域名系統(tǒng)其實(shí)不堪一擊

開(kāi)放DNS服務(wù)器是引爆整個(gè)歐洲互聯(lián)網(wǎng)的定時(shí)炸彈?在Spamhaus遭受攻擊的事件中，攻擊者借助現(xiàn)網(wǎng)數(shù)量龐大的開(kāi)放DNS服務(wù)器，采用DNS反射攻擊將攻擊流量輕松放大100倍。攻擊過(guò)程使用了約3萬(wàn)臺(tái)開(kāi)放DNS服務(wù)器，攻擊者向這些開(kāi)放DNS服務(wù)器發(fā)送對(duì)ripe.net域名的解析請(qǐng)求，并將源IP地址偽造成Spamhaus的IP地址，DNS請(qǐng)求數(shù)據(jù)的長(zhǎng)度約為36字節(jié)，而響應(yīng)數(shù)據(jù)的長(zhǎng)度約為3000字節(jié)，經(jīng)過(guò)DNS開(kāi)放服務(wù)器反射將攻擊流量輕松放大100倍。攻擊者只需要控制一個(gè)能夠產(chǎn)生3Gbps流量的僵尸網(wǎng)絡(luò)就能夠輕松實(shí)施300Gbps的大規(guī)模攻擊。而攻擊過(guò)程中，每個(gè)DNS服務(wù)器發(fā)出的流量只需要10Mbps，這樣小的攻擊流量很難被DNS業(yè)務(wù)監(jiān)控系統(tǒng)監(jiān)測(cè)到。事實(shí)上，開(kāi)放DNS服務(wù)器在互聯(lián)網(wǎng)上數(shù)目龐大，遠(yuǎn)不止3萬(wàn)臺(tái)?；ヂ?lián)網(wǎng)如果繼續(xù)保持開(kāi)放DNS服務(wù)器的無(wú)管理狀態(tài)，利用開(kāi)放DNS系統(tǒng)發(fā)起的DNS反射攻擊事件就會(huì)越來(lái)越多，攻擊規(guī)模也會(huì)越來(lái)越大。本次攻擊事件讓人們意識(shí)到：開(kāi)放DNS服務(wù)器是互聯(lián)網(wǎng)的定時(shí)炸彈，如果不加以治理，未來(lái)的某一天將會(huì)爆發(fā)更大規(guī)模的DDoS攻擊。

中國(guó)互聯(lián)網(wǎng)系統(tǒng)依然脆弱。.CN域名受攻擊導(dǎo)致訪問(wèn)延遲或中斷，部分網(wǎng)站的域名解析受到影響。攻擊影響了超過(guò)800萬(wàn)個(gè)互聯(lián)網(wǎng)用戶在中國(guó)域名.CN注冊(cè)的網(wǎng)站的訪問(wèn)，其中包括流行的社交網(wǎng)站新浪微博。大量新浪微博用戶抓狂，因?yàn)槌霈F(xiàn)了首頁(yè)無(wú)法刷新、評(píng)論被全部清空等“癥狀”。獨(dú)立情報(bào)分析專家艾德認(rèn)為，此次網(wǎng)絡(luò)攻擊暴露出整個(gè)中國(guó)網(wǎng)絡(luò)的脆弱性，“如果所有以.CN結(jié)尾的網(wǎng)站，因一個(gè)簡(jiǎn)單的拒絕服務(wù)攻擊就被擊垮的話，那么中國(guó)互聯(lián)網(wǎng)系統(tǒng)比我們?cè)认胂蟮母嗳?。很顯然，中國(guó)網(wǎng)絡(luò)安全有待完善和提高。”專家稱，日益頻發(fā)的域名系統(tǒng)安全事件，暴露出域名系統(tǒng)相關(guān)技術(shù)還不夠成熟，需要持續(xù)提升完善。

保護(hù)域名安全任重道遠(yuǎn)

