淺析5.19斷網(wǎng)事件與域名系統(tǒng)安全

陳 慧

[摘要]5.19斷網(wǎng)事件是全國范圍內(nèi)出現(xiàn)的網(wǎng)絡(luò)大面積故障,分析斷網(wǎng)事件產(chǎn)生的原因以及所涉及的技術(shù)問題,提出可以采取的措施。并且從域名系統(tǒng)安全問題入手,探討目前域名系統(tǒng)所應(yīng)解決的幾個問題。

[關(guān)鍵詞]DNS斷網(wǎng)事件DNSPod域名系統(tǒng)安全

中圖分類號:TP393.0文獻標(biāo)識碼:A文章編號:1671-7597(2009)1220075-01

一、斷網(wǎng)事件背景

2009年5月19日21時起,中國互聯(lián)網(wǎng)遭遇了“多米諾骨牌”連鎖反應(yīng),多個省市數(shù)以億計的網(wǎng)民遭遇了罕見的“網(wǎng)絡(luò)塞車”,網(wǎng)民反映上網(wǎng)故障,出現(xiàn)打不開網(wǎng)頁等問題。據(jù)工業(yè)和信息化部通信保障局發(fā)布的公告,確認(rèn)該事件原因是暴風(fēng)網(wǎng)站域名解析系統(tǒng)受到網(wǎng)絡(luò)攻擊出現(xiàn)故障,導(dǎo)致電信運營商的本地域名解析服務(wù)器收到大量異常請求而引發(fā)擁塞。

事情最開始是由于,一個游戲私服的網(wǎng)站對它的競爭對手發(fā)動的攻擊。黑客從域名下手對國內(nèi)最大的免費域名服務(wù)商DNSPod的服務(wù)器進行了狂轟濫炸,史無前例的大流量攻擊導(dǎo)致了DNSPod的服務(wù)器癱瘓,運行在DNSPod服務(wù)器上的10萬個域名無法解析。遭到攻擊癱瘓的服務(wù)器正好也是在為暴風(fēng)影音的某項服務(wù)提供域名解析。于是,號稱2.8億用戶的暴風(fēng)影音客戶端,通過用戶電腦里的后臺進程訪問暴風(fēng)網(wǎng)站出現(xiàn)無法連接之后,持續(xù)不斷發(fā)起訪問請求,而且這些請求全部擁塞在本地域名服務(wù)器中,大量擁塞的請求占用了大量的服務(wù)器處理性能,進而導(dǎo)致本地域名服務(wù)器無法對其他的正常請求進行解析,并最終釀成大規(guī)模的網(wǎng)絡(luò)故障。

二、相關(guān)技術(shù)分析

(一)DNS

DNS是域名系統(tǒng)(Domain Name System)的縮寫,該系統(tǒng)用于命名組織到域?qū)哟谓Y(jié)構(gòu)中的計算機和網(wǎng)絡(luò)服務(wù),是最基本的網(wǎng)絡(luò)服務(wù)之一。DNS命名用于Internet等TCP/IP網(wǎng)絡(luò)中,通過在網(wǎng)絡(luò)中構(gòu)建一個層次化的樹狀服務(wù)結(jié)構(gòu),建立IP地址與域名的邏輯映射關(guān)系,通過用戶友好的名稱查找計算機和服務(wù),供其他相關(guān)的IP網(wǎng)應(yīng)用服務(wù)使用。一般的DNS故障,如果導(dǎo)致DNS不能正常工作,在普通網(wǎng)絡(luò)用戶看來,就是連不上網(wǎng)站“上不了網(wǎng)”。如果DNS服務(wù)器被入侵者控制,有可能篡改IP地址與主機名的映射關(guān)系和獲得其他敏感信息,從而會使主機遭受Web欺騙攻擊等嚴(yán)重后果。

