業(yè)務(wù)邏輯和軟件實(shí)現(xiàn)?！?/p>

具體的建議

1.域名全行業(yè)需要提高對(duì)DNS基礎(chǔ)性和重要性的認(rèn)識(shí)，包括根運(yùn)行機(jī)構(gòu)、頂級(jí)域名注冊(cè)管理機(jī)構(gòu)、頂級(jí)域名后臺(tái)托管機(jī)構(gòu)、權(quán)威域名云服務(wù)機(jī)構(gòu)、遞歸域名服務(wù)機(jī)構(gòu)、電信運(yùn)營(yíng)商等在內(nèi)的各環(huán)節(jié)需要加深溝通和協(xié)作，發(fā)揮行業(yè)整體協(xié)調(diào)力量。

2.考慮到DNS牽一發(fā)動(dòng)全身的全局重要作用，有必要將頂級(jí)域名服務(wù)系統(tǒng)、重要權(quán)威域名服務(wù)系統(tǒng)、主要遞歸服務(wù)系統(tǒng)納入我國(guó)現(xiàn)有的互聯(lián)網(wǎng)應(yīng)急協(xié)調(diào)處理機(jī)制中去。

3.有必要在重要權(quán)威服務(wù)系統(tǒng)和主要遞歸服務(wù)系統(tǒng)之間建設(shè)獨(dú)立的通信通道，保障大多數(shù)合法域名訪問(wèn)業(yè)務(wù)的順暢和攻擊應(yīng)急狀況下的應(yīng)急通道暢通。事實(shí)上，在前幾年就有國(guó)內(nèi)研究人員提出過(guò)借鑒電信信令網(wǎng)思路，建設(shè)“關(guān)鍵信息基礎(chǔ)設(shè)施虛擬專網(wǎng)”的建議。

4.發(fā)揮電信運(yùn)營(yíng)商、小區(qū)寬帶等在最后一公里為用戶提供遞歸服務(wù)的機(jī)構(gòu)作用，在遞歸服務(wù)層面建立數(shù)據(jù)備份和應(yīng)急緩存替換機(jī)制。無(wú)論權(quán)威是否遭受攻擊，終端用戶的合法訪問(wèn)實(shí)際是由遞歸來(lái)進(jìn)行響應(yīng)的。

5.高性能的專有域名服務(wù)設(shè)備也將有利于提升域名服務(wù)的處理能力和應(yīng)急調(diào)度能力。近年來(lái)我國(guó)已出現(xiàn)了一批有別于Linux服務(wù)器+開(kāi)源DNS軟件的專業(yè)域名設(shè)備品牌，除了通過(guò)專用設(shè)備提高了域名查詢性能外，更增加了數(shù)據(jù)災(zāi)備，調(diào)度切換等功能，有助于提高安全管理的效率。

（本文綜合整理自E安全、ZDNS域名工程中心）