美國(guó)當(dāng)?shù)貢r(shí)間10月21日，全世界13臺(tái)路由DNS服務(wù)器
（Route Server）同時(shí)受到了DDoS（分布式拒絕服務(wù)）攻擊。值得慶幸的是并沒(méi)有釀成嚴(yán)重事
故。但此事再次表明，在因特網(wǎng)上目前仍舊存在很多充當(dāng)DDoS攻擊幫兇的機(jī)器。每臺(tái)機(jī)器的預(yù)防
策略的不完善就有可能威脅到因特網(wǎng)賴(lài)以存在的基礎(chǔ)。因此在本欄目中，筆者在介紹這次事件的同
時(shí)，將向大家解釋一下預(yù)防此類(lèi)事件發(fā)生的措施。


被瞄準(zhǔn)的路由服務(wù)器



對(duì)于本欄目的讀者來(lái)說(shuō)，勿需再解釋DNS服務(wù)器的重要性。
為了使用Web和郵件等各種服務(wù)，解決名稱(chēng)問(wèn)題的DNS服務(wù)器是不可缺少的。其中，采用分級(jí)結(jié)構(gòu)
的DNS服務(wù)器主干部分的路由服務(wù)器如果無(wú)法正常運(yùn)行，那么因特網(wǎng)就會(huì)陷入癱瘓。此次攻擊的目
標(biāo)就是這種路由服務(wù)器。


路由服務(wù)器在全球只有13臺(tái)。如果這些機(jī)器全部陷入癱
瘓，那么整個(gè)因特網(wǎng)都將陷入癱瘓。在13臺(tái)路由服務(wù)器中，名字分別為“A”至“M”，其中10臺(tái)
設(shè)置在美國(guó)，另外各有一臺(tái)設(shè)置于英國(guó)、瑞典和日本。下表是這些機(jī)器的管理單位、設(shè)置地點(diǎn)及最
新的IP地址。其中，IP地址等參考了“named.root”文件。


名稱(chēng)管理單位及設(shè)置地點(diǎn)IP地址


A INTERNIC.NET（美國(guó)，弗吉尼亞州） 198.41.0.4


B 美國(guó)信息科學(xué)研究所（美國(guó)，加利弗尼亞州）
128.9.0.107


C PSINet公司（美國(guó)，弗吉尼亞州） 192.33.4.12


D 馬里蘭大學(xué)（美國(guó)馬里蘭州） 128.8.10.90


E 美國(guó)航空航天管理局[NASA]（美國(guó)加利弗尼亞州）
192.203.230.10


F 因特網(wǎng)軟件聯(lián)盟（美國(guó)加利弗尼亞州） 192.5.5.241


G 美國(guó)國(guó)防部網(wǎng)絡(luò)信息中心（美國(guó)弗吉尼亞州）
192.112.36.4


H 美國(guó)陸軍研究所（美國(guó)馬里蘭州） 128.63.2.53


I Autonomica公司（瑞典，斯德哥爾摩）
192.36.148.17


J VeriSign公司（美國(guó)，弗吉尼亞州） 192.58.128.30


K RIPE NCC（英國(guó)，倫敦） 193.0.14.129


L IANA （美國(guó)，弗吉尼亞州） 198.32.64.12


M WIDE Project（日本，東京） 202.12.27.33


本次攻擊雖然是以上述全部13臺(tái)機(jī)器為對(duì)象的，但受影響
最大的是其中的9臺(tái)。在這9臺(tái)中，有7臺(tái)路由服務(wù)器在被攻擊過(guò)程中，無(wú)法對(duì)用戶(hù)請(qǐng)求作出正常答
復(fù)。剩下的2臺(tái)則只能斷斷續(xù)續(xù)地做出響應(yīng)。


盡管如此，普通用戶(hù)基本上沒(méi)有受到任何影響。其原因如
下：


·并不是所有的路由服務(wù)器全部受到影響


·攻擊在短時(shí)間內(nèi)便告結(jié)束


·由于攻擊比較單純，因此易于采取相應(yīng)措施


總之，實(shí)際上相關(guān)技術(shù)人員一致認(rèn)為此次攻擊根本不值得
去小題大做。


不過(guò)，如果僅從此次事件的“后果”來(lái)分析，就認(rèn)為“不
會(huì)所有的路由服務(wù)器都受到攻擊，因此可以放心”，或者“路由服務(wù)器產(chǎn)生故障也與自己沒(méi)有關(guān)
系”，還為時(shí)尚早。此次事故的發(fā)生原因不在于路由服務(wù)器本身，而在于因特網(wǎng)上存在很多脆弱的
機(jī)器。


