陳 慧

[摘要]5.19斷網(wǎng)事件是全國范圍內(nèi)出現(xiàn)的網(wǎng)絡大面積故障,分析斷網(wǎng)事件產(chǎn)生的原因以及所涉及的技術問題,提出可以采取的措施。并且從域名系統(tǒng)安全問題入手,探討目前域名系統(tǒng)所應解決的幾個問題。

[關鍵詞]DNS斷網(wǎng)事件DNSPod域名系統(tǒng)安全

中圖分類號:TP393.0文獻標識碼:A文章編號:1671-7597(2009)1220075-01

一、斷網(wǎng)事件背景

2009年5月19日21時起,中國互聯(lián)網(wǎng)遭遇了“多米諾骨牌”連鎖反應,多個省市數(shù)以億計的網(wǎng)民遭遇了罕見的“網(wǎng)絡塞車”,網(wǎng)民反映上網(wǎng)故障,出現(xiàn)打不開網(wǎng)頁等問題。據(jù)工業(yè)和信息化部通信保障局發(fā)布的公告,確認該事件原因是暴風網(wǎng)站域名解析系統(tǒng)受到網(wǎng)絡攻擊出現(xiàn)故障,導致電信運營商的本地域名解析服務器收到大量異常請求而引發(fā)擁塞。

事情最開始是由于,一個游戲私服的網(wǎng)站對它的競爭對手發(fā)動的攻擊。黑客從域名下手對國內(nèi)最大的免費域名服務商DNSPod的服務器進行了狂轟濫炸,史無前例的大流量攻擊導致了DNSPod的服務器癱瘓,運行在DNSPod服務器上的10萬個域名無法解析。遭到攻擊癱瘓的服務器正好也是在為暴風影音的某項服務提供域名解析。于是,號稱2.8億用戶的暴風影音客戶端,通過用戶電腦里的后臺進程訪問暴風網(wǎng)站出現(xiàn)無法連接之后,持續(xù)不斷發(fā)起訪問請求,而且這些請求全部擁塞在本地域名服務器中,大量擁塞的請求占用了大量的服務器處理性能,進而導致本地域名服務器無法對其他的正常請求進行解析,并最終釀成大規(guī)模的網(wǎng)絡故障。

二、相關技術分析

(一)DNS

DNS是域名系統(tǒng)(Domain Name System)的縮寫,該系統(tǒng)用于命名組織到域?qū)哟谓Y(jié)構(gòu)中的計算機和網(wǎng)絡服務,是最基本的網(wǎng)絡服務之一。DNS命名用于Internet等TCP/IP網(wǎng)絡中,通過在網(wǎng)絡中構(gòu)建一個層次化的樹狀服務結(jié)構(gòu),建立IP地址與域名的邏輯映射關系,通過用戶友好的名稱查找計算機和服務,供其他相關的IP網(wǎng)應用服務使用。一般的DNS故障,如果導致DNS不能正常工作,在普通網(wǎng)絡用戶看來,就是連不上網(wǎng)站“上不了網(wǎng)”。如果DNS服務器被入侵者控制,有可能篡改IP地址與主機名的映射關系和獲得其他敏感信息,從而會使主機遭受Web欺騙攻擊等嚴重后果。

(二)DNSPod

DNSPod是一款免費智能DNS產(chǎn)品。中國的網(wǎng)絡是由電信和網(wǎng)通分別壟斷南北兩方面的,所以,“南北互通”在當時建網(wǎng)絡的時候是就是讓人困惑的一個問題。2006年的時候,DNSPod公司利用DNS的技術解決了這個問題。DNSPod可以為同時有電信、網(wǎng)通、教育網(wǎng)服務器的網(wǎng)站提供智能的解析,讓電信用戶訪問電信的服務器,網(wǎng)通的用戶訪問網(wǎng)通的服務器,教育網(wǎng)的用戶訪問教育網(wǎng)的服務器,達到互聯(lián)互通的效果。目前DNSPod已經(jīng)是國內(nèi)最大的免費DNS解析產(chǎn)品提供商。管理著超過10萬用戶和20萬域名,日請求量超過20億次。

(三)DDoS攻擊

DDOS是分布式拒絕服務攻擊(Distribution Denial of service)的縮寫,DDOS的攻擊策略側(cè)重于通過很多“僵尸主機、肉雞”(被攻擊者入侵過或可間接利用的主機)向受害主機發(fā)送大量看似合法的網(wǎng)絡包,從而造成網(wǎng)絡阻塞或服務器資源耗盡而導致拒絕服務,分布式拒絕服務攻擊一旦被實施,攻擊網(wǎng)絡包就會猶如洪水般涌向受害主機,從而把合法用戶的網(wǎng)絡包淹沒,導致合法用戶無法正常訪問服務器的網(wǎng)絡資源,因此,拒絕服務攻擊又被稱之為“洪水式攻擊”。

