淺析5.19斷網事件與域名系統安全

陳 慧

[摘要]5.19斷網事件是全國范圍內出現的網絡大面積故障,分析斷網事件產生的原因以及所涉及的技術問題,提出可以采取的措施。并且從域名系統安全問題入手,探討目前域名系統所應解決的幾個問題。

[關鍵詞]DNS斷網事件DNSPod域名系統安全

中圖分類號:TP393.0文獻標識碼:A文章編號:1671-7597(2009)1220075-01

一、斷網事件背景

2009年5月19日21時起,中國互聯網遭遇了“多米諾骨牌”連鎖反應,多個省市數以億計的網民遭遇了罕見的“網絡塞車”,網民反映上網故障,出現打不開網頁等問題。據工業和信息化部通信保障局發布的公告,確認該事件原因是暴風網站域名解析系統受到網絡攻擊出現故障,導致電信運營商的本地域名解析服務器收到大量異常請求而引發擁塞。

事情最開始是由于,一個游戲私服的網站對它的競爭對手發動的攻擊。黑客從域名下手對國內最大的免費域名服務商DNSPod的服務器進行了狂轟濫炸,史無前例的大流量攻擊導致了DNSPod的服務器癱瘓,運行在DNSPod服務器上的10萬個域名無法解析。遭到攻擊癱瘓的服務器正好也是在為暴風影音的某項服務提供域名解析。于是,號稱2.8億用戶的暴風影音客戶端,通過用戶電腦里的后臺進程訪問暴風網站出現無法連接之后,持續不斷發起訪問請求,而且這些請求全部擁塞在本地域名服務器中,大量擁塞的請求占用了大量的服務器處理性能,進而導致本地域名服務器無法對其他的正常請求進行解析,并最終釀成大規模的網絡故障。

二、相關技術分析

(一)DNS

DNS是域名系統(Domain Name System)的縮寫,該系統用于命名組織到域層次結構中的計算機和網絡服務,是最基本的網絡服務之一。DNS命名用于Internet等TCP/IP網絡中,通過在網絡中構建一個層次化的樹狀服務結構,建立IP地址與域名的邏輯映射關系,通過用戶友好的名稱查找計算機和服務,供其他相關的IP網應用服務使用。一般的DNS故障,如果導致DNS不能正常工作,在普通網絡用戶看來,就是連不上網站“上不了網”。如果DNS服務器被入侵者控制,有可能篡改IP地址與主機名的映射關系和獲得其他敏感信息,從而會使主機遭受Web欺騙攻擊等嚴重后果。

(二)DNSPod

DNSPod是一款免費智能DNS產品。中國的網絡是由電信和網通分別壟斷南北兩方面的,所以,“南北互通”在當時建網絡的時候是就是讓人困惑的一個問題。2006年的時候,DNSPod公司利用DNS的技術解決了這個問題。DNSPod可以為同時有電信、網通、教育網服務器的網站提供智能的解析,讓電信用戶訪問電信的服務器,網通的用戶訪問網通的服務器,教育網的用戶訪問教育網的服務器,達到互聯互通的效果。目前DNSPod已經是國內最大的免費DNS解析產品提供商。管理著超過10萬用戶和20萬域名,日請求量超過20億次。

(三)DDoS攻擊

DDOS是分布式拒絕服務攻擊(Distribution Denial of service)的縮寫,DDOS的攻擊策略側重于通過很多“僵尸主機、肉雞”(被攻擊者入侵過或可間接利用的主機)向受害主機發送大量看似合法的網絡包,從而造成網絡阻塞或服務器資源耗盡而導致拒絕服務,分布式拒絕服務攻擊一旦被實施,攻擊網絡包就會猶如洪水般涌向受害主機,從而把合法用戶的網絡包淹沒,導致合法用戶無法正常訪問服務器的網絡資源,因此,拒絕服務攻擊又被稱之為“洪水式攻擊”。

三、斷網事件分析

5.19斷網事件中,最先的起因是DNSPod遭遇網絡攻擊。因為適應中國國情,DNSPod的用戶很多,眾多中小網站使用都在使用,其中就有經營網絡游戲的私人服務器。由于惡性競爭,私服之間經常雇用黑客相互攻擊。這次攻擊DNSPod的原因是,黑客采用了“擒賊先擒王”的策略,也就是直接攻擊私服網站的DNS服務器,使其無法正常工作,從而無法解析私服網站的域名。黑客對DNSPod實施攻擊后不久,電信機房管理員就發現DNSPod服務器端口流量異常,為防止意外發生立即關閉了DNSPod服務器。這臺被電信關閉的DNS服務器當時恰好在為大約10萬家網站提供域名解析服務,其中就包括擁有大量用戶的暴風影音,此外還包括大量地方門戶網站、個人網站和企業網站。

DNSPod網絡服務被中斷后,致使其托管的數十萬域名無法正常解析,導致大量用戶隨后無法訪問這些網站。通常情況下,如果是網民在地址欄輸入某個域名,卻無法訪問時,網民就不會再次輸入相關域名請求解析。但是,本次網絡癱瘓中,發起請求的不僅是網民,更多的是安裝網民電腦中的暴風影音軟件,因該軟件部分在線服務功能必須基于對其域名的正常解析,于是安裝有暴風影音的電腦不斷發起域名解析請求。

