中科院之声

中国科学院官方账号~昨天 14:56

一、谶曰

小白：东哥，你电脑技术那么厉害，快来帮我看看，很多原本正常的网站变得不稳定，时不时就打不开，“找不到网页”，反馈给运营商却找不到什么原因，我的电脑怎么了啊？

大东：我来看看。以你目前电脑的状况来看，我认为是你电脑的DNS出现故障了。

小白：啊？DNS故障？DNS是什么啊？

大东：DNS是万维网上作为域名和IP地址相互映射的一个分布式数据库，能够使用户更方便地访问互联网，而不用去记住能够被机器直接读取的IP数串。通过域名，最终得到该域名对应的IP地址的过程叫域名解析。

  图片来自网络

小白：感觉有点复杂啊！东哥，你给我详细讲讲DNS通常会出现哪些方面的问题呢？

大东：问题有很多哦！比如，针对域名系统的恶意攻击会造成域名解析瘫痪，对域名劫持会修改注册信息、劫持解析结果，甚至还会有国家性质的域名系统安全事件：“.ly”域名瘫痪、“.af”域名的域名管理权变更。

小白：感觉有些严重，可是这些我都没听过。

大东：网络世界纷繁复杂，你没听过的事情可多了，下面我给你讲讲相关经典案件吧。

二、话说事件

大东：2009年5月19日21时50分开始，江苏、安徽、广西、海南、甘肃、浙江等6省用户申告访问网站速度变慢或无法访问，主要表现为域名解析(DNS)响应缓慢或者无法解析。直至5月22日，事件才渐渐平息，这是一次十分严重的事件哦！

小白：那这次事件的原因是什么啊？东哥，你快给我分析分析吧。

大东：此次事件是一次联动事件，主要分为两个部分：第一是DNSPod站点的DNS服务器被超过10Gbps流量的DDoS攻击击垮，第二是某媒体播放软件大量频繁的向电信DNS主服务器发起解析，导致各地区电信主DNS服务器超负荷。

小白：为什么站点一下子就这么火了啊？

大东：经过调查，疑似因为网络游戏私服之间相互争夺生意，导致一家私服运营商利用了上千台僵尸主机，对DNSPod发动了DDoS洪水攻击，导致DNS服务器过载以及线路堵塞。

 图片来自网络

小白：原来是打游戏惹的祸啊！那那个媒体播放软件呢？这第二部分又是为什么啊？

大东：它的事情更严重哦！作为广泛使用的软件，不止我们用，有成千上万的用户安装使用，然而它的DNS解析机制却存在缺陷。该软件的公司仅仅在DNSPod站内部署了一个DNS解析站点，同时该软件在发生无法解析域名的时候会大量频繁的向运营商的DNS服务器发起查询，运营商DNS再向位于DNSPod内的该媒体播放软件公司DNS服务器查询。

小白：这就是它“太火”的苦恼咯。

大东：哈哈，是的，因为它“太火”，导致了大量的查询，客观上构成了对电信DNS服务器的DDoS攻击。由于该软件使用用户非常多，其攻击能力高出僵尸网络几个数量级，导致多个省市电信DNS主服务器过载，它的影响也极大，最终造成了多省断网。

三、大话始末

小白：像这么严重的事件，我们应该如何解决呀？东哥！

大东：DNS服务器作为互联网的一个核心部分，容易遭受到攻击。要彻底解决这个问题，只有不断地完善Internet安全架构本身，比如检测和清除僵尸网络、保障每一台接入到Internet的PC的安全性、建立快速DoS溯源机制等。然而，安全的Internet架构不是一朝一夕能够建立起来的，因此对DNS的攻击防护就成为一项重要的安全措施。

小白：东哥，你给我具体讲讲吧。第一个问题怎么解决呢？这个应该比较简单一点吧。

大东：对于以上两部分的原因，FortiGate IPS分别有不同的对策，但是都不简单哦！对于没有规律的大规模DDoS攻击，FortiGate IPS具有硬件级的防御能力。它采用专用加速芯片对DDoS攻击进行识别，可以判断出哪些是攻击包，那些是正常访问流量，从而将正常访问流量放过而阻挡住攻击数据包。这样DNS服务器不会因受到攻击而过载。