如果把一個(gè)網(wǎng)站比作一座房子，那么域名就是這座房子的門，而這扇門擁有許多功用，它是別人訪問(wèn)網(wǎng)站的必經(jīng)之地，同時(shí)也是保護(hù)網(wǎng)站的重要所在，所以保護(hù)好域名的安全，相當(dāng)于保護(hù)一個(gè)網(wǎng)站的安全。而DNS，相當(dāng)于鑰匙，在保護(hù)域名的安全中起著至關(guān)重要的作用。據(jù)域名工程中心發(fā)布的《2013年互聯(lián)網(wǎng)根和頂級(jí)域名發(fā)展報(bào)告》顯示，截至2013年8月12日，ICANN共收到了來(lái)自全球111個(gè)國(guó)家和機(jī)構(gòu)的1822個(gè)新通用頂級(jí)域名申請(qǐng)。這也就意味著，在短時(shí)間內(nèi)，像.com一樣的千余個(gè)新通用頂級(jí)域名即將上線，并面向公眾開(kāi)放注冊(cè)。隨著越來(lái)越多的域名即將涌現(xiàn)，域名安全問(wèn)題將因此受到更大的挑戰(zhàn)。

據(jù)知名科技公司Prolexic的統(tǒng)計(jì)，2013年第三季度，DDoS攻擊的數(shù)量比2012年同期增長(zhǎng)了58%，攻擊時(shí)長(zhǎng)延長(zhǎng)了13.3%。出于對(duì)域名系統(tǒng)戰(zhàn)略意義的考慮，美國(guó)、德國(guó)、日本、韓國(guó)等國(guó)家都對(duì)域名系統(tǒng)給予了高度重視。在基礎(chǔ)設(shè)施、聯(lián)動(dòng)機(jī)制、安全意識(shí)、立法、國(guó)際合作方面，我國(guó)政府和互聯(lián)網(wǎng)行業(yè)已有所行動(dòng)，并將繼續(xù)加強(qiáng)諸方面的工作。

強(qiáng)化國(guó)家域名系統(tǒng)基礎(chǔ)設(shè)施的建設(shè)。據(jù)域名工程中心技術(shù)監(jiān)測(cè)數(shù)據(jù)顯示，國(guó)內(nèi)的域名服務(wù)器總量為100萬(wàn)臺(tái)左右，活躍域名服務(wù)器數(shù)量為7萬(wàn)臺(tái)， 62%以上的權(quán)威域名服務(wù)器使用開(kāi)源的Linux系統(tǒng)，微軟Microsoft Windows操作系統(tǒng)所占比例在36%左右， 95%以上的域名服務(wù)器使用開(kāi)源的ISC BIND域名解析軟件。可以看出，從域名服務(wù)器操作系統(tǒng)到域名解析軟件，幾乎已被微軟和國(guó)外的開(kāi)源軟件所壟斷。開(kāi)源軟件預(yù)留“后門”的風(fēng)險(xiǎn)較小，但也方便黑客借助其軟件漏洞進(jìn)行網(wǎng)絡(luò)攻擊。CNNIC執(zhí)行主任李曉東建議，要從國(guó)家戰(zhàn)略高度進(jìn)一步提升對(duì)域名系統(tǒng)的重視程度。面對(duì)日益嚴(yán)峻的國(guó)際政治形勢(shì)和網(wǎng)絡(luò)安全態(tài)勢(shì)，亟須進(jìn)一步從國(guó)家層面加大投入，強(qiáng)化國(guó)家域名系統(tǒng)基礎(chǔ)設(shè)施的建設(shè)，在網(wǎng)絡(luò)帶寬、機(jī)房環(huán)境、運(yùn)行保障、應(yīng)急協(xié)調(diào)等方面確保充足的資源支撐。加大對(duì)芯片、操作系統(tǒng)、數(shù)據(jù)庫(kù)等基礎(chǔ)和關(guān)鍵信息技術(shù)攻關(guān)的支持力度，對(duì)重點(diǎn)領(lǐng)域和關(guān)鍵部門采用的進(jìn)口信息技術(shù)產(chǎn)品和系統(tǒng)進(jìn)行安全測(cè)評(píng)，推動(dòng)國(guó)產(chǎn)替代進(jìn)程，確保自主可控。

