從“5.19斷網(wǎng)事件”分析電子商務(wù)網(wǎng)站的安全問題

季杭蕾 葉晰

[摘 要]本文首先回顧了2009年的“5·19 斷網(wǎng)事件”，詳細分析了該事件發(fā)生的背景、起因和攻擊的實施步驟等，最后提出了防范此類事件的安全措施。

[關(guān)鍵詞]電子商務(wù) DDoS 網(wǎng)絡(luò)安全 DNS 斷網(wǎng)事件

隨著網(wǎng)絡(luò)技術(shù)的發(fā)展，電子商務(wù)和電子政務(wù)等信息化工程也日益完善，然而從安全的角度來看，電子商務(wù)網(wǎng)站所面臨的網(wǎng)絡(luò)安全問題卻始終如揮之不去的夢魘。DDoS（Distributed Deny of Service-分布式拒絕服務(wù)攻擊）攻擊是一種很難被徹底解決的電子商務(wù)網(wǎng)站安全問題，其危害較大，往往可造成網(wǎng)站訪問延時甚至癱瘓。中國最近一次大的DDoS攻擊事件發(fā)生在2009 年5月19 日。當天晚上受暴風影音軟件存在的設(shè)計缺陷以及免費智能DNS軟件DNSPod的不健壯性影響，黑客通過僵尸網(wǎng)絡(luò)控制下的DDoS攻擊，致使我國江蘇、安徽、廣西、海南、甘肅、浙江等省在內(nèi)的23 個省出現(xiàn)罕見的斷網(wǎng)故障，即“5·19 斷網(wǎng)事件”。

一、“5·19 斷網(wǎng)事件”事件回顧

“5·19 斷網(wǎng)事件”是綜合了多種因素后產(chǎn)生的結(jié)果，其起因是一私人游戲服務(wù)器（簡稱私服）的所有者攻擊競爭對手的游戲服務(wù)器未果，轉(zhuǎn)而攻擊為對手的游戲服務(wù)器提供免費動態(tài)DNS解析服務(wù)的DNSPod網(wǎng)站（www.dnspod.cn），其具體實施步驟可歸納如下：

1.如下圖所示，攻擊者通過控制互聯(lián)網(wǎng)上大量的傀儡機（被僵尸網(wǎng)絡(luò)控制的計算機）向DNSPod服務(wù)器發(fā)起DDoS攻擊，使DNSPod服務(wù)器無法為正常用戶提供域名解析（域名轉(zhuǎn)換成IP地址）服務(wù)，直至癱瘓。

2.暴風影音網(wǎng)站（baofeng.com）的域名解析使用的也是DNSPod服務(wù)器，當DNSPod服務(wù)器被攻擊癱瘓后，根據(jù)域名解析的遞歸機制，所有客戶端對“*.baofeng.com” 網(wǎng)站的解析請求將被轉(zhuǎn)向DNSPod服務(wù)器的上一級DNS服務(wù)器（即電信運營商的DNS服務(wù)器）。

3.暴風影音為了獲得更高的廣告點擊率，在后臺暗藏了機關(guān)——安裝了暴風影音客戶端軟件的計算機在啟動時會自動鏈接到暴風影音網(wǎng)站（*.baofeng.com）。而當暴風影音軟件在得不到DNS響應(yīng)（DNSPod服務(wù)器已癱瘓）時，會不斷發(fā)送DNS解析請求報文（每分鐘100 次以上）到電信運營商的DNS服務(wù)器。由于使用暴風影音軟件的用戶數(shù)量巨大，致使最終到達電信運營商的DNS服務(wù)器的流量高達10GB/s左右。

4.雖然電信運營商的DNS服務(wù)器進行了分布式部署，但大部分省份的DNS遞歸服務(wù)器仍無法承受如此巨大數(shù)量的域名解析請求報文，導(dǎo)致服務(wù)器CPU和內(nèi)存資源耗盡，最終這些DNS服務(wù)器處于癱瘓狀態(tài)。

5.由于DNS服務(wù)器的作用是把域名翻譯成IP地址，故電信DNS服務(wù)器癱瘓后，除直接使用IP地址外（一般用戶很少直接記憶IP地址），絕大多數(shù)互聯(lián)網(wǎng)用戶的DNS域名解析請求得不到響應(yīng)，從而產(chǎn)生斷網(wǎng)現(xiàn)象。

