阿里云cc攻击_.CN 根域名被攻击至瘫痪，谁之过?

.CN 根域名遭受史上最大规模 DDoS 攻击

2013年8月25日凌晨，.CN域名解析发生大规模故障。经分析发现，.CN根域授权DNS全线发生故障，导致大量.CN域名无法解析。此次事故导致大量以.cn、.结尾的域名无法访问，直到当天凌晨4点左右，CN根域名服务器解析才得到部分恢复。事后，CNNIC确认，国家域名解析节点遭遇了史上最大规模的拒绝服务攻击，导致访问延迟或中断，部分网站的域名解析受到影响。事故发生一个月后，本月24日，CNNIC与工信部终于找到了这次攻击的始作俑者——一名来自山东青岛的黑客。

据调查，黑客最初的意图是攻击一个私人游戏服务器，使其瘫痪。后来为了更快的达到这个目的，其直接对.CN根域名服务器发起DDoS攻击。攻击流量堵塞了.CN根服务器的出口带宽（据工信部数据显示：攻击期间峰值流量较平时暴增近1000倍，近15G），导致.CN根域名服务器无法解析，大量.CN域名无法访问。

DDoS攻击背后的利润链

大家可能想知道，看似普通的DDoS攻击背后到底隐藏着什么？一个字：为了牟利。此次事件中攻击者所采用的手段（比如攻击一些“私服”网站或主机）并不少见，而且近年来愈演愈烈。自国内互联网行业兴起以来，国内就有一些组织或个人长年进行DDoS攻击，胁迫一些“私服”游戏的运营团队，收取“保护费”，不配合就用DDoS暴力攻击，不让其正常运营。这些“私服”的运营团队本身就涉及侵权，所以在遭遇DDoS威胁时，不敢报警、不敢维权，往往被迫接受。这种恶性循环的结果是，这些网络中的恶意胁迫越来越肆无忌惮，这些从事DDoS攻击商业行为的组织或个人也演变成各种“网络团伙”，各种黑色产业链层出不穷。 由于现今互联网上DDoS攻击的门槛越来越低，雇主可以购买DDoS攻击服务，攻击可以指定时间、流量、攻击效果。总体来说，同业之间的恶意竞争是DDoS攻击日益猖獗的最大原因，同时，被攻击后定位攻击者的成本高昂也是此类事件层出不穷的重要原因。

为什么选择针对 DNS 服务器进行 DDoS 攻击

DNS系统作为网络基础设施，一直以来为我们提供了访问互联网的便利，用户只需要记住域名就可以在互联网上访问对应的主机。当你在浏览器中输入域名时，DNS解析过程就开始了。一般的DNS解析流程如图1、图2所示：

1.png

图1：DNS解析的一般流程（有缓存的情况下）

2.png

图2：DNS解析的一般流程（无缓存）

先说一下现有互联网上运行的DNS系统可能遭遇的风险。大家应该知道，根域名服务器是DNS系统中最高级别的域名服务器，全球共有13台根域名服务器，其中大部分位于美国。首先，DNS系统是中心化的树形结构，极易遭受DDoS攻击，而且越靠近中心，攻击效果越显著；其次，现有DNS系统的迭代查询方式，非常依赖根域和顶级域解析服务器；第三，现有互联网上存在大量开放的DNS域名服务器，这些服务器通常具有强大的性能和带宽，利用DNS反射技术的放大效应，可以产生近百倍于自身带宽的攻击流量，因此这些开放的DNS服务器极易成为黑客青睐的DDoS攻击“僵尸”。这对整个互联网基础设施是一个巨大的安全威胁。

在现有DNS协议的风险评估中，DNS协议非常脆弱，不安全。DNS协议为什么这么脆弱？一方面，DNS协议是明文协议，协议中的信息很容易被篡改和伪造，使得DNS协议成为容易暴露用户行为的工具；另一方面，如果在现有的协议传输中使用加密，现有的DNS系统无法承受加密带来的开销和技术升级成本。

由于DNS系统的脆弱性以及其协议设计上的缺陷，历史上发生过多次针对DNS的攻击事件，比较重大的有2013年的攻击事件、2009年的5·19互联网中断事件、2008年的DNS缓存投毒事件、2002年针对全球根域名服务器的攻击事件等。

深入分析.CN 攻击

从.CN根服务器的DDoS攻击方式来看，有两种可能。一种可能是黑客使用DDoS方式攻击.CN域名，大攻击流量或者海量查询请求导致.CN域名上级根服务器挂机；第二种可能是黑客直接将DDoS攻击指向.CN根域名服务器。DNS系统常见的DDoS攻击方式有：

1）传统DDoS攻击：流量型（以阻塞网络带宽为主要目的），包括UDP洪水攻击；TCP流量攻击；资源消耗型（以消耗目标机器可用资源为目的），包括SYN洪水攻击、ACK洪水攻击、ACK反射攻击、慢消耗攻击等。

2）针对DNS的DDoS攻击：DNS反射攻击（放大效应）、DNS查询攻击（僵尸主机发起的海量请求）、域名变异攻击：构造针对随机域名（或变形域名）的查询请求，利用僵尸网络对目标域名或主机进行攻击（如图3所示）。

