.CN 根域名被攻击至瘫痪，谁之过?_最新动态_新闻资讯_程序员俱乐部

　　.CN 根域名遭受有史以来最大规模 DDoS 攻击

　　2013 年 8 月 25 日凌晨，.CN 域名凌晨出现大范围解析故障，经分析 .CN 的根域授权 DNS 全线故障，导致大面积 .CN 域名无法解析。事故造成大量以 .cn 和 .com.cn 结尾的域名无法访问。直到当日凌晨 4 点左右，CN 根域名服务器的解析才有部分恢复。此后，经 CNNIC 确认，国家域名解析节点遭受到有史以来规模最大的拒绝服务攻击，导致访问延迟或中断，部分网站的域名解析受到影响。而距本次事故发生一个月之后，本月 24 号，CNNIC 和工信部终于揪出了本次攻击事件的始作俑者--一名来自山东青岛的黑客。

　　据调查发现，该黑客本意是要攻击一个游戏私服网站，使其瘫痪，后来他为了更快达到这个目的，直接对 .CN 的根域名服务器进行了 DDoS 攻击，发出的攻击流量堵塞了 .CN 根服务器的出口带宽(据工信部数据：攻击时峰值流量较平常激增近 1000 倍，近 15G)，致使 .CN 根域名服务器的解析故障，使得大规模的 .CN 域名无法正常访问。

　　DDoS 攻击背后的利益链条

　　大家可能会有疑问，看似普通的 DDoS 攻击其背后究竟隐藏着什么？一句话：为了利益。本次事故中攻击者使用的手法(譬如攻击一些“私服”的网站或主机) 并不罕见，且近些年有愈演愈烈的趋势。自国内的互联网事业兴起以来，国内有一些常年进行 DDoS 攻击的组织或个人，胁迫某些“私服”游戏的运营团队并收取 “保护费”，如果不合作便采取 DDoS 暴力攻击，使其无法正常运营。而这些“私服”的运营团队本身业务就涉及侵权，所以他们在遇到 DDoS 威胁时绝不敢报警或维权，往往是被迫接受。这种恶性循环的结果就是这些网络中的恶意胁迫越来越肆无忌惮，这些从事 DDoS 攻击商业行为的组织或个人也演变成了各式各样的 “网络黑帮”，各式黑色产业链也层出不穷。由于当今互联网上 DDoS 攻击的门槛已经越来越低，雇主可以购买 DDoS 攻击服务，攻击可指定时间、指定流量、 指定攻击效果。总的来说，同行业间的恶意竞争是导致 DDoS 攻击愈演愈烈的最大原因，同时被攻击后定位攻击者所花费的成本较高也是这类事件层出不穷的重要原因。

　　为何选择针对 DNS 服务器进行 DDoS 攻击

　　一直以来作为网络基础设施的 DNS 系统，给我们提供了访问互联网的便利，用户只需记住域名就可以访问到互联网上的对应主机。当你在浏览器中输入一个域名时，DNS 的解析过程就开始了，一般的 DNS 解析过程如图1、图 2 所示：

图1:DNS 解析的一般过程(有缓存时)

图2：DNS 解析的一般过程(无缓存时)

　　下面来聊一聊现有互联网上运行的 DNS 系统所可能遭受到的风险。大家应该都了解，根域名服务器是 DNS 系统中最高级别的域名服务器，全球一共有 13 台， 多数分布在美国。首先，DNS 系统是一个中心化的树形结构，很容易遭受 DDoS 攻击，且越靠近中心攻击效果越为显著；其次，现有 DNS 系统的迭代查询方式，对根域和顶级域解析服务器依赖非常严重；再次，现有互联网上存在着大量开放式的 DNS 域名服务器，这些服务器通常拥有强大的性能和带宽，利用 DNS 反射技术的放大效应，可以产生近其带宽百倍的攻击流量。所以这些开放式的 DNS 服务器极其容易成为黑客们青睐的 DDoS 攻击“肉鸡“。这对整个互联网的基础设施都是巨大的安全威胁。

