.CN根域名遭受有史以來最大規模DDoS攻擊

2013年8月25日凌晨，.CN域名凌晨出現大范圍解析故障，經分析.CN的根域授權DNS全線故障，導致大面積.CN域名無法解析。事故造成大量以.cn和.com.cn結尾的域名無法訪問。直到當日凌晨4點左右，CN根域名服務器的解析才有部分恢復。此后，經CNNIC確認，國家域名解析節點遭受到有史以來規模最大的拒絕服務攻擊，導致訪問延遲或中斷，部分網站的域名解析受到影響。而距本次事故發生一個月之后，本月24號，CNNIC和工信部終于揪出了本次攻擊事件的始作俑者--一名來 自山東青島的黑客。

據調查發現，該黑客本意是要攻擊一個游戲私服網站，使其癱瘓，后來他為了更快達到這個目的，直接對.CN的根域名服 務器進行了DDoS攻擊，發出的攻擊流量堵塞了.CN根服務器的出口帶寬(據工信部數據：攻擊時峰值流量較平常激增近1000倍，近15G)，致使.CN 根域名服務器的解析故障，使得大規模的.CN域名無法正常訪問。

DDoS攻擊背后的利益鏈條

大家可能會有疑問，看似普通的DDoS攻擊其背后究竟隱藏著什么?一句話：為了利益。本次事故中攻擊者使用的手法(譬如攻擊一些“私服”的網站或主機) 并不罕見，且近些年有愈演愈烈的趨勢。自國內的互聯網事業興起以來，國內有一些常年進行DDoS攻擊的組織或個人，脅迫某些“私服”游戲的運營團隊并收取 “保護費”，如果不合作便采取DDoS暴力攻擊，使其無法正常運營。而這些“私服”的運營團隊本身業務就涉及侵權，所以他們在遇到DDoS威脅時絕不敢報 警或維權，往往是被迫接受。這種惡性循環的結果就是這些網絡中的惡意脅迫越來越肆無忌憚，這些從事DDoS攻擊商業行為的組織或個人也演變成了各式各樣的 “網絡黑幫”，各式黑色產業鏈也層出不窮。由于當今互聯網上DDoS攻擊的門檻已經越來越低，雇主可以購買DDoS攻擊服務，攻擊可指定時間、指定流量、 指定攻擊效果。總的來說，同行業間的惡意競爭是導致DDoS攻擊愈演愈烈的最大原因，同時被攻擊后定位攻擊者所花費的成本較高也是這類事件層出不窮的重要 原因。

為何選擇針對DNS服務器進行DDoS攻擊

一直以來作為網絡基礎設施的DNS系統，給我們提供了訪問互聯網的便利，用戶只需記住域名就可以訪問到互聯網上的對應主機。當你在瀏覽器中輸入一個域名時，DNS的解析過程就開始了，一般的DNS解析過程如圖1、圖2所示：

圖1:DNS解析的一般過程(有緩存時)

圖2：DNS解析的一般過程(無緩存時)

下面來聊一聊現有互聯網上運行的DNS系統所可能遭受到的風險。大家應該都了解，根域名服務器是DNS系統中最高級別的域名服務器，全球一共有13臺， 多數分布在美國。首先，DNS系統是一個中心化的樹形結構，很容易遭受DDoS攻擊，且越靠近中心攻擊效果越為顯著;其次，現有DNS系統的迭代查詢方式，對根域和頂級域解析服務器依賴非常嚴重;再次，現有互聯網上存在著大量開放式的DNS域名服務器，這些服務器通常擁有強大的性能和帶寬，利用DNS反 射技術的放大效應，可以產生近其帶寬百倍的攻擊流量。所以這些開放式的DNS服務器極其容易成為黑客們青睞的DDoS攻擊“肉雞“。這對整個互聯網的基礎 設施都是巨大的安全威脅。