域名系統(tǒng)安全聯(lián)動(dòng)機(jī)制需進(jìn)一步完善。除了擴(kuò)充國(guó)家域名的絕對(duì)數(shù)量外，各相關(guān)方的配合聯(lián)動(dòng)同樣非常重要。要定期進(jìn)行黑客攻擊模擬演練，聘請(qǐng)專業(yè)的安全人員協(xié)助相關(guān)運(yùn)營(yíng)方進(jìn)行漏洞查明和修補(bǔ)。采取及時(shí)修補(bǔ)漏洞等手段加強(qiáng)信息安全防護(hù)，通過(guò)增加.CN頂級(jí)域名服務(wù)器數(shù)量、調(diào)整服務(wù)器部署模式等手段提升服務(wù)能力，通過(guò)增強(qiáng)在態(tài)勢(shì)感知、信息共享、應(yīng)急響應(yīng)等方面的能力打造多位一體的互聯(lián)網(wǎng)安全監(jiān)管體系。事先需要制定好應(yīng)急預(yù)案和應(yīng)對(duì)措施，如業(yè)務(wù)的自身調(diào)整、與運(yùn)營(yíng)商的溝通和應(yīng)急措施同步。當(dāng)DDoS攻擊發(fā)生時(shí)，需要多個(gè)部門間快速響應(yīng)，實(shí)施應(yīng)急方案和及時(shí)同步處理結(jié)果。

增強(qiáng)域名安全防范意識(shí)。國(guó)內(nèi)域名注冊(cè)商易名中國(guó)分析了近年來(lái)眾多域名安全事件，最終總結(jié)了域名被盜流程大致是：盜取郵箱賬號(hào)和盜取域名所在服務(wù)商賬號(hào)，登錄郵箱就可以找回在域名服務(wù)商注冊(cè)域名的密碼。通過(guò)這一流程不難看出，導(dǎo)致域名被盜的關(guān)鍵還是域名持有者的安全意識(shí)，除了增強(qiáng)域名安全防范意識(shí)之外，更為科學(xué)的驗(yàn)證信息流程也至關(guān)重要。

DDoS攻擊漸成主流攻擊方式

常見(jiàn)的域名安全問(wèn)題有域名信息更改、域名劫持、中間人攻擊等形式。DDoS攻擊，即分布式拒絕服務(wù)攻擊，是目前黑客經(jīng)常采用而難以防范的攻擊手段。黑客一般是通過(guò)制作僵尸網(wǎng)絡(luò)的方式攻擊域名，即在計(jì)算機(jī)中植入特定的惡意程序控制大量“肉雞”(指可以被黑客遠(yuǎn)程控制的機(jī)器)，然后通過(guò)相對(duì)集中的若干計(jì)算機(jī)向相對(duì)分散的大量“肉雞”發(fā)送攻擊指令，引發(fā)短時(shí)間內(nèi)流量劇增。知名科技公司Arbor Networks發(fā)布的《全球基礎(chǔ)設(shè)施安全報(bào)告》中指出，DDoS攻擊在規(guī)模上趨于穩(wěn)定，但卻更加復(fù)雜。同時(shí)，DDoS攻擊已經(jīng)成為高級(jí)持續(xù)威脅(APT)的一部分，而APT則成為服務(wù)提供商和企業(yè)的頭等大事。

針對(duì)應(yīng)用層的DDoS攻擊事件上升趨勢(shì)明顯。華為云安全中心的統(tǒng)計(jì)數(shù)據(jù)顯示，針對(duì)HTTP應(yīng)用的DDoS攻擊已經(jīng)占到攻擊總量的89.11%。在中國(guó)各地區(qū)，北京、上海、深圳的DDoS攻擊事件最多，占全國(guó)總量的81.42%。數(shù)據(jù)中心一直是DDoS攻擊的重災(zāi)區(qū)。在數(shù)據(jù)中心，排名前三的被攻擊業(yè)務(wù)分別為電子商務(wù)、在線游戲、DNS服務(wù)。尤其是針對(duì)DNS服務(wù)的攻擊影響面最廣，對(duì)互聯(lián)網(wǎng)基礎(chǔ)架構(gòu)所造成的威脅也最嚴(yán)重。而在WEB攻擊的主要目標(biāo)中，排名前三的被攻擊業(yè)務(wù)分別為電子商務(wù)、網(wǎng)頁(yè)游戲、在線金融業(yè)務(wù)。針對(duì)數(shù)據(jù)中心的網(wǎng)絡(luò)層DDoS攻擊則直接威脅到網(wǎng)絡(luò)基礎(chǔ)設(shè)施(如防火墻、IPS、負(fù)載均衡設(shè)備)，而應(yīng)用層DDoS攻擊則威脅著在線業(yè)務(wù)。頻繁的DDoS攻擊導(dǎo)致數(shù)據(jù)中心運(yùn)營(yíng)成本增高，而帶寬的可用性降低則導(dǎo)致客戶滿意度下降甚至流失。