3.jpg

图3：DNS QUERY洪水攻击原理

为了将命中DNS缓存的可能性降到最低，攻击者在构造攻击数据包时通常会伪造随机查询源IP地址、随机源端口、随机查询ID以及需要解析的域名。从笔者获取的本次.CN攻击的数据包来看（见下图4），攻击者直接向.CN根服务器发送了大量特意构造的随机域名查询请求，也就是上文提到的域名变更攻击手法。但笔者认为其中可能还混杂了UDP洪水、DNS放大、DNS僵尸查询等其他DDoS攻击手段。其最终目的是让被攻击网络的链路带宽超过服务带宽，让目标机器或集群处理能力超出极限，从而导致DNS解析无法提供正常服务。

4.png

图4：.CN攻击数据包（部分）

后续：DNS攻击的新趋势

我认为，此次.CN根服务器被攻击事件，再次敲响了互联网基础设施安全的警钟，建议主管部门加强基础设施的防护，避免此类事故再次发生。

我在日常工作中也能发现针对DNS基础系统的不同攻击手法，例如今年3月份针对某国际公司的300G DDoS攻击，主要就是攻击者利用DNS反射攻击进行的。该攻击技术的特点是利用互联网上开放的DNS递归服务器作为攻击源，采用“反弹”的方式对目标机器进行攻击。攻击原理如图5所示：

5.png

图5：DNS反射攻击原理

在DNS反射攻击技术中，假设DNS请求消息的数据部分长度约为40字节，而响应消息的数据部分可能长达4000字节，这意味着使用该技术可以产生约100倍的放大效应。因此，对于.CN攻击，攻击者只需控制一个可以产生150M流量的僵尸网络，就可以进行上述规模（15G）的DDoS攻击。据不完全统计，国内外有超过250万台开放DNS服务器可以充当此类“僵尸”。开放DNS服务器简直就是互联网上无处不在的定时炸弹。

我们该如何应对这种DDoS攻击呢？

我们的DNS系统运维人员在日常部署时，应尽量均衡DNS应用的负载，提高DNS服务器的处理性能，尽可能分散解析节点，并根据不同IDC或城市实现冗余备份和容灾机制。这些措施可以有效降低大流量DDoS攻击带来的危害。然而，正如上文所说，对于如此脆弱的DNS系统，未来我们还可以从哪些方面入手，应对一般规模甚至超大规模的DDoS攻击呢？笔者认为，以下几种解决方案值得尝试。

第一，当你的主机遭遇DDoS攻击时，最简单的办法就是在本地制定策略，比如etc.，或者提前对主机进行加固，以应对随时可能出现的风险。但这种方式不能解决DDoS的根本问题，而且非常不灵活。

其次，如果通过分析流量和攻击消息得知DDoS攻击的类型，可以配置一些策略来减轻攻击造成的损害。例如针对DNS反射攻击的防护，如果被攻击的服务器不提供DNS服务，可以通过设置访问控制策略直接阻断所有的DNS请求/响应；如果被攻击的服务器是DNS相关的服务器，最有效的方法是配置DNS服务器只响应合法区域的查询。但这种方法需要一定的专业知识和运维人员的介入，灵活性也比较差。

第三，提供足够的带宽和高性能的DNS服务器，也就是俗称的“堆机器、争资源”。但这种方法犹如饮鸩止渴，指望“魔高一尺，路高一丈”是不现实的。不过建议管理人员还是需要及时监控DNS服务器上行链路的负载情况，避免链路拥塞导致丢包。同时，在物理带宽上投入一定的资源，防止上行链路拥塞还是有必要的。

第四，在互联网核心路由入口部署专业的DDoS流​​量检测设备和DDos流量清洗设备，通过DDoS检测设备和清洗设备之间的策略联动，可以及时发现、清洗、阻断恶意攻击行为。这也是目前业界比较认可的防护方案。通过DNS协议本身的特点，依托Intel等高效的硬件平台，开发专门针对DDoS流​​量清洗的系统。这里可以构建专用的DNS防护算法，比如DNS QUERY FLOOD防护算法、DNS反射攻击防护等，从根本上过滤掉攻击流量。

但对于广大中小型网站和企业来说，花费大量金钱购买防护资源是不现实的。不过随着互联网云技术的发展，很多大型互联网公司都提供了云主机服务，如腾讯云、阿里云等，并免费提供专业的DDoS检测、清理和防护功能。广大企业主如果担心自己的业务或主机会遭受DDoS攻击，选择现有的云服务也是有效的解决方案。

除了以上提到的方案，业界还有一些成熟的解决方案值得借鉴。例如该公司采用的技术基于IP路由原理实现流量自动负载均衡。当发生DDoS攻击时，该技术可以有效地将攻击流量引导到不同区域的防护节点进行流量清洗。该方案目前已在用户环境中成功部署。

最后，随着互联网DDoS攻击规模的不断扩大，DDoS工具的自动化、资源的充足和带宽的充裕，黑客发起DDoS攻击的成本越来越低，攻防DDoS是一场对抗性的博弈。在非技术层面，需要提前制定应急预案和应对措施，如业务调整、与运营商的沟通和应急措施的同步。当DDoS攻击发生时，需要多个部门迅速响应，及时实施应急预案并同步处理结果。同时，建议从立法角度对此类攻击施加严厉的惩罚措施，以增加非法攻击的成本。