　　在对现有 DNS 协议的风险评估上，DNS 协议是很脆弱且不安全的。为什么说 DNS 协议很脆弱呢？一方面 DNS 协议是明文协议，协议里带的信息可以很容易的被篡改、伪造，使得 DNS 协议易成为暴露用户行为的工具；另一方面，若在现有协议传输上采用加密手段，现有 DNS 体系无法承受加密带来的开销和技术升级的成本。

　　正因为 DNS 系统的脆弱性和其协议设计上的缺陷，所以历史上针对 DNS 的攻击事件也比较多，影响比较大有 2013 年针对 Spamhaus 的攻击事件、2009 年 5.19 断网、2008 年 DNS 缓存投毒，以及 2002 年全球根域名服务器被攻击等等。

　　深入剖析本次 .CN 被攻击事件

　　从本次 .CN 根服务器被 DDoS 攻击的手法上来看，有两种可能性，一种可能是黑客使用 DDoS 方法攻击某个 .CN 域名，而较大的攻击流量或海量的查询请求却把该 .CN 域名上一级根服务器打挂；第二种可能是黑客直接把 DDoS 攻击矛头指向了 .CN 的根域名服务器。针对 DNS 系统，常见的 DDoS 攻击手法是：

　　1) 传统 DDoS 攻击： 流量型(以堵塞网络带宽为主要攻击目的)，包括 UDP 洪水攻击；TCP 流量攻击；资源消耗型(以消耗目标机器可用资源为攻击目的)，包括 SYN 洪水攻击，ACK 洪水攻击，ACK 反射攻击，慢速消耗攻击等；

　　2) DNS 特有 DDoS 攻击：DNS 反射攻击(放大效应)、DNS 查询攻击(僵尸主机发起的海量请求)、变域名攻击：构造随机域名(或畸形域名)的查询请求，利用僵尸网络对目标域名或主机进行攻击(如图 3 所示)。

图3：DNS QUERY 洪水攻击原理

　　为了最大限度的降低命中 DNS 缓存的可能，一般攻击者在构造攻击包时都会随机伪造查询源 IP 地址、伪造随机源端口，伪造随机查询 ID 以及待解析的域名。 从笔者获取到本次 .CN 攻击的数据包来看(见下图4)，攻击者就是把经过特殊构造的海量的随机域名的查询请求直接发给了 .CN 的根服务器，也就是上文中提到的变域名攻击方式。不过，笔者认为其中可能还混合有其他一些诸如 UDP 洪水、DNS 放大和 DNS 僵尸查询等 DDoS 攻击，最终的目的就是让被攻击网络的链路带宽超出服务的带宽，让目标机或集群处理能力超出极限，从而达到 DNS 解析不能提供正常服务的状态。

图4：.CN 的攻击数据包(部分)

　　后续：DNS 攻击的新趋势

　　在笔者看来，本次针对 .CN 根服务器的攻击为我们再一次敲响了互联网基础设施安全性的警钟，建议主管部门加强对基础设施的保障力度，以避免此类事故重演。

　　从笔者的日常工作中也能够发现不同针对 DNS 基础系统的攻击手法，譬如今年 3 月份针对国际公司 Spamhaus 的 300G 超大流量的 DDoS 攻击，攻击者主要采取的手法就是 DNS 反射攻击，这种攻击技术的特点就是利用互联网上开放的 DNS 递归服务器作为攻击源，利用“反弹”手法攻击目标机器。攻击原理如图 5 所示：

图5：DNS 反射攻击的原理

　　在 DNS 反射攻击手法中，假设 DNS 请求报文的数据部分长度约为 40 字节，而响应报文数据部分的长度可能会达到 4000 字节，这意味着利用此手法能够产生约 100 倍的放大效应。因此，对于 .CN 遇袭事件，攻击者只需要控制一个能够产生 150M 流量的僵尸网络就能够进行如上规模(15G)的 DDoS 攻击。 据不完全统计，国内外总计有超过 250W 台开放 DNS 服务器可以充当这种“肉鸡”，开放的 DNS 服务器简直是互联网上无处不在的定时炸弹。