DDoS攻擊呈現(xiàn)新趨勢(shì)。今年3月份針對(duì)國(guó)際公司Spamhaus的300G超大流量的DDoS攻擊，攻擊者主要采取的手法就是DNS放大攻擊，也叫反射攻擊技術(shù)(DrDoS)，這種攻擊技術(shù)的特點(diǎn)就是利用互聯(lián)網(wǎng)上開(kāi)放的DNS遞歸服務(wù)器作為攻擊源，利用“反彈”手法攻擊目標(biāo)機(jī)器。在DNS反射攻擊手法中，假設(shè)DNS請(qǐng)求報(bào)文的數(shù)據(jù)部分長(zhǎng)度約為40字節(jié)，而響應(yīng)報(bào)文數(shù)據(jù)部分的長(zhǎng)度可能會(huì)達(dá)到4000字節(jié)，這意味著利用此手法能夠產(chǎn)生約100倍的放大效應(yīng)。由于這種攻擊模式成本低、效果好、追蹤溯源困難，而且由于脆弱的DNS體系具有開(kāi)放式特點(diǎn)，難以徹底杜絕。

域名安全涉及的是政治與金錢

政治動(dòng)機(jī)、經(jīng)濟(jì)犯罪、惡意競(jìng)爭(zhēng)依然是黑客發(fā)起DDoS攻擊的主要目的。由于幫助電子郵箱服務(wù)供應(yīng)商過(guò)濾垃圾電子郵件和不受歡迎內(nèi)容，Spamhaus的行為招致黑客的報(bào)復(fù)性攻擊，他們攻擊了Spamhaus的域名系統(tǒng)(DNS)服務(wù)器。據(jù)悉，此次攻擊事件的嫌疑人、荷蘭黑客斯文˙奧拉夫˙坎普赫伊斯已經(jīng)被逮捕。據(jù)中國(guó)互聯(lián)網(wǎng)絡(luò)信息中心稱，8月25日凌晨，國(guó)家域名解析節(jié)點(diǎn)受到拒絕服務(wù)攻擊，導(dǎo)致部分網(wǎng)站訪問(wèn)緩慢或中斷。這是.CN域名近些年來(lái)發(fā)生的最大一次網(wǎng)絡(luò)攻擊事件，攻擊流量遠(yuǎn)超歷史峰值，可能是有組織網(wǎng)絡(luò)攻擊行為。安全公司Prevendra的CEO伯蓋斯稱，此次中國(guó)互聯(lián)網(wǎng)攻擊的肇事者“可能來(lái)自中國(guó)國(guó)內(nèi)的犯罪集團(tuán)”。9月24號(hào)，CNNIC和工信部揪出了本次攻擊事件的始作俑者——一名來(lái)自山東青島的黑客。據(jù)調(diào)查發(fā)現(xiàn)，該黑客本意是要攻擊一個(gè)游戲私服網(wǎng)站，使其癱瘓，后來(lái)他為了更快達(dá)到這個(gè)目的，直接對(duì).CN的根域名服務(wù)器進(jìn)行了DDoS攻擊，發(fā)出的攻擊流量堵塞了.CN根服務(wù)器的出口帶寬，致使.CN根域名服務(wù)器的解析故障，使得大規(guī)模的.CN域名無(wú)法正常訪問(wèn)。

