互聯網根服務器上周遭到協同分布式拒絕服務(DDoS)攻擊，13個關鍵服務器有3個在幾個小時里基本癱瘓。

此前的幾天，珍妮特學術網絡(Janet academic network)受到類似的DDoS攻擊。

根據周二根服務器運營商公布的第一手分析資料，攻擊發生的時間為北京時間2015年11月30日下午2:50至5:30之間，第二天又發生了一個小時的攻擊。

許多根服務器(盡管不是全部根服務器)收到每秒大約500萬的查詢，足以導致網絡連接超載，進而引起B、C、G和H根服務器響應超時。這些查詢查的是同一個域名，查詢是有效的DNS包;第二天攻擊用了和第一天不同的域名。

到最后，受攻擊的幾個運營商采用了反制措施，并獲得某種程度上的成功。目前，有關方面正在進行分析工作，目的是要準確地確定攻擊的形式和發起攻擊的地點。

也許最令人關注的是，即便是用了應對此類攻擊的任播(Anycast)技術，一些服務器仍然垮掉。

根服務器是互聯網的支柱，互聯網的域名系統以根服務器為本。域名系統有點像個全球電話號碼簿，互聯網所有的其他部件都要用到它。

基于互聯網的設計原理，這些服務器本身的流量相對較低，特別是如果將其和谷歌處理的流量相比。即便這些服務器都下線也不會即時對大面積的互聯網造成影響，因為這些根服務器存儲和共享的信息已經被存在成千上萬的其他服務器里。

但話又說回來，任何對DNS基礎架構的攻擊都備受重視。如果根服務器發生故障的時間超過一天，就會開始在全球網絡導致嚴重的問題。

RIPE阿特拉斯監測系統的圖顯示了攻擊的影響

解決方法是什么?

根服務器運營商已經特別提到一個使這種攻擊成為可能的問題：大量互聯網服務供應商未能實現網絡入口過濾;網絡入口過濾可以限制互聯網偽裝包，偽裝包可用于DDoS攻擊。但有分析顯示，82%的互聯網流量已經不能被偽裝了，原因是BCP38標準得到廣泛實施。

F根服務器運營商Paul Vixie提出的另一個解決方案是開發一個問責模式 ，對那些允許攻擊包經過自己網絡的網絡運營商實行懲罰。

Vixie 上個月在一篇博文里表示，“在信用卡、提款卡和電匯這一行里，州法律和聯邦法律都明確對欺詐交易參與者的法律責任立了條文。”

他表示，“在這一行里，參與者這樣那樣的投資都會在法律責任方面保護自己，即使他們可能會覺得防止欺詐的真正責任應該是別人的事。”

他還指，“而我們在對付DDoS攻擊時沒有這種東西，那些成為僵尸網絡一部分的設備的擁有者、用于反射和放大DDoS攻擊的開放服務器運營商以及那些允許源地址偽裝的網絡所有者和經營者，他們的瀆職行為不可避免地導致了DDoS包的出現，但他們卻不需要負擔任何成本。”

罕見的事件

這次對根服務器的攻擊是三次具有顯著規模的持續攻擊中的一次。最厲害的一次是2007年那次，當時一個約有5000臺計算機的僵尸網絡大量發包對4個根服務器進行攻擊，兩波的攻擊最終導致2個根服務器癱瘓了幾個小時。

盡管后來發現2007年這次的攻擊流量來自韓國，但一般認為攻擊是從美國控制的。上周攻擊的細節尚未有定論。

運營商的第一手分析稱，“值得注意的一個事實是，源地址的分布廣泛而且均勻，而查詢名稱卻不是。所以這次的事件與典型的DNS放大攻擊不同。在DNS放大攻擊里，DNS域名服務器(包括DNS根域名服務器)被用來作為反射點去擊跨第三方。”

但他們做出的結論是，整個系統在遭到攻擊時表現相當不錯：“DNS根域名服務器系統的運作達到了設計目的;系統在面對從大規模攻擊時展示了整體上的穩健性。”

內幕是什么?

2007攻擊和這次攻擊的動機均未能被確定。

通常情況下，DDoS攻擊是為了從公司獲取金錢，或是為了表明政治立場。但對全球互聯網所依賴的基石本身進行進攻，并不能表明什么明顯的政治立場。不過值得一提的是，除兩個根服務器外，其他根服務器都是由美國企業運營，其中的三個根服務器是由美國政府運營。

另外，這次攻擊的時間和和時間長度和2007年非常相似，這也是值得注意的，這表明有可能手法是相同的，另一種可能是，發生攻擊的時間窗口較為突出，可以令網絡運營商了解和減輕發生的攻擊。

而不太可能成為目標的珍妮特網絡在此前的幾天受到類似的攻擊，這件事也是疑點重重，研究人員肯定會對此事一探究竟。

長期以來，人們一直擔心一些國家會啟動網絡戰爭，最有名的例子是俄羅斯2007年對愛沙尼亞的攻擊，攻擊導致愛沙尼亞全國網絡癱瘓。

比較巧的是，世界各國政府下周將在聯合國紐約總部開會討論互聯網治理問題。在作為討論基礎的會議文件里，有整整一節專門講安全。

文件有關部分提到：“建立ICT(信息和通信技術)使用上的信心和安全是一項頭等大事，特別是考慮信息和通信技術正日益被不正當地濫用及被犯罪分子和恐怖主義活動利用。”