三、斷網(wǎng)事件分析

5.19斷網(wǎng)事件中,最先的起因是DNSPod遭遇網(wǎng)絡攻擊。因為適應中國國情,DNSPod的用戶很多,眾多中小網(wǎng)站使用都在使用,其中就有經(jīng)營網(wǎng)絡游戲的私人服務器。由于惡性競爭,私服之間經(jīng)常雇用黑客相互攻擊。這次攻擊DNSPod的原因是,黑客采用了“擒賊先擒王”的策略,也就是直接攻擊私服網(wǎng)站的DNS服務器,使其無法正常工作,從而無法解析私服網(wǎng)站的域名。黑客對DNSPod實施攻擊后不久,電信機房管理員就發(fā)現(xiàn)DNSPod服務器端口流量異常,為防止意外發(fā)生立即關閉了DNSPod服務器。這臺被電信關閉的DNS服務器當時恰好在為大約10萬家網(wǎng)站提供域名解析服務,其中就包括擁有大量用戶的暴風影音,此外還包括大量地方門戶網(wǎng)站、個人網(wǎng)站和企業(yè)網(wǎng)站。

DNSPod網(wǎng)絡服務被中斷后,致使其托管的數(shù)十萬域名無法正常解析,導致大量用戶隨后無法訪問這些網(wǎng)站。通常情況下,如果是網(wǎng)民在地址欄輸入某個域名,卻無法訪問時,網(wǎng)民就不會再次輸入相關域名請求解析。但是,本次網(wǎng)絡癱瘓中,發(fā)起請求的不僅是網(wǎng)民,更多的是安裝網(wǎng)民電腦中的暴風影音軟件,因該軟件部分在線服務功能必須基于對其域名的正常解析,于是安裝有暴風影音的電腦不斷發(fā)起域名解析請求。

根據(jù)域名系統(tǒng)的解析原理,DNS是采用多級緩存的方式運作的。通常一個程序發(fā)出DNS請求以后,系統(tǒng)會先搜索自己的DNS緩存,沒有找到則會向網(wǎng)絡設置中的DNS服務器發(fā)出請求。5.19斷網(wǎng)事件,暴風影音軟件開始發(fā)起的域名解析請求,在本地域名服務器的緩存中保留著,可以及時作出響應,3600秒以后,緩存在各地DNS服務器上的該記錄過期,但此時暴風影音指向DNSPod的域名服務器記錄還沒有過期(一般是24小時過期),于是各地的DNS繼續(xù)向已經(jīng)被封掉IP的DNSPod服務器發(fā)送查詢。由于域名查詢使用UDP協(xié)議,服務器在超時以后才放棄查詢。但由于DNS服務器一般被配置為不緩存失敗的查詢,所以下一個DNS請求來的時候它還是得去向那個封掉的IP發(fā)送查詢。安裝了暴風影音軟件的用戶電腦持續(xù)不斷產(chǎn)生了巨量域名請求,這些查詢請求類似于對DNS服務器的DDoS攻擊,導致多個省份的本地域名服務器出現(xiàn)故障甚至無法提供正常服務。使得使用這些本地域名服務器的其他互聯(lián)網(wǎng)用戶也無法上網(wǎng),進而導致更大范圍內(nèi)的用戶聲報網(wǎng)絡無法訪問,最終釀成大規(guī)模的網(wǎng)絡故障。

針對5月19日發(fā)生的DDoS攻擊,可以實施應急方案,在本地域名服務器上針對暴風網(wǎng)站相關域名設置強解析策略,以最小的代價保證絕大部分的應用正常開展。面對未來可能發(fā)生的DDoS攻擊,可以采取如下措施:通過在骨干網(wǎng)部署流量清洗系統(tǒng),清洗網(wǎng)絡中的DoS流量,利用抗DDoS安全產(chǎn)品的模式匹配,以及IP地址信譽機制等獨特的防護算法對形式多樣的DDoS攻擊進行安全防護,在網(wǎng)絡受到攻擊時可以為DNS服務器提供有效和及時的安全保障。