敲詐勒索催生黑色產(chǎn)業(yè)鏈。自國(guó)內(nèi)的互聯(lián)網(wǎng)事業(yè)興起以來(lái)，國(guó)內(nèi)有一些常年進(jìn)行DDoS攻擊的組織或個(gè)人，脅迫某些“私服”游戲的運(yùn)營(yíng)團(tuán)隊(duì)并收取“保護(hù)費(fèi)”，如果不合作便采取DDoS暴力攻擊，使其無(wú)法正常運(yùn)營(yíng)。而這些“私服”的運(yùn)營(yíng)團(tuán)隊(duì)本身業(yè)務(wù)就涉及侵權(quán)，所以他們?cè)谟龅紻DoS威脅時(shí)絕不敢報(bào)警或維權(quán)，往往被迫接受。這種惡性循環(huán)的結(jié)果就是這些網(wǎng)絡(luò)中的惡意脅迫越來(lái)越肆無(wú)忌憚，這些從事DDoS攻擊商業(yè)行為的組織或個(gè)人也演變成了各式各樣的“網(wǎng)絡(luò)黑幫”，各式黑色產(chǎn)業(yè)鏈也層出不窮。由于當(dāng)今互聯(lián)網(wǎng)上DDoS攻擊的門檻已經(jīng)越來(lái)越低，雇主可以購(gòu)買DDoS攻擊服務(wù)，攻擊可指定時(shí)間、指定流量、指定攻擊效果?？偟膩?lái)說(shuō)，同行業(yè)間的惡意競(jìng)爭(zhēng)是導(dǎo)致DDoS攻擊愈演愈烈的最大原因，同時(shí)被攻擊后定位攻擊者所花費(fèi)的成本較高也是這類事件層出不窮的重要原因。

2013年域名安全事件回顧

隨著域名系統(tǒng)作為互聯(lián)網(wǎng)中樞神經(jīng)系統(tǒng)的重要作用日益凸顯和互聯(lián)網(wǎng)應(yīng)用的日益廣泛，域名安全事件也呈現(xiàn)多發(fā)趨勢(shì)。近年來(lái)，微軟、谷歌、《媒體》、Twitter、騰訊、百度、土豆網(wǎng)、大眾點(diǎn)評(píng)網(wǎng)等國(guó)內(nèi)外知名網(wǎng)站域名相繼被攻擊、被劫持，小站長(zhǎng)、米農(nóng)域名等被盜事件也比比皆是?；仡?013年，重大域名安全事件不絕于耳，東西方皆無(wú)寧日。

有史以來(lái)最大的DDoS攻擊。2013年3月16日至3月27日，歐洲反垃圾郵件組織Spamhaus遭受了有史以來(lái)最大的DDoS(分布式拒絕服務(wù))攻擊。攻擊強(qiáng)度達(dá)到300Gbps。《媒體》將其稱為“前所未有的大規(guī)模網(wǎng)絡(luò)攻擊”。

美多家網(wǎng)站遭敘利亞電子軍攻擊。今年4月，美聯(lián)社的Twitter賬號(hào)被入侵，并給金融市場(chǎng)造成短暫動(dòng)蕩，敘利亞電子軍(SEA)聲稱那次攻擊是他們干的。8月28日，包括Twitter、《媒體》、《赫芬頓郵報(bào)》、CNN、《華盛頓郵報(bào)》旗下網(wǎng)站在內(nèi)的多家美國(guó)媒體與網(wǎng)站出現(xiàn)宕機(jī)，疑遭SEA攻擊。《媒體》的網(wǎng)站無(wú)法登錄，頁(yè)面顯示的信息是“網(wǎng)絡(luò)錯(cuò)誤(DNS)服務(wù)器無(wú)法連接”，這是DDoS攻擊的一個(gè)特點(diǎn)。

臺(tái)菲爆發(fā)黑客大戰(zhàn)。5月10日，臺(tái)灣黑客對(duì)菲律賓政府網(wǎng)站發(fā)起攻擊，黑客利用DDoS攻擊癱瘓多個(gè)菲律賓政府網(wǎng)站。但隨即引發(fā)菲律賓黑客以同樣方式還擊，馬英九辦公室、經(jīng)濟(jì)部門等機(jī)構(gòu)部門網(wǎng)站遭到攻擊。13日，臺(tái)灣黑客組織“匿名者-臺(tái)灣分部”取得DNS控制權(quán)，全面控制菲國(guó)政府網(wǎng)站、電子郵件，并發(fā)表聲明，要求菲律賓政府道歉、嚴(yán)懲兇手。最終，菲律賓黑客公開(kāi)求饒：“請(qǐng)對(duì)準(zhǔn)菲政府，別再搞我們了。”