在對現有DNS協議的風險評估上，DNS協議是很脆弱且不安全的。為什么說DNS協議很脆弱呢?一方面DNS 協議是明文協議，協議里帶的信息可以很容易的被篡改、偽造，使得DNS協議易成為暴露用戶行為的工具;另一方面，若在現有協議傳輸上采用加密手段，現有 DNS體系無法承受加密帶來的開銷和技術升級的成本。

正因為DNS系統的脆弱性和其協議設計上的缺陷，所以歷史上針對DNS的攻擊事件也比較多，影響比較大有2013年針對Spamhaus的攻擊事件、2009年5.19斷網、2008年DNS緩存投毒，以及2002年全球根域名服務器被攻擊等等。

深入剖析本次.CN被攻擊事件

從本次.CN根服務器被DDoS攻擊的手法上來看，有兩種可能性，一種可能是黑客使用DDoS方法攻擊某個.CN域名，而較大的攻擊流量或海量的查詢請 求卻把該.CN域名上一級根服務器打掛;第二種可能是黑客直接把DDoS攻擊矛頭指向了.CN的根域名服務器。針對DNS系統，常見的DDoS攻擊手法 是：

1)傳統DDoS攻擊： 流量型(以堵塞網絡帶寬為主要攻擊目的)，包括UDP洪水攻擊;TCP流量攻擊;資源消耗型(以消耗目標機器可用資源為攻擊目的)，包括SYN洪水攻擊，ACK洪水攻擊，ACK反射攻擊，慢速消耗攻擊等;

2)DNS特有DDoS攻擊：DNS反射攻擊(放大效應)、DNS查詢攻擊(僵尸主機發起的海量請求)、變域名攻擊：構造隨機域名(或畸形域名)的查詢請求，利用僵尸網絡對目標域名或主機進行攻擊(如圖3所示)。

圖3：DNS QUERY洪水攻擊原理

為了最大限度的降低命中DNS緩存的可能，一般攻擊者在構造攻擊包時都會隨機偽造查詢源IP地址、偽造隨機源端口，偽造隨機查詢ID以及待解析的域名。 從筆者獲取到本次.CN攻擊的數據包來看(見下圖4)，攻擊者就是把經過特殊構造的海量的隨機域名的查詢請求直接發給了.CN的根服務器，也就是上文中提 到的變域名攻擊方式。不過，筆者認為其中可能還混合有其他一些諸如UDP洪水、DNS放大和DNS僵尸查詢等DDoS攻擊，最終的目的就是讓被攻擊網絡的 鏈路帶寬超出服務的帶寬，讓目標機或集群處理能力超出極限，從而達到DNS解析不能提供正常服務的狀態。

圖4：.CN的攻擊數據包(部分)

后續：DNS攻擊的新趨勢

在筆者看來，本次針對.CN根服務器的攻擊為我們再一次敲響了互聯網基礎設施安全性的警鐘，建議主管部門加強對基礎設施的保障力度，以避免此類事故重演。

從筆者的日常工作中也能夠發現不同針對DNS基礎系統的攻擊手法，譬如今年3月份針對國際公司Spamhaus的300G超大流量的DDoS攻擊，攻擊者主要采取的手法就是DNS反射攻擊，這種攻擊技術的特點就是利用互聯網上開放的DNS遞歸服務器作為攻擊源，利用“反彈”手法攻擊目標機器。攻擊原理如 圖5所示：

圖5：DNS反射攻擊的原理

在DNS反射攻擊手法中，假設DNS請求報文的數據部分長度約為40字節，而響應報文數據部分的長度可能會達到4000字節，這意味著利用此手法能夠產 生約100倍的放大效應。因此，對于.CN遇襲事件，攻擊者只需要控制一個能夠產生150M流量的僵尸網絡就能夠進行如上規模(15G)的DDoS攻擊。 據不完全統計，國內外總計有超過250W臺開放DNS服務器可以充當這種“肉雞”，開放的DNS服務器簡直是互聯網上無處不在的定時炸彈。

我們如何應對這種DDoS攻擊?

