北京儿童插座价格联盟

美国互联网瘫痪事件反思,域名解析亟需高水平联动

楼主:腾讯研究院 时间:2018-05-26 07:24:42

文/ 张建川 北京域名研究中心




发生于美国当地时间10月21日的由DDoS攻击导致的大范围互联网瘫痪事件不仅在美国国内引发震荡,也吸引了全球互联网行业的高度关注。美国国土安全部和联邦调查局已经介入调查事件起因。此次攻击的原因是什么,众说纷纭,有一些猜测,也有阴谋论的论调。在没有确切证据的情况下,我们暂不必去深究哪种说法更可靠。

 

不论攻击背后的动机是什么,此事件最值得中国互联网社群包括政府主管部门关心的核心问题是:如果今后有类似的攻击发生在中国,我们该如何应对?


互联网体系的三层结构


要理解域名系统(DNS)的重要性,需要理解互联网体系的三层结构。互联网的最上层是丰富多彩的互联网应用,最底层是物理基础设施(连接线路、设备等),域名和IP地址等互联网关键资源(Critical Internet Resources)则作为逻辑基础设施位于其间,发挥着承上启下的关键作用。
 
域名系统的主要功能就是将不便于记忆的IP地址,如121.194.0.239“翻译”成人脑能够识别和记忆的自然语言标识,如sina.com.cn。绝大多数互联网应用必须先查询域名系统之后才能进行数据通信和互联互通。如果把互联网比作人体,那么域名系统相当于互联网的中枢神经系统。目前,全球域名总数超过3亿,域名服务器数量超过1000万台,每天提供千亿次的查询服务。如果域名系统瘫痪,即使终端设备和通信链路正常工作,互联网应用之间仍无法正常通信。
 
域名系统的地位和作用,注定了对DNS的攻击可以达到以点制面、击一发而动全身的效果,且具有投资小、见效快的优点,几乎每次DNS运行故障或攻击得手,都能引发大范围的互联网瘫痪。因此DNS自其诞生之日起,就一直是网络攻击的重点目标。


域名解析服务


域名的产业链条比较长,涉及众多环节和不同的服务机构。抛开细节,可以理解域名的用途主要有两个:注册和解析。很多人注册域名,是为了保护域名不被别人使用或者今后待价而沽,不一定真的使用。解析则是真的开始使用域名,包括建立网站、开通email服务等,都要求域名真正开始解析。解析就是上面提到的把域名翻译成IP地址的过程。
 
通常情况下, 用户在用敲入一个域名(www.example.com)去访问这个网站时,用户的计算机一般会通过一个本地的域名解析服务器(Resolver Server,也称递归服务器)通过递归往复地查询根服务器(Root)、顶级域名(TLD)服务器、二级域名(SLD)服务器最终获得目标服务器的IP地址。

 



从这个过程可以看出,负责域名解析的服务器实际上可以分成两类:一类叫递归解析服务器,一类叫权威解析服务器。递归服务器主要由ISP负责,它负责网络接入终端的DNS查询。通俗说,就是用户向它发出访问网站的请求,它给用户反馈查询的结果。而权威解析服务器就是用户要访问的那个特定域名的NS记录所设置的DNS服务器。它只对自己所有的域名进行权威解析,对不属于自己的域名都统统不管。需要强调的是,递归服务器并不是每次查询都去访问权威服务器,它从权威服务器获取数据后可以缓存在本地,因此,递归服务器也叫做缓存服务器。当然,缓存是有时效性的。过期以后,递归会再次访问权威服务器获取数据。

 
权威解析的实现主要有两种方式。大部分人都使用域名注册服务机构提供的免费服务。绝大部分的域名注册商都提供打包服务,在注册域名后提供建站、主机托管和邮箱服务,极大方便了用户。另一种实现方式则是通过公共域名解析服务提供商提供更专业的域名解析。通常这类企业都不做域名注册(或者其主业不是域名注册),而专注于提供域名解析服务。著名的如谷歌公司的8.8.8.8,Dyn公司等。国内的DNSpod,阿里云、ZDNS等也提供类似的服务。从业务模式上看这些服务有收费的,也有免费的。
 
在现有的DNS体系架构下,权威和递归解析服务器之间的关系具有以下几个特点:
 

1)DNS权威服务器的IP地址对全网公开,除递归服务器外,所有人都可以公开获知此IP地址,因此也就无法将DNS访问流量限制在递归服务器层面。


2)DNS权威和递归之间的数据同步是单向的,全球任意递归服务器都可以来pull数据,权威服务器不能中断这一来向的访问。


3)如果某条缓存数据到达定期更新时间,但此时递归服务系统无法访问权威服务系统(包括DDoS攻击状态下的拥塞原因)获取该数据的最新状态,旧数据依然会被删除,用户请求失败。这个机制放大了权威服务遭受攻击时对递归服务器的负面影响和压力。因为很多所谓“旧数据”与“新数据”并无实质差别,其实也不影响用户的访问体验。