DNS中毒攻擊入侵IT網(wǎng)站。5月，Websense公司成功檢測(cè)到一起發(fā)生在肯尼亞的DNS中毒攻擊事件，這次攻擊以包括谷歌、Bing、LinkedIn等在內(nèi)的知名信息技術(shù)網(wǎng)站為攻擊目標(biāo)。在此次攻擊事件中，被攻擊者利用的DNS記錄指向一個(gè)關(guān)于黑客信息的頁(yè)面，將網(wǎng)站瀏覽用戶引至惡意網(wǎng)站。這次DNS攻擊是所謂的孟加拉黑客集團(tuán)發(fā)起的一次大規(guī)模攻擊。

土豆網(wǎng)、大眾點(diǎn)評(píng)網(wǎng)域名遭劫。5月11日，白帽子工程師陳再勝在烏云網(wǎng)站上報(bào)告了土豆網(wǎng)出現(xiàn)漏洞，隨后，土豆網(wǎng)遭遇域名被劫。6月17日，北京地區(qū)用戶訪問(wèn)大眾點(diǎn)評(píng)網(wǎng)域名的時(shí)候會(huì)被跳轉(zhuǎn)到天貓的促銷頁(yè)面，該訪問(wèn)異常狀態(tài)一直持續(xù)到6月18日凌晨才逐漸恢復(fù)。本次網(wǎng)站故障是由于大眾點(diǎn)評(píng)網(wǎng)的域名服務(wù)商新網(wǎng)網(wǎng)站程序存在漏洞，導(dǎo)致新網(wǎng)的其他注冊(cè)用戶可以修改任意新網(wǎng)注冊(cè)域名的IP指向。

LinkedIn網(wǎng)站域名遭劫持。6月20日，全球最大的職業(yè)社交網(wǎng)站LinkedIn發(fā)生故障，已確認(rèn)為域名服務(wù)器(DNS)錯(cuò)誤。分析稱，LinkedIn網(wǎng)站的DNS可能被挾持，其域名會(huì)跳轉(zhuǎn)至其他IP地址，懷疑遭到黑客攻擊。

谷歌公司巴勒斯坦網(wǎng)站遭遇攻擊。8月，谷歌公司在巴勒斯坦的Google網(wǎng)站遭到了黑客的襲擊。當(dāng)用戶訪問(wèn)google.ps之后，他們會(huì)被直接帶到另外一個(gè)不同的網(wǎng)站。

荷蘭域名服務(wù)器失守。8月12日，黑客成功進(jìn)入SIDN的DRS(域名登記系統(tǒng))，有效地把SIDN的DRS流量導(dǎo)向一個(gè)外部域名服務(wù)器。荷蘭安全公司Fox-IT認(rèn)為，這次的侵入影響到數(shù)千個(gè)域名，毫無(wú)戒備的用戶訪問(wèn)受影響域名時(shí)會(huì)被轉(zhuǎn)到一個(gè)“正在修建中”的網(wǎng)頁(yè)上，網(wǎng)頁(yè)則同時(shí)會(huì)通過(guò)一個(gè)iframe送出惡意軟件。惡意軟件是一個(gè)黑洞(Black Hole)攻擊套件，會(huì)通過(guò)Java和PDF的漏洞給自己取得電腦訪問(wèn)權(quán)。

.CN域名遭受史上最大攻擊。2013年8月25日凌晨，.CN域名出現(xiàn)大范圍解析故障，.CN的根域授權(quán)DNS出現(xiàn)全線故障，導(dǎo)致大面積.CN域名無(wú)法解析。經(jīng)中國(guó)互聯(lián)網(wǎng)絡(luò)信息中心(CNNIC)確認(rèn)，國(guó)家域名解析節(jié)點(diǎn)遭受到有史以來(lái)規(guī)模最大的拒絕服務(wù)攻擊，攻擊影響了超過(guò)800萬(wàn)個(gè)互聯(lián)網(wǎng)用戶在中國(guó)域名.CN注冊(cè)的網(wǎng)站的訪問(wèn)。