四、域名系統(tǒng)安全的思考

域名作為廣大民眾訪問互聯(lián)網(wǎng)的起點和入口,是全球互聯(lián)網(wǎng)通信的基礎。而域名系統(tǒng)作為承載全球億萬域名正常使用的系統(tǒng),是互聯(lián)網(wǎng)的基礎設施,其作用相當于互聯(lián)網(wǎng)的中樞神經(jīng)系統(tǒng),域名系統(tǒng)的故障會導致互聯(lián)網(wǎng)陷入癱瘓。域名系統(tǒng)是一種公開服務,歷來是被攻擊的對象,完整的域名系統(tǒng)由本地域名服務器、根域名服務系統(tǒng)、頂級域名服務系統(tǒng)以及各級域名服務系統(tǒng)等四個層級構(gòu)成。每個環(huán)節(jié)都可能成為黑客攻擊的對象。因此,任何一層出現(xiàn)故障,都會導致相應范圍的網(wǎng)絡應用癱瘓,大到一個國家和地區(qū)的網(wǎng)將絡全面癱瘓,小到某個網(wǎng)站將無法訪問。

目前的域名系統(tǒng)存在以下幾個問題:

(一)在查詢過程中沒有加密和識別機制

為了解決這一問題,IETF已經(jīng)在DNS協(xié)議里加入安全擴展協(xié)議,也就是所謂的域名系統(tǒng)的安全協(xié)議(Domain Name System SECurity,DNSSEC)。域名系統(tǒng)安全協(xié)議是一整套安全規(guī)則,用來確保域名系統(tǒng)內(nèi)部信息的安全,并在提供權限認證功能的同時保證信息的完整。它同時使用非對稱與對稱式的加密模式對資源記錄(RR)和區(qū)域傳輸模式分別進行了處理。域名系統(tǒng)安全協(xié)議已經(jīng)取得了一些進展:.gov和.org頂級域名已經(jīng)開始采用域名系統(tǒng)安全協(xié)議,并且也獲得了部分商業(yè)方面的支持。

(二)域名解析更換后生效時間過長

DNS服務系統(tǒng)一個反向的廣播機制,以便于域名解析改變后及時通知下級DNS服務器刷新緩存列表。為了減少DNS查詢流量,在DNS查詢一個域名后會把該域名的IP保存在自己的緩存表中。在最近瑞典發(fā)生的全國網(wǎng)絡癱瘓事故中,.se頂級域服務器在故障1小時后重新更新數(shù)據(jù)改正了錯誤,服務恢復正常,但是由于域名服務系統(tǒng)的緩存機制,整個互聯(lián)網(wǎng)上的.se解析并不能立即全部恢復正常。一些大型ISP通過清理緩存來恢復正確數(shù)據(jù);一些小規(guī)模的ISP則未能及時處理,致使部分用戶受影響的時間甚至達到24小時。

(三)管理分散

5.19斷網(wǎng)事件也暴露出我國域名體系諸多環(huán)節(jié)中的潛在安全風險。全國的域名系統(tǒng)層次眾多,規(guī)模龐大,管理歸屬分散。今后應嚴格審批DNS服務器的建立,并對DNS服務器嚴格的分級,建立防范機制。各域名解析機構(gòu)在對DNS服務器的分布也應該做到合理的調(diào)配,在各個地方設置的服務器節(jié)點要做DNS的負載均衡,這樣就會對DNS服務器受攻擊的防御能力有大的提升。

五、結(jié)束語

隨著各種網(wǎng)絡服務的興起,互聯(lián)網(wǎng)越來越成為人們?nèi)粘Ｉ钪胁豢扇鄙俚牟糠?。在我們每天訪問各種網(wǎng)站的時候,不為人知的DNS服務器做著“幕后工作”,對域名進行解析,讓我們可以正常地訪問。域名系統(tǒng)就像是“空氣”,平時我們感覺不到它的存在,但是一旦出現(xiàn)問題,其影響可能是“致命”的。當DNS服務器受到攻擊時,不但網(wǎng)站無法提供正常服務,嚴重者如此次事故,還會影響整個網(wǎng)絡的正常工作。因此,要加大針對DNS攻擊的防范力度,加強域名系統(tǒng)整體的安全性能,從各個環(huán)節(jié)入手提高其安全保障能力。

參考文獻:

[1]Douglas E Comer,TCP/IP網(wǎng)絡互連技術,2002.

[2]Athins D,Threat analysis of the domain name system,2002.

[3]Randal Vaughn.Gadi Evron,DNS amplification attacks,2006.

作者簡介:

陳慧(1974-),女,漢族,山東濟南人,碩士,講師,就職于山東英才學院計算機電子信息工程學院,主要研究方向:計算機網(wǎng)絡。