(二)DNSPod

DNSPod是一款免費智能DNS產(chǎn)品。中國的網(wǎng)絡(luò)是由電信和網(wǎng)通分別壟斷南北兩方面的,所以,“南北互通”在當(dāng)時建網(wǎng)絡(luò)的時候是就是讓人困惑的一個問題。2006年的時候,DNSPod公司利用DNS的技術(shù)解決了這個問題。DNSPod可以為同時有電信、網(wǎng)通、教育網(wǎng)服務(wù)器的網(wǎng)站提供智能的解析,讓電信用戶訪問電信的服務(wù)器,網(wǎng)通的用戶訪問網(wǎng)通的服務(wù)器,教育網(wǎng)的用戶訪問教育網(wǎng)的服務(wù)器,達到互聯(lián)互通的效果。目前DNSPod已經(jīng)是國內(nèi)最大的免費DNS解析產(chǎn)品提供商。管理著超過10萬用戶和20萬域名,日請求量超過20億次。

(三)DDoS攻擊

DDOS是分布式拒絕服務(wù)攻擊(Distribution Denial of service)的縮寫,DDOS的攻擊策略側(cè)重于通過很多“僵尸主機、肉雞”(被攻擊者入侵過或可間接利用的主機)向受害主機發(fā)送大量看似合法的網(wǎng)絡(luò)包,從而造成網(wǎng)絡(luò)阻塞或服務(wù)器資源耗盡而導(dǎo)致拒絕服務(wù),分布式拒絕服務(wù)攻擊一旦被實施,攻擊網(wǎng)絡(luò)包就會猶如洪水般涌向受害主機,從而把合法用戶的網(wǎng)絡(luò)包淹沒,導(dǎo)致合法用戶無法正常訪問服務(wù)器的網(wǎng)絡(luò)資源,因此,拒絕服務(wù)攻擊又被稱之為“洪水式攻擊”。

三、斷網(wǎng)事件分析

5.19斷網(wǎng)事件中,最先的起因是DNSPod遭遇網(wǎng)絡(luò)攻擊。因為適應(yīng)中國國情,DNSPod的用戶很多,眾多中小網(wǎng)站使用都在使用,其中就有經(jīng)營網(wǎng)絡(luò)游戲的私人服務(wù)器。由于惡性競爭,私服之間經(jīng)常雇用黑客相互攻擊。這次攻擊DNSPod的原因是,黑客采用了“擒賊先擒王”的策略,也就是直接攻擊私服網(wǎng)站的DNS服務(wù)器,使其無法正常工作,從而無法解析私服網(wǎng)站的域名。黑客對DNSPod實施攻擊后不久,電信機房管理員就發(fā)現(xiàn)DNSPod服務(wù)器端口流量異常,為防止意外發(fā)生立即關(guān)閉了DNSPod服務(wù)器。這臺被電信關(guān)閉的DNS服務(wù)器當(dāng)時恰好在為大約10萬家網(wǎng)站提供域名解析服務(wù),其中就包括擁有大量用戶的暴風(fēng)影音,此外還包括大量地方門戶網(wǎng)站、個人網(wǎng)站和企業(yè)網(wǎng)站。

DNSPod網(wǎng)絡(luò)服務(wù)被中斷后,致使其托管的數(shù)十萬域名無法正常解析,導(dǎo)致大量用戶隨后無法訪問這些網(wǎng)站。通常情況下,如果是網(wǎng)民在地址欄輸入某個域名,卻無法訪問時,網(wǎng)民就不會再次輸入相關(guān)域名請求解析。但是,本次網(wǎng)絡(luò)癱瘓中,發(fā)起請求的不僅是網(wǎng)民,更多的是安裝網(wǎng)民電腦中的暴風(fēng)影音軟件,因該軟件部分在線服務(wù)功能必須基于對其域名的正常解析,于是安裝有暴風(fēng)影音的電腦不斷發(fā)起域名解析請求。