根據域名系統的解析原理,DNS是采用多級緩存的方式運作的。通常一個程序發出DNS請求以后,系統會先搜索自己的DNS緩存,沒有找到則會向網絡設置中的DNS服務器發出請求。5.19斷網事件,暴風影音軟件開始發起的域名解析請求,在本地域名服務器的緩存中保留著,可以及時作出響應,3600秒以后,緩存在各地DNS服務器上的該記錄過期,但此時暴風影音指向DNSPod的域名服務器記錄還沒有過期(一般是24小時過期),于是各地的DNS繼續向已經被封掉IP的DNSPod服務器發送查詢。由于域名查詢使用UDP協議,服務器在超時以后才放棄查詢。但由于DNS服務器一般被配置為不緩存失敗的查詢,所以下一個DNS請求來的時候它還是得去向那個封掉的IP發送查詢。安裝了暴風影音軟件的用戶電腦持續不斷產生了巨量域名請求,這些查詢請求類似于對DNS服務器的DDoS攻擊,導致多個省份的本地域名服務器出現故障甚至無法提供正常服務。使得使用這些本地域名服務器的其他互聯網用戶也無法上網,進而導致更大范圍內的用戶聲報網絡無法訪問,最終釀成大規模的網絡故障。

針對5月19日發生的DDoS攻擊,可以實施應急方案,在本地域名服務器上針對暴風網站相關域名設置強解析策略,以最小的代價保證絕大部分的應用正常開展。面對未來可能發生的DDoS攻擊,可以采取如下措施:通過在骨干網部署流量清洗系統,清洗網絡中的DoS流量,利用抗DDoS安全產品的模式匹配,以及IP地址信譽機制等獨特的防護算法對形式多樣的DDoS攻擊進行安全防護,在網絡受到攻擊時可以為DNS服務器提供有效和及時的安全保障。

四、域名系統安全的思考

域名作為廣大民眾訪問互聯網的起點和入口,是全球互聯網通信的基礎。而域名系統作為承載全球億萬域名正常使用的系統,是互聯網的基礎設施,其作用相當于互聯網的中樞神經系統,域名系統的故障會導致互聯網陷入癱瘓。域名系統是一種公開服務,歷來是被攻擊的對象,完整的域名系統由本地域名服務器、根域名服務系統、頂級域名服務系統以及各級域名服務系統等四個層級構成。每個環節都可能成為黑客攻擊的對象。因此,任何一層出現故障,都會導致相應范圍的網絡應用癱瘓,大到一個國家和地區的網將絡全面癱瘓,小到某個網站將無法訪問。

目前的域名系統存在以下幾個問題:

(一)在查詢過程中沒有加密和識別機制

為了解決這一問題,IETF已經在DNS協議里加入安全擴展協議,也就是所謂的域名系統的安全協議(Domain Name System SECurity,DNSSEC)。域名系統安全協議是一整套安全規則,用來確保域名系統內部信息的安全,并在提供權限認證功能的同時保證信息的完整。它同時使用非對稱與對稱式的加密模式對資源記錄(RR)和區域傳輸模式分別進行了處理。域名系統安全協議已經取得了一些進展:.gov和.org頂級域名已經開始采用域名系統安全協議,并且也獲得了部分商業方面的支持。

(二)域名解析更換后生效時間過長

DNS服務系統一個反向的廣播機制,以便于域名解析改變后及時通知下級DNS服務器刷新緩存列表。為了減少DNS查詢流量,在DNS查詢一個域名后會把該域名的IP保存在自己的緩存表中。在最近瑞典發生的全國網絡癱瘓事故中,.se頂級域服務器在故障1小時后重新更新數據改正了錯誤,服務恢復正常,但是由于域名服務系統的緩存機制,整個互聯網上的.se解析并不能立即全部恢復正常。一些大型ISP通過清理緩存來恢復正確數據;一些小規模的ISP則未能及時處理,致使部分用戶受影響的時間甚至達到24小時。

(三)管理分散

5.19斷網事件也暴露出我國域名體系諸多環節中的潛在安全風險。全國的域名系統層次眾多,規模龐大,管理歸屬分散。今后應嚴格審批DNS服務器的建立,并對DNS服務器嚴格的分級,建立防范機制。各域名解析機構在對DNS服務器的分布也應該做到合理的調配,在各個地方設置的服務器節點要做DNS的負載均衡,這樣就會對DNS服務器受攻擊的防御能力有大的提升。

五、結束語

隨著各種網絡服務的興起,互聯網越來越成為人們日常生活中不可缺少的部分。在我們每天訪問各種網站的時候,不為人知的DNS服務器做著“幕后工作”,對域名進行解析,讓我們可以正常地訪問。域名系統就像是“空氣”,平時我們感覺不到它的存在,但是一旦出現問題,其影響可能是“致命”的。當DNS服務器受到攻擊時,不但網站無法提供正常服務,嚴重者如此次事故,還會影響整個網絡的正常工作。因此,要加大針對DNS攻擊的防范力度,加強域名系統整體的安全性能,從各個環節入手提高其安全保障能力。

參考文獻:

[1]Douglas E Comer,TCP/IP網絡互連技術,2002.

[2]Athins D,Threat analysis of the domain name system,2002.

[3]Randal Vaughn.Gadi Evron,DNS amplification attacks,2006.

作者簡介:

陳慧(1974-),女,漢族,山東濟南人,碩士,講師,就職于山東英才學院計算機電子信息工程學院,主要研究方向:計算機網絡。