罪魁禍?zhǔn)资且蛱鼐W(wǎng)上脆弱的機(jī)器


請(qǐng)?jiān)试S筆者再重復(fù)一下，路由服務(wù)器此次受到的攻擊是
DDoS攻擊。這就是說(shuō)，通過(guò)向因特網(wǎng)上脆弱的機(jī)器中植入DDoS客戶(hù)端程序（如特洛伊木馬），然
后同時(shí)向作為攻擊對(duì)象的機(jī)器發(fā)送信息包，從而干擾對(duì)象機(jī)器的服務(wù)（據(jù)稱(chēng)此次的攻擊使得路由服
務(wù)器所接收到的信息量達(dá)到了平常的30～40倍）。


此次事件絕對(duì)不是因?yàn)槁酚?strong>DNS服務(wù)器太脆弱而導(dǎo)致的。其
原因是因特網(wǎng)上被植入DDoS客戶(hù)端程序的機(jī)器太多。因此這次事件對(duì)普通服務(wù)器管理員來(lái)說(shuō)，也
不無(wú)關(guān)系。


機(jī)器的脆弱性被利用來(lái)植入DDoS客戶(hù)端程序已不是什么新
鮮事。目前已經(jīng)公開(kāi)的、由供應(yīng)商提供補(bǔ)丁程序和修正版本的脆弱性就有很多。但正是因?yàn)闆](méi)有針
對(duì)這些脆弱性采取措施，才導(dǎo)致了路由服務(wù)器遭受攻擊。


除服務(wù)器管理員外，對(duì)于普通用戶(hù)來(lái)說(shuō)，也并非事不關(guān)
已。目前基于ADSL和CATV的永久網(wǎng)絡(luò)接入已經(jīng)非常普及，由此客戶(hù)端機(jī)器也完全有可能變成實(shí)施
攻擊的幫兇。因此作為防止脆弱性的措施，最重要的是，不僅要防止自身的機(jī)器免受入侵，還要防
止成為別人實(shí)施攻擊的幫兇，說(shuō)得嚴(yán)重一點(diǎn)，也是為了自身能夠順利地連續(xù)使用因特網(wǎng)。


盡管此次事件并不是所有路由服務(wù)器都受到了攻擊，但今
后如果這種情況——在因特網(wǎng)上到處都有脆弱的機(jī)器——繼續(xù)下去的話(huà)，那么就極有可能因更“強(qiáng)
大的”攻擊方法的出現(xiàn)，而導(dǎo)致異常嚴(yán)重的事態(tài)。認(rèn)識(shí)到這一點(diǎn)后，每臺(tái)機(jī)器就必須采取防止脆弱
性的措施。希望大家把預(yù)防脆弱性措施看成是將機(jī)器接入因特網(wǎng)時(shí)所必須承擔(dān)的責(zé)任。


日美兩國(guó)應(yīng)對(duì)措施截然不同


最后，筆者想介紹一下在此次事件中，日美兩國(guó)在應(yīng)對(duì)方
面表現(xiàn)出的不同態(tài)度。在美國(guó)，由于考慮到此次攻擊可能是服務(wù)器恐怖襲擊，因此美國(guó)白宮和FBI
等正在對(duì)事件進(jìn)行調(diào)查。當(dāng)然，除了擔(dān)心服務(wù)器遭受恐怖襲擊外，另一個(gè)原因是13臺(tái)中的10臺(tái)集
中在美國(guó)。


而在日本，并沒(méi)有見(jiàn)到任何有關(guān)政府采取行動(dòng)的報(bào)告，而
只是全權(quán)委托WIDE Project來(lái)負(fù)責(zé)調(diào)查此事。另外，日本國(guó)內(nèi)的部分專(zhuān)家還警告說(shuō)：“現(xiàn)在大家
對(duì)服務(wù)器恐怖襲擊表現(xiàn)得過(guò)于神經(jīng)過(guò)敏”。


不管此次攻擊到底是不是服務(wù)器恐怖襲擊，每個(gè)管理員和
用戶(hù)應(yīng)該做的是，采取措施不讓自己的機(jī)器成為別人實(shí)施攻擊的幫兇。


摘自日經(jīng)BP社