DNS遭攻击致大规模网络故障
5月19日晚开始,江苏、安徽、广西、海南、甘肃、浙江等六省网络发生大规模故障,到了20日凌晨一时左右,这些受影响地区的网络才基本恢复正常,但这一罕见的网络故障已经造成了严重的影响。
而造成这一故障事件的原因也是扑溯迷离,最先的说法是因为暴风影音软件的缺陷而导致大规模网络攻击造成网络中断。但随后原因查明,是因为某域名解析服务商DNSPod的服务器在18日晚遭到超过10G流量的恶意攻击,随后其IP被中国电信强制封掉,此举也造成DNSPod上近10万个域名均无法解析,其中就包括在24小时后引起了网络瘫痪的暴风影音。由于DNS缓存的存在,18日晚上暴风并未出现太大问题,但一天过后,暴风影音域名的缓存在各地DNSPod服务器上均失效,于是大量对暴风影音域名的访问开始堆积,电信DNS服务器访问量突增,网络处理性能下降,最终造成了大规模的网络故障。
在此次大规模网络故障事件中,如果不是因为DNSPod被攻击,或者被攻击后电信并未封掉其IP,又或者DNSPod上并没有一个像暴风影音这样有着千万数量级用户的域名,那么此次网络故障并不会发生。看来正如DNSPod的站长吴洪声所言,此次事件只是凑巧因素引起的偶然事件,但这也是必然会发生的事件。在一系列偶然因素背后,存在某种必然性。吴洪声表示,事实上,遭攻击对他的DNSPod来说,并不是什么偶然的事情,此前最严重时DNSPod遭遇过24G流量的攻击。他指出,尽管DNS作为一个最基础的服务,但大家对它没没有多少关注,虽然目前Web防范措施已经比较完善,但基于DNS的防范依然很弱,易被黑客利用攻击。
无论如何,造成此次大规模网络故障的原因还是DNS遭攻击所致,那么,究竟DNS在网络中有何重要性,又扮演了什么角色?DNS(Domain Name System,域名解析系统),简单地说,可以认为它是互联网的核心之一,我们的整个互联网就在架构在这一系统之上。它是一个可以将域名和IP地址相互映射的一个分布式数据库,能够使用户通过容易记忆的域名方便地访问互联网,而不用去记难以记忆但能被机器直接读取的IP地址。比如,我们访问某个网站时,需要在浏览器中输入某个类似www.XXX.com这样的域名,而随后这个域名会通过DNS转换为实际的IP地址,然后我们才能够访问这一网站。除了浏览网站外,其他的互联网应用,比如Email、SSL证书等同样需要DNS。
DNS的漏洞问题
DNS在网络中是如此重要,但由于在最初设计时没有考虑它的安全问题,这导致它存在很多安全漏洞,具有着先天的脆弱性。它首先可被利用来进行网络钓鱼攻击,比如黑客可以通过DNS劫持将人们引诱到假冒到银行网站或商业网站上去,欺骗用户泄漏自己的银行账户密码等资料;或者将用户引导到其想让用户访问的网页,无论用户在网络浏览器上输入什么地址;甚至黑客还能利用它来进行DDoS攻击,就比如这次由于暴风影音域名解析请求过多而造成网络瘫痪一样。
在去年,美国一名安全研究员Dan Kaminsky就发现了DNS的一个严重漏洞,通过“缓存中毒”的方法,黑客可以有效地伪造DNS信息,利用DNS缓存服务器来达到劫持网站的目的。虽然这一漏洞其实一直存在,但Kaminsky所发现的欺骗方法,只需短短10分钟就可以完成,不仅使得利用DNS漏洞发动攻击的难度大大降低,也使得破坏力大大增强。对于这一漏洞,Kaminsky表示,这是基于DNS本身的设计而造成的安全漏洞,现在放出的修补程序虽然有办法让攻击难度提高个几千倍,但是还是无法根本的解决这个问题。
事实上,安全研究人员很早就已注意到,由于原有DNS设计上的先天缺陷,DNS的漏洞问题无法得到根本性的解决,要彻底解决这一问题,只有重新开发新的DNS。于是早在1997年1月,人们开始发展DNS安全扩展(DNSSEC)协议,这一协议创建的目的是为了解决原DNS协议中的漏洞,使之不再容易遭受攻击。不过,由于DNSSEC会产生额外的数据开销,当时并未得到普及。而且,根据早期的协定,如果要使用DNSSEC,必须将之覆盖整个互联网,这也使得其普及有一些难度。此外,一些有关隐私和法律方面的疑虑,也使得其无法获得普及。
虽然仍存在种种问题,但使用新的DNS协议是大势所势,尽管这步伐看来会相当缓慢。去年,ICANN已批准将.org域名作为首先转移为使用DNS安全扩展(DNSSEC)协议的顶级域名,DNSSEC的普及已迈出了重要一步。我们相信,最终所有域名都会转移到DNSSEC上,而如今不断涌现出的DNS故障问题,或许也会加快这一普及的步伐。
网友评论