FortiGate 抗DDoS配置（ 图片来源：脚本之家）

小白：那比较麻烦的媒体播放软件该怎么解决呢？

大东：对于有规律的大规模DDoS攻击，比如由该媒体播放软件发起的对其官网地址的大量DNS查询，FortiGate可以制定相应检测规则，暂时阻挡含有其官网域名的查询，使得DNS服务器不会过载。FortiGate IPS有超过每秒10万pps的抗DDoS攻击能力。

小白：哇，这么厉害，那这个FortiGate IPS又是什么呢？

大东：我给你简单说说FortiGate IPS的特点吧。它可以防御混合攻击、入侵企图、病毒、木马、蠕虫、间谍软件、灰色软件、广告软件和拒绝式攻击等种类广泛的攻击和恶意行为。Fortinet采用基于网络的ASIC加速的硬件平台，以及一系列的高级的动态入侵检测引擎，可以以更低的总体拥有成本，实现针对多种攻击的更高级别的安全性能。

小白：有了这么强大的防御系统，我们这些普通小网民就安心了。对了，东哥，2009年的这次“断网”事件，算是我国最大的DNS攻击事件了吧？那国外有什么类似的事件发生吗？

大东：当然有啊！2016年10月22日早晨，大半个美国的用户就遭遇了一次集体“断网”事件，让很多人都陷入混乱当中。据外媒报道，各大美国热门网站都出现了无法访问的情况。

小白：这个听起来更严重哦！那这次事件的原因是什么呢？

大东：这次事件的确更严重，此次“断网”事件是由于美国最主要DNS服务商Dyn遭遇了大规模DDoS攻击所致。媒体将此次事件形容为“史上最严重DDoS攻击”，不仅规模惊人，而且对人们生活产生了严重影响。

FortiGate IPS特征（ 图片来源：脚本之家）

小白：咦？东哥，你能给我解释一下DDoS攻击是什么吗？

大东：简单来说，DDoS攻击，也叫拒绝式服务攻击，其攻击方式相当的简单粗暴，通过堆砌大量的垃圾数据，使得用户的正常登录被“堵塞”。

小白：再等等……东哥，这个Dyn又是干什么的啊？

大东：Dyn主要职责就是将域名解析为IP地址，从而准确跳转到用户想要访问的网站。所以当其遭受攻击，就意味着来自用户的网页访问请求无法被正确接收解析，从而导致访问错误。可以肯定，这是一次有组织有预谋的网络攻击行为，攻击行为来自超过一千万IP来源。

小白：东哥，听你这么通俗易懂地解说，我这“门外汉”也明白了呢！

四、小白内心说

小白：DNS发生故障对我们的影响真是太大了。

大东：是啊，而且和高昂的防护成本来说，黑客DDOS攻击的成本却微不足道。相比起域名服务商和IDC服务提供商来说，大多数个人、商业或者政府网站对DDOS防护能力是十分微弱的，在目前动辄10G甚至数十GB的攻击面前，根本不堪一击。网络安全环境是越来越让我们担心，而与日俱增的安全成本，更使得不少企业不堪重负。

 图片来自网络

小白：网络安全的重要性越来越突显，真的希望从个人到国家都可以把网安重视起来，我们一起营造一个安全健康的网络环境。

大东：是啊。虽然这次事故是偶然事件，但也是必然会发生的。虽然DNS是一个最基础的服务，但是大家对它的关注却不是很多。目前，Web防范措施已经比较完善，但基于DNS的防范依然很弱，“如果对方要再次有预谋地进攻，现在的条件未必能防得住”。

小白：如果再次遭到攻击，那后果真是难以想象啊！

大东：小白，不太要担心哦！DNS从业者已经在努力啦！事实上，DNS协议自身已包含了分布式对抗攻击的设计思路，权威服务系统并不需要向全球用户提供域名查询服务，大量的终端查询应该由本地的递归服务系统解决。小白，对于DNS的防护，我们一定要重视起来呀！

小白：好的，东哥，我一定多多阅读相关文章，更加留心DNS的防护。

来源：中国科学院计算技术研究所