美國當(dāng)?shù)貢r間10月21日，全世界13臺路由DNS服務(wù)器
（Route Server）同時受到了DDoS（分布式拒絕服務(wù)）攻擊。值得慶幸的是并沒有釀成嚴(yán)重事
故。但此事再次表明，在因特網(wǎng)上目前仍舊存在很多充當(dāng)DDoS攻擊幫兇的機器。每臺機器的預(yù)防
策略的不完善就有可能威脅到因特網(wǎng)賴以存在的基礎(chǔ)。因此在本欄目中，筆者在介紹這次事件的同
時，將向大家解釋一下預(yù)防此類事件發(fā)生的措施。


被瞄準(zhǔn)的路由服務(wù)器



對于本欄目的讀者來說，勿需再解釋DNS服務(wù)器的重要性。
為了使用Web和郵件等各種服務(wù)，解決名稱問題的DNS服務(wù)器是不可缺少的。其中，采用分級結(jié)構(gòu)
的DNS服務(wù)器主干部分的路由服務(wù)器如果無法正常運行，那么因特網(wǎng)就會陷入癱瘓。此次攻擊的目
標(biāo)就是這種路由服務(wù)器。


路由服務(wù)器在全球只有13臺。如果這些機器全部陷入癱
瘓，那么整個因特網(wǎng)都將陷入癱瘓。在13臺路由服務(wù)器中，名字分別為“A”至“M”，其中10臺
設(shè)置在美國，另外各有一臺設(shè)置于英國、瑞典和日本。下表是這些機器的管理單位、設(shè)置地點及最
新的IP地址。其中，IP地址等參考了“named.root”文件。


名稱管理單位及設(shè)置地點IP地址


A INTERNIC.NET（美國，弗吉尼亞州） 198.41.0.4


B 美國信息科學(xué)研究所（美國，加利弗尼亞州）
128.9.0.107


C PSINet公司（美國，弗吉尼亞州） 192.33.4.12


D 馬里蘭大學(xué)（美國馬里蘭州） 128.8.10.90


E 美國航空航天管理局[NASA]（美國加利弗尼亞州）
192.203.230.10


F 因特網(wǎng)軟件聯(lián)盟（美國加利弗尼亞州） 192.5.5.241


G 美國國防部網(wǎng)絡(luò)信息中心（美國弗吉尼亞州）
192.112.36.4


H 美國陸軍研究所（美國馬里蘭州） 128.63.2.53


I Autonomica公司（瑞典，斯德哥爾摩）
192.36.148.17


J VeriSign公司（美國，弗吉尼亞州） 192.58.128.30


K RIPE NCC（英國，倫敦） 193.0.14.129


L IANA （美國，弗吉尼亞州） 198.32.64.12


M WIDE Project（日本，東京） 202.12.27.33


本次攻擊雖然是以上述全部13臺機器為對象的，但受影響
最大的是其中的9臺。在這9臺中，有7臺路由服務(wù)器在被攻擊過程中，無法對用戶請求作出正常答
復(fù)。剩下的2臺則只能斷斷續(xù)續(xù)地做出響應(yīng)。


盡管如此，普通用戶基本上沒有受到任何影響。其原因如
下：


·并不是所有的路由服務(wù)器全部受到影響


·攻擊在短時間內(nèi)便告結(jié)束


·由于攻擊比較單純，因此易于采取相應(yīng)措施


總之，實際上相關(guān)技術(shù)人員一致認(rèn)為此次攻擊根本不值得
去小題大做。


不過，如果僅從此次事件的“后果”來分析，就認(rèn)為“不
會所有的路由服務(wù)器都受到攻擊，因此可以放心”，或者“路由服務(wù)器產(chǎn)生故障也與自己沒有關(guān)
系”，還為時尚早。此次事故的發(fā)生原因不在于路由服務(wù)器本身，而在于因特網(wǎng)上存在很多脆弱的
機器。


罪魁禍?zhǔn)资且蛱鼐W(wǎng)上脆弱的機器


請允許筆者再重復(fù)一下，路由服務(wù)器此次受到的攻擊是
DDoS攻擊。這就是說，通過向因特網(wǎng)上脆弱的機器中植入DDoS客戶端程序（如特洛伊木馬），然
后同時向作為攻擊對象的機器發(fā)送信息包，從而干擾對象機器的服務(wù)（據(jù)稱此次的攻擊使得路由服
務(wù)器所接收到的信息量達到了平常的30～40倍）。


此次事件絕對不是因為路由DNS服務(wù)器太脆弱而導(dǎo)致的。其
原因是因特網(wǎng)上被植入DDoS客戶端程序的機器太多。因此這次事件對普通服務(wù)器管理員來說，也
不無關(guān)系。


機器的脆弱性被利用來植入DDoS客戶端程序已不是什么新
鮮事。目前已經(jīng)公開的、由供應(yīng)商提供補丁程序和修正版本的脆弱性就有很多。但正是因為沒有針
對這些脆弱性采取措施，才導(dǎo)致了路由服務(wù)器遭受攻擊。


除服務(wù)器管理員外，對于普通用戶來說，也并非事不關(guān)
已。目前基于ADSL和CATV的永久網(wǎng)絡(luò)接入已經(jīng)非常普及，由此客戶端機器也完全有可能變成實施
攻擊的幫兇。因此作為防止脆弱性的措施，最重要的是，不僅要防止自身的機器免受入侵，還要防
止成為別人實施攻擊的幫兇，說得嚴(yán)重一點，也是為了自身能夠順利地連續(xù)使用因特網(wǎng)。


盡管此次事件并不是所有路由服務(wù)器都受到了攻擊，但今
后如果這種情況——在因特網(wǎng)上到處都有脆弱的機器——繼續(xù)下去的話，那么就極有可能因更“強
大的”攻擊方法的出現(xiàn)，而導(dǎo)致異常嚴(yán)重的事態(tài)。認(rèn)識到這一點后，每臺機器就必須采取防止脆弱
性的措施。希望大家把預(yù)防脆弱性措施看成是將機器接入因特網(wǎng)時所必須承擔(dān)的責(zé)任。


日美兩國應(yīng)對措施截然不同


最后，筆者想介紹一下在此次事件中，日美兩國在應(yīng)對方
面表現(xiàn)出的不同態(tài)度。在美國，由于考慮到此次攻擊可能是服務(wù)器恐怖襲擊，因此美國白宮和FBI
等正在對事件進行調(diào)查。當(dāng)然，除了擔(dān)心服務(wù)器遭受恐怖襲擊外，另一個原因是13臺中的10臺集
中在美國。


而在日本，并沒有見到任何有關(guān)政府采取行動的報告，而
只是全權(quán)委托WIDE Project來負(fù)責(zé)調(diào)查此事。另外，日本國內(nèi)的部分專家還警告說：“現(xiàn)在大家
對服務(wù)器恐怖襲擊表現(xiàn)得過于神經(jīng)過敏”。


不管此次攻擊到底是不是服務(wù)器恐怖襲擊，每個管理員和
用戶應(yīng)該做的是，采取措施不讓自己的機器成為別人實施攻擊的幫兇。


摘自日經(jīng)BP社