DNS故障再現(xiàn)互聯(lián)網(wǎng)“入口”亟須保障

程彥博

春節(jié)前，DNS污染事件導(dǎo)致全國范圍的互聯(lián)網(wǎng)訪問中斷。此事件再次證明了DNS作為用戶訪問互聯(lián)網(wǎng)的咽喉要道，其位置極為特殊，保障DNS的安全也極為重要。

1月21日，就在全國各地開始迎接馬年春節(jié)的時候，一場意外的全國范圍的DNS污染事件爆發(fā)。國家互聯(lián)網(wǎng)應(yīng)急中心（CNCERT/CC）發(fā)布消息稱，1月21日15時20分，大量互聯(lián)網(wǎng)用戶無法正常訪問以“.com”、“.net”等為域名的網(wǎng)站，經(jīng)對已掌握的數(shù)據(jù)進(jìn)行分析，初步判斷此次事件是由于網(wǎng)絡(luò)攻擊導(dǎo)致我國境內(nèi)互聯(lián)網(wǎng)用戶通過國際頂級域名服務(wù)解析時出現(xiàn)異常，攻擊來源正在進(jìn)一步調(diào)查中。

當(dāng)時，大多數(shù)國內(nèi)用戶在訪問互聯(lián)網(wǎng)站點時，域名被解析到65.49.2.178這一個無法訪問的位于美國的IP地址。360網(wǎng)站衛(wèi)士監(jiān)測發(fā)現(xiàn)，國內(nèi)有三分之二的DNS處于癱瘓狀態(tài)。

人們對信息安全的重視程度總是通過一次又一次的安全事件爆發(fā)而提升。聯(lián)想到2013年在全球各地頻繁發(fā)生的互聯(lián)網(wǎng)安全事件，我們不禁會感嘆：如今的互聯(lián)網(wǎng)已經(jīng)和每個人息息相關(guān)，如果互聯(lián)網(wǎng)不能訪問，這將是一場什么樣的災(zāi)難？

嚴(yán)防互聯(lián)網(wǎng)“入口”

正是由于互聯(lián)網(wǎng)站點IP地址與域名映射的域名解析機(jī)制，造成每個訪問互聯(lián)網(wǎng)的用戶都需要使用DNS。從某種意義上說，DNS可以看作用戶訪問互聯(lián)網(wǎng)的“入口”，沒有DNS，用戶就無法實現(xiàn)自由順暢的互聯(lián)