　　我们如何应对这种 DDoS 攻击？

　　我们 DNS 系统的运维人员在日常部署时要尽量做到 DNS 应用的负载均衡，提升 DNS 服务器的处理性能，尽量将解析节点分散，能够做到按不同的 IDC 或城市实现冗余和容灾机制，通过这些手段可以有效的减轻大流量 DDoS 攻击发生时所带来的危害。但是如上文所言，针对于如此不堪一击的 DNS 系统，我们未来还能够从哪些方面出发去应对一般规模或是超大规模的 DDoS 攻击呢？笔者认为有如下一些解决方案可以值得尝试。

　　第一，在你的主机遭受 DDoS 攻击时，最简单的是在本机做策略，譬如 iptables 等，或是事先将主机 kernel 加固以应对随时可能出现的风险，但是这种方法不能解决 DDoS 的根本问题，且非常不灵活。

　　第二，若通过对流量和攻击报文分析已知 DDoS 攻击类型，那么也可以通过配置一些策略来减轻攻击带来的危害。譬如对 DNS 反射攻击的防护，首先若被攻击的服务器并未提供 DNS 业务，那么可以通过设置访问控制策略直接阻断所有的 DNS 请求/回应；如果被攻击的服务器是 DNS 相关服务器，那么最有效的方法是配置 DNS 服务器，只响应合法区域的查询。不过这种方法需要一定的专业知识，需要运维人员介入，同样是不灵活的。

　　第三，提供充足的带宽和性能很强的 DNS 服务器，也就是俗称的“堆机器，拼资源”，不过这种方法也如同饮鸩止渴，期望“魔高一尺，道高一丈”是不太现实的。不过建议管理人员还是需要对 DNS 服务器的上联链路的负载情况及时做好监控，避免因链路拥塞导致丢包的情况出现，同时还是需要在物理带宽上投入一定的资源以防止上联链路拥塞。

　　第四，在互联网的核心路由入口侧部署专业的 DDoS 流量检测设备和 DDos 流量清洗设备，通过 DDoS 检测设备与清洗设备之间进行的策略联动，及时对恶意的攻击行为进行发现、清洗、阻断，这也是当下较为为业界所认可的防护方案。通过 DNS 协议的自身特点，依托 Intel、 Tilera 和 Cavium 等高效的硬件平台，开发专门针对 DDoS 流量清洗的系统。这里可以构建专用的 DNS 防护算法，如 DNS QUERY FLOOD 防护算法、DNS 反射攻击防护等，用于从根本上过滤掉攻击流量。

　　但对于大量的中小网站、企业而言，花费重金购买防护资源是不现实的，不过现在随着互联网云技术的发展，很多大型互联网公司都提供了云主机服务，如腾讯云，阿里云等，并且免费提供专业的 DDoS 检测、清洗防护功能， 如果广大业务运营者担心自己的业务或主机会遭受到 DDoS 攻击，选择现有的云服务也不失为一种有效的解决方案。

　　除了上述提到的几种解决方案，还有一些业界比较成熟的方案值得我们借鉴。比如 CloudFlare 公司采用的 Anycast 技术，该技术基于 IP 路由原理实现了自动流量负载均衡，在发生 DDoS 攻击时，这种技术能够有效的将攻击流量分流到不同区域的防护节点，进行流量清洗。该方案已经成功的在用户环境中部署。

　　最后，随着网络上 DDoS 攻击规模的不断扩大，DDoS 工具的自动化，资源充足和带宽充裕，黑客发起 DDoS 攻击成本越来越低，而针对 DDoS 的攻防对抗，又是一个博弈对抗的过程。在非技术层面上，事先需要制定好应急预案和应对措施，如业务的自身调整、与运营商的沟通和应急措施同步。当 DDoS 攻击发生时，需要多个部门间快速的响应，实施应急方案和及时同步处理结果。同时，建议从立法上，对这类攻击进行严惩，提升攻击违法的成本。