根據(jù)域名系統(tǒng)的解析原理,DNS是采用多級緩存的方式運作的。通常一個程序發(fā)出DNS請求以后,系統(tǒng)會先搜索自己的DNS緩存,沒有找到則會向網(wǎng)絡(luò)設(shè)置中的DNS服務(wù)器發(fā)出請求。5.19斷網(wǎng)事件,暴風(fēng)影音軟件開始發(fā)起的域名解析請求,在本地域名服務(wù)器的緩存中保留著,可以及時作出響應(yīng),3600秒以后,緩存在各地DNS服務(wù)器上的該記錄過期,但此時暴風(fēng)影音指向DNSPod的域名服務(wù)器記錄還沒有過期(一般是24小時過期),于是各地的DNS繼續(xù)向已經(jīng)被封掉IP的DNSPod服務(wù)器發(fā)送查詢。由于域名查詢使用UDP協(xié)議,服務(wù)器在超時以后才放棄查詢。但由于DNS服務(wù)器一般被配置為不緩存失敗的查詢,所以下一個DNS請求來的時候它還是得去向那個封掉的IP發(fā)送查詢。安裝了暴風(fēng)影音軟件的用戶電腦持續(xù)不斷產(chǎn)生了巨量域名請求,這些查詢請求類似于對DNS服務(wù)器的DDoS攻擊,導(dǎo)致多個省份的本地域名服務(wù)器出現(xiàn)故障甚至無法提供正常服務(wù)。使得使用這些本地域名服務(wù)器的其他互聯(lián)網(wǎng)用戶也無法上網(wǎng),進而導(dǎo)致更大范圍內(nèi)的用戶聲報網(wǎng)絡(luò)無法訪問,最終釀成大規(guī)模的網(wǎng)絡(luò)故障。

針對5月19日發(fā)生的DDoS攻擊,可以實施應(yīng)急方案,在本地域名服務(wù)器上針對暴風(fēng)網(wǎng)站相關(guān)域名設(shè)置強解析策略,以最小的代價保證絕大部分的應(yīng)用正常開展。面對未來可能發(fā)生的DDoS攻擊,可以采取如下措施:通過在骨干網(wǎng)部署流量清洗系統(tǒng),清洗網(wǎng)絡(luò)中的DoS流量,利用抗DDoS安全產(chǎn)品的模式匹配,以及IP地址信譽機制等獨特的防護算法對形式多樣的DDoS攻擊進行安全防護,在網(wǎng)絡(luò)受到攻擊時可以為DNS服務(wù)器提供有效和及時的安全保障。

四、域名系統(tǒng)安全的思考

域名作為廣大民眾訪問互聯(lián)網(wǎng)的起點和入口,是全球互聯(lián)網(wǎng)通信的基礎(chǔ)。而域名系統(tǒng)作為承載全球億萬域名正常使用的系統(tǒng),是互聯(lián)網(wǎng)的基礎(chǔ)設(shè)施,其作用相當(dāng)于互聯(lián)網(wǎng)的中樞神經(jīng)系統(tǒng),域名系統(tǒng)的故障會導(dǎo)致互聯(lián)網(wǎng)陷入癱瘓。域名系統(tǒng)是一種公開服務(wù),歷來是被攻擊的對象,完整的域名系統(tǒng)由本地域名服務(wù)器、根域名服務(wù)系統(tǒng)、頂級域名服務(wù)系統(tǒng)以及各級域名服務(wù)系統(tǒng)等四個層級構(gòu)成。每個環(huán)節(jié)都可能成為黑客攻擊的對象。因此,任何一層出現(xiàn)故障,都會導(dǎo)致相應(yīng)范圍的網(wǎng)絡(luò)應(yīng)用癱瘓,大到一個國家和地區(qū)的網(wǎng)將絡(luò)全面癱瘓,小到某個網(wǎng)站將無法訪問。

目前的域名系統(tǒng)存在以下幾個問題:

(一)在查詢過程中沒有加密和識別機制

為了解決這一問題,IETF已經(jīng)在DNS協(xié)議里加入安全擴展協(xié)議,也就是所謂的域名系統(tǒng)的安全協(xié)議(Domain Name System SECurity,DNSSEC)。域名系統(tǒng)安全協(xié)議是一整套安全規(guī)則,用來確保域名系統(tǒng)內(nèi)部信息的安全,并在提供權(quán)限認(rèn)證功能的同時保證信息的完整。它同時使用非對稱與對稱式的加密模式對資源記錄(RR)和區(qū)域傳輸模式分別進行了處理。域名系統(tǒng)安全協(xié)議已經(jīng)取得了一些進展:.gov和.org頂級域名已經(jīng)開始采用域名系統(tǒng)安全協(xié)議,并且也獲得了部分商業(yè)方面的支持。

(二)域名解析更換后生效時間過長

DNS服務(wù)系統(tǒng)一個反向的廣播機制,以便于域名解析改變后及時通知下級DNS服務(wù)器刷新緩存列表。為了減少DNS查詢流量,在DNS查詢一個域名后會把該域名的IP保存在自己的緩存表中。在最近瑞典發(fā)生的全國網(wǎng)絡(luò)癱瘓事故中,.se頂級域服務(wù)器在故障1小時后重新更新數(shù)據(jù)改正了錯誤,服務(wù)恢復(fù)正常,但是由于域名服務(wù)系統(tǒng)的緩存機制,整個互聯(lián)網(wǎng)上的.se解析并不能立即全部恢復(fù)正常。一些大型ISP通過清理緩存來恢復(fù)正確數(shù)據(jù);一些小規(guī)模的ISP則未能及時處理,致使部分用戶受影響的時間甚至達到24小時。

(三)管理分散

5.19斷網(wǎng)事件也暴露出我國域名體系諸多環(huán)節(jié)中的潛在安全風(fēng)險。全國的域名系統(tǒng)層次眾多,規(guī)模龐大,管理歸屬分散。今后應(yīng)嚴(yán)格審批DNS服務(wù)器的建立,并對DNS服務(wù)器嚴(yán)格的分級,建立防范機制。各域名解析機構(gòu)在對DNS服務(wù)器的分布也應(yīng)該做到合理的調(diào)配,在各個地方設(shè)置的服務(wù)器節(jié)點要做DNS的負(fù)載均衡,這樣就會對DNS服務(wù)器受攻擊的防御能力有大的提升。

五、結(jié)束語

隨著各種網(wǎng)絡(luò)服務(wù)的興起,互聯(lián)網(wǎng)越來越成為人們?nèi)粘Ｉ钪胁豢扇鄙俚牟糠?。在我們每天訪問各種網(wǎng)站的時候,不為人知的DNS服務(wù)器做著“幕后工作”,對域名進行解析,讓我們可以正常地訪問。域名系統(tǒng)就像是“空氣”,平時我們感覺不到它的存在,但是一旦出現(xiàn)問題,其影響可能是“致命”的。當(dāng)DNS服務(wù)器受到攻擊時,不但網(wǎng)站無法提供正常服務(wù),嚴(yán)重者如此次事故,還會影響整個網(wǎng)絡(luò)的正常工作。因此,要加大針對DNS攻擊的防范力度,加強域名系統(tǒng)整體的安全性能,從各個環(huán)節(jié)入手提高其安全保障能力。

參考文獻:

[1]Douglas E Comer,TCP/IP網(wǎng)絡(luò)互連技術(shù),2002.

[2]Athins D,Threat analysis of the domain name system,2002.

[3]Randal Vaughn.Gadi Evron,DNS amplification attacks,2006.

作者簡介:

陳慧(1974-),女,漢族,山東濟南人,碩士,講師,就職于山東英才學(xué)院計算機電子信息工程學(xué)院,主要研究方向:計算機網(wǎng)絡(luò)。