美国断网:Dyn公司受到攻击


本次攻击的核心受害者是位于New Hampshire的域名服务商 Dyn公司。Dyn是业界领先的域名解析服务提供商,Reddit、CNN、Twitter、 Netflix等许多著名公司的域名解析都托管在该公司。黑客针对Dyn的攻击从早上7点左右一直持续到当天下午6时,共发起了三拨攻击。攻击的方法是分布式拒绝服务distributed denial of service,简称DDoS攻击,即通过大流量的垃圾访问迅速造成堵塞使得服务器瘫痪。
 
DDoS攻击并不是最新出现的“黑科技”,而是相当常见的网络攻击方式之一。然而,根据外电报告,本次攻击向Dyn的服务器发送了高达1.2T bit/s的流量,可能是自有互联网以来最大的DDoS攻击。Dyn公司靠一己之力完全无法招架。历史上黑客组织也曾利用DDoS的手法瘫痪过索尼和Facebook等公司的网站。然而,黑客这次巧妙地绕过了单独攻击各个网站的方式,而是攻击DNS的服务商。这种情况下,一旦Dyn倒下,在这个平台上有关网站及相关域名服务都会被殃及,而无论这些网站各自自己是如何布防DDoS的。可谓是一箭多雕。
 
目前披露出来的信息表明,这是一次有组织的非常娴熟的攻击,主要源头是Mirai僵尸网络控制的IoT(物联网)设备发起。Mirai僵尸网络,是通过暴力破解物联网设备(很多人购买物联网设备之后并不修改固定密码,而厂商基本上都使用的是熟知的固定密码,以至于相当数量的智能硬件携带非常多的漏洞,很容易被攻破)而把这些设备都当成发起攻击的武器。Mirai的源代码已经开源,导致其很容易被黑客利用。也就是说,分布在各家各户的网络摄像头、路由器、游戏机等都被黑客利用成为发起攻击的利器。
 
Dyn公司的遭遇并不是孤例,此前国内外也发生过数起类似的事件。下表是近几年来对互联网产生较大影响的DNS安全攻击事件:


  • 2009年5月19日南方六省断网事件。游戏私服私斗打挂DNSPod,殃及暴风影音域名解析,进一步殃及电信运营商本地DNS服务器,从而爆发六省大规模断网的事故。


  • 2010年1月12日百度域名劫持事件。baidu.com的NS记录被伊朗网军(Iranian Cyber Army)劫持,然后导致www.baidu.com无法访问。事件持续时间8小时。


  • 2011年9月5日,包括微软、宏碁、沃达丰和UPS在内的众多知名网站都遭遇了DNS劫持。


  • 2013年8月25日CN域被攻击事件。CN域DNS受到DDoS攻击而导致所有CN域名无法解析。


教训及建议


互联网30年的发展日新月异,作为最核心最基础的支撑服务之一,域名系统在互联网体系中的关键地位其实一直没有变化。但针对抗攻击问题,除了在工程层面加大DNS节点数量和服务规模, DNS协议层面其实并没有大的改进。


今天,发动DDoS规模攻击的成本越来越低,面对呈几何级增长的攻击规模,DNS系统算数级增长的处理能力杯水车薪。坦率地讲,其实没有任何一个 DNS运行机构能够单独应对这样的攻击。在这种情况下,政府出面,在国家级层面构建高水平的应急协调联动机制,整合运营商和域名解析服务提供商的力量,通过技术手段的改进和协调联动机制的建立应对今后可能发生的类似问题。具体而言,可以考虑从以下几个方面入手:
 
1、在全行业提高对DNS基础性和重要性以及薄弱性的认识,包括顶级域名注册管理机构、顶级域名后台托管机构、权威域名解析服务机构、递归解析服务机构、电信运营商等在内的各个部门和环节需要加深沟通和协作,发挥行业整体协调力量,切忌单打独斗。
 
2、有必要将顶级域名服务系统、重要权威域名服务系统、主要递归服务系统纳入我国现有的互联网应急协调处理机制中去。
 
3、发挥电信运营商、小区宽带等在最后一公里为用户提供递归服务的机构作用,在递归服务层面建立数据备份和应急缓存替换机制。无论权威是否遭受攻击,终端用户的合法访问实际是由递归来进行响应的。
 
4、抓紧研发和部署高性能的专有域名服务设备也有利于提升域名服务的处理能力和应急调度能力。近年来我国已出现了一批有别于Linux服务器+开源DNS软件的专业域名设备,这些更专业的设备除了能够提升域名查询性能外,更增加了数据灾备,调度切换等功能,有助于提高安全管理的效率。


微信名:腾讯研究院

微信ID:cyberlawrc

网聚智慧 连接未来
研究合作:tencentresearch@qq.com

长按右侧二维码关注


公众号搜索“腾讯研究院”收听研究院及各子中心账号

朋友 图片 表情 草稿箱
请遵守社区公约言论规则,不得违反国家法律法规