二、“5·19 斷網(wǎng)事件”事件剖析

1. 從本質(zhì)上來說“5·19 斷網(wǎng)事件”未發(fā)生斷網(wǎng)，網(wǎng)絡(luò)本身是暢通無阻的，大面積中斷的是DNS服務(wù)，故該事件的準確表述應(yīng)為“5·19 DNS服務(wù)中斷事件”。這一事件再次告戒我們：在互聯(lián)網(wǎng)中越是由最基礎(chǔ)服務(wù)的安全產(chǎn)生的威脅，其影響力越大，范圍越廣。作為互聯(lián)網(wǎng)基礎(chǔ)服務(wù)的DNS，每天有海量的域名解析信息產(chǎn)生，其個體的安全性已經(jīng)直接影響著互聯(lián)網(wǎng)的安全。

2.該事件最初是由兩位私服擁有者的互相攻擊造成的，但他們主觀上沒有破壞全國性網(wǎng)絡(luò)的意圖。而之所以造成如此大的影響，其中暴風影音扮演著非常重要的中間人角色。正由于暴風影音軟件的“流氓化”行為，無意間綁架了大量的安裝該軟件的用戶，使他們成為了發(fā)動對電信DNS服務(wù)器攻擊的傀儡機。從此事件中我們看到除了各大軟件商必須自律之外，相應(yīng)職能部門也應(yīng)該加強對流氓軟件或功能的管理和監(jiān)督。

3. DDoS攻擊已成為目前互聯(lián)網(wǎng)上黑客經(jīng)常采用的攻擊手段。DDoS 原理很簡單，就是利用網(wǎng)絡(luò)掌控并集結(jié)盡量多的傀儡機來攻擊目標機以期達到比單機大得多殺傷力，其危害極大且難以防御。目前為止網(wǎng)絡(luò)業(yè)界并沒有可以徹底消除DDoS攻擊的措施，提高硬件設(shè)施性能也只能做到降低攻擊程度的級別。

三、對此類事件的安全防范方法

1.相應(yīng)職能部門加強對各種流氓軟件的監(jiān)督和管理，消除軟件后門存在的安全隱患。

2.DNS清洗服務(wù)?！?·19 斷網(wǎng)事件”中，當電信運營商得知DNSPod服務(wù)器被攻陷后，立即進行了清洗服務(wù)。根據(jù)域名解析體系中的緩存機制，大量遞歸域名解析服務(wù)器中的解析記錄一般至少要保存24 小時，也就是說即使是錯誤的信息也需要在24小時之后才能夠被系統(tǒng)自動刪除。DNS清洗服務(wù)可以解決DNS緩存帶來的域名錯誤查詢問題。

3.DNS服務(wù)器的冗余備份。冗余備份是DNS服務(wù)器安全管理中采用的一種較為普遍的方法。為了保障DNS服務(wù)的可靠性，我們可以采用多機備份方案以提高系統(tǒng)的抗攻擊能力。

4.對軟件漏洞的管理。軟件漏洞主要包括操作系統(tǒng)的漏洞和DNS應(yīng)用軟件的漏洞。針對利用漏洞的攻擊，最有效的防范方法是升級到最新的版本，并及時安裝補丁程序。

5.加強對DDoS攻擊的防范。

四、結(jié)束語

“5·19 斷網(wǎng)事件”已經(jīng)平息，發(fā)起DDoS攻擊的黑客已經(jīng)被抓獲，暴風影音公司也及時推出了新版綠色軟件，但由此事件引發(fā)的針對DNS服務(wù)的安全問題還時時在警示著我們：未來互聯(lián)網(wǎng)的安全不容樂觀，尤其像DNS這類基礎(chǔ)服務(wù)的安全問題更應(yīng)引起重視。只有一個健康安全的網(wǎng)絡(luò)，才能讓電子商務(wù)活動蓬勃發(fā)展。

參考文獻:

[1]何小波.DDoS攻擊防御新思考.商場現(xiàn)代化,2009年3月下旬刊，123-124頁

[2]何培源.電子商務(wù)網(wǎng)站安全中的DDoS攻防博弈.物流科技,2009年第1期，34-39頁