著名黑客組織威脅將于3月31日攻擊13個DNS根服務器從而讓全球互聯網癱瘓，以此抗議美國網絡反盜版法案及華爾街銀行家。由于該黑客組織曾攻破美國中央情報局、歐洲議會的網站，所以這個攻擊威脅引起關注。4月1號是愚人節，不排除這是黑客組織的一個恐怖玩笑，但作為互聯網的從業者，114DNS對此嚴陣以待。下面的章節主要提供給ISP及大中型企業的遞歸DNS維護人員及互聯網企業的NS維護人員參考，個人用戶僅需將DNS地址修改為114.114.114.114而無需關心下述內容。

從技術上而言，13個DNS根節點如果被攻癱，遞歸DNS服務器可以比較容易地繞過這個故障并正常完成DNS遞歸工作（從IANA能下載到相關的Hint文件），從而保證大眾能正常上網。我們分析，國際著名的黑客組織不應該這么業余，黑客組織最有可能攻擊的方法是以BotNet攻擊ISP的遞歸DNS服務，間接導致gTLD/ccTLD節點過載的同時加速ISP的遞歸DNS服務癱瘓，達到黑客讓全球互聯網癱瘓的目的。

114DNS將盡匹夫之責，協助國人繼續上網！下面簡單羅列黑客可能攻擊的對象，并說明114DNS在每種情況下能達到的效果，然后再闡述如何使用114DNS應對各種攻擊。

直接攻擊13個DNS根節點容易防護。114DNS的應急根服務器，可以承載DNS根節點的絕大部分服務；

直接攻擊gTLD/ccTLD節點較難防護。114DNS的應急gTLD/ccTLD根服務器，可以承載gTLD/ccTLD節點的主要服務，但極少量的服務會受到損傷；

直接攻擊ISP的遞歸DNS服務器很難防護。以隨機域名直接攻擊ISP的遞歸DNS服務，間接導致gTLD/ccTLD節點過載，反過來又加速ISP的遞歸DNS服務癱瘓。114DNS的智能應急備份中心，可以承載ISP遞歸DNS的大部分服務，但有少量的服務會受到損傷；

下面簡述如何使用114DNS的應急DNS服務對付3月31日潛在的DNS故障。

準備工作

在遞歸DNS服務器上備份原有的hint文件（例如named.root），編輯一個新文件114dns_0331.hint內容為如下12行：

.518400INNSA-ROOT.114DNS.NET.

.518400INNSB-ROOT.114DNS.NET.

.518400INNSC-ROOT.114DNS.NET.

.518400INNSD-ROOT.114DNS.NET.

.518400INNSE-ROOT.114DNS.NET.

.518400INNSF-ROOT.114DNS.NET.

A-ROOT.114DNS.NET.3600000INA114.114.118.201

B-ROOT.114DNS.NET.3600000INA114.114.118.202

C-ROOT.114DNS.NET.3600000INA114.114.118.203

D-ROOT.114DNS.NET.3600000INA114.114.118.204

E-ROOT.114DNS.NET.3600000INA114.114.118.205

F-ROOT.114DNS.NET.3600000INA114.114.118.206。

應急方案一

操作：以114dns_0331.hint覆蓋原有hint文件并重載named。

效果：能有效應對前述A、B兩種攻擊，絕大部份網絡資源可訪問如往常，個人用戶訪問這些網絡資源的速度如往常，極少量的網絡資源不可訪問。

原理：114DNS具有6個應急root服務單元和18個應急gTLD/ccTLD服務單元，可按攻擊的不同情況，無損接續現有的13個DNS根節點及200多個gTLD/ccTLD服務節點中部分節點或全部節點的工作，從而讓ISP及企業的遞歸DNS服務器能正常完成DNS遞歸工作。

應急方案二

操作：修改/etc/named.conf文件，增加如下配置，然后重載named。

zone"."{

typeforward;

forwarders{114.114.114.114;114.114.115.115;};

};

效果：能有效應對前述A、B、C三種攻擊，大部分網絡資源可以正常訪問，但是個人用戶訪問這些網絡資源的速度可能下降，小部分的網絡資源不可訪問。

原理：114DNS具有28個遞歸點，對相同域名的解析請求，能根據DNS請求包的IP源地址的不同而給出不同的應答，從而讓互聯網公司的CDN能正常工作。

DNS應急可引發的后果及規避方法

DNS應急處理不當可引發如下后果：

（1）DNS應急備份中心所在地區的網絡被堵塞，它又反過來影響DNS應急備份中心提供正常服務；（2）大中型互聯網公司的CDN調度嚴重受損，造成大部分網絡資源無法訪問。如果DNS應急備份中心僅在同一個地點做DNS遞歸，則大部分CDN公司的域名都被解析到該地（或鄰近該地）的IP地址段，導致該地骨干網流量暴漲、CDN公司的服務器過載，而其他地區卻沒有流量。因而DNS應急備份系統的基本要求，就是在多個地區具備輔助DNS遞歸點、備份中心能按DNS請求的源IP進行不同的應答。114DNS目前在國內有28個DNS遞歸點，但是國內大型互聯網公司的分區高于28個，因而會對其CDN調度造成一定的損傷，但可以肯定的是：僅有1個遞歸點的DNS應急備份方案是不可用的。

其他說明

上述DNS應急方案的有效性，僅在BIND9上測試過；

由于一些不可控的原因，114DNS暫時僅能保證在AS4134、AS4837及其信任聯盟范圍內的遞歸DNS應急有效；

114DNS會盡最大的努力嘗試讓國內互聯網正常運轉，但DNS乃互聯網基石，該基石如受損我們無法確保每個互聯網企業和個人用戶不受絲毫影響；

無論是方案一還是方案二，114DNS都有嚴格的限流策略，事先發郵件到dnsadmin#114dns.com（#換成@）注明你的遞歸DNS服務器的服務IP地址、遞歸用IP地址、單位、姓名和聯系電話，可確保DNS應急功能正常。

114DNS已投入大量的精力應對3月31日潛在的DNS故障，相關的應急方案已被基礎電信運營商所采納。由于內存資源的限制，114DNS無法將全球幾億個域名的NS記錄都注入到114DNS的應急單元，信風已通過程序自動將排名在前300萬的域名的NS記錄注入到114DNS的應急單元。為保證3月31的DNS應急行之有效，信風將對部分訪問量較大的站點做人工測試，必要時會與其NS維護人員做EMAIL或電話勾通。互聯網企業也可直接發郵件到dnsadmin#114dns.com，注明企業的所有域名（域名本身而非DNS記錄）以確保它們都被注入到114DNS的應急單元。歡迎DNS業內的同行專家提出更好的建議，共同渡過3月31日這一潛在的網絡難關。