我們DNS系統的運維人員在日常部署時要盡量做到DNS應用的負載均衡，提升DNS服務器的處理性能，盡量將解析節點分散，能夠做到按不同的IDC或城 市實現冗余和容災機制，通過這些手段可以有效的減輕大流量DDoS攻擊發生時所帶來的危害。但是如上文所言，針對于如此不堪一擊的DNS系統，我們未來還 能夠從哪些方面出發去應對一般規?；蚴浅笠幠５腄DoS攻擊呢?筆者認為有如下一些解決方案可以值得嘗試。

第一，在你的主機遭受DDoS攻擊時，最簡單的是在本機做策略，譬如iptables等，或是事先將主機kernel加固以應對隨時可能出現的風險，但是這種方法不能解決DDoS的根本問題，且非常不靈活。

第二，若通過對流量和攻擊報文分析已知DDoS攻擊類型，那么也可以通過配置一些策略來減輕攻擊帶來的危害。譬如對DNS反射攻擊的防護，首先若被攻擊 的服務器并未提供DNS業務，那么可以通過設置訪問控制策略直接阻斷所有的DNS請求/回應;如果被攻擊的服務器是DNS相關服務器，那么最有效的方法是 配置DNS服務器，只響應合法區域的查詢。不過這種方法需要一定的專業知識，需要運維人員介入，同樣是不靈活的。

第三，提供充足的帶寬 和性能很強的DNS服務器，也就是俗稱的“堆機器，拼資源”，不過這種方法也如同飲鴆止渴，期望“魔高一尺，道高一丈”是不太現實的。不過建議管理人員還 是需要對DNS服務器的上聯鏈路的負載情況及時做好監控，避免因鏈路擁塞導致丟包的情況出現，同時還是需要在物理帶寬上投入一定的資源以防止上聯鏈路擁 塞。

第四，在互聯網的核心路由入口側部署專業的DDoS流量檢測設備和DDos流量清洗設備，通過DDoS檢測設備與清洗設備之間進行 的策略聯動，及時對惡意的攻擊行為進行發現、清洗、阻斷，這也是當下較為為業界所認可的防護方案。通過DNS協議的自身特點，依托Intel、 Tilera和Cavium等高效的硬件平臺，開發專門針對DDoS流量清洗的系統。這里可以構建專用的DNS防護算法，如DNS QUERY FLOOD防護算法、DNS反射攻擊防護等，用于從根本上過濾掉攻擊流量。

但對于大量的中小網站、企業而言，花費重金購買防護資源是不現實的，不過現在隨著互聯網云技術的發展，很多大型互聯網公司都提供了云主機服務，如騰訊云，阿里云等，并且免費提供專業的DDoS檢測、清洗防護功能， 如果廣大業務運營者擔心自己的業務或主機會遭受到DDoS攻擊，選擇現有的云服務也不失為一種有效的解決方案。

除了上述提到的幾種解決 方案，還有一些業界比較成熟的方案值得我們借鑒。比如CloudFlare公司采用的Anycast技術，該技術基于IP路由原理實現了自動流量負載均衡，在發生DDoS攻擊時，這種技術能夠有效的將攻擊流量分流到不同區域的防護節點，進行流量清洗。該方案已經成功的在用戶環境中部署。

最后，隨著網絡上DDoS攻擊規模的不斷擴大，DDoS工具的自動化，資源充足和帶寬充裕，黑客發起DDoS攻擊成本越來越低，而針對DDoS的攻防對抗，又是一個博弈對抗的過程。在非技術層面上，事先需要制定好應急預案和應對措施，如業務的自身調整、與運營商的溝通和應急措施同步。當DDoS攻擊發生時，需要多個部門間快速的響應，實施應急方案和及時同步處理結果。同時，建議從立法上，對這類攻擊進行嚴懲，提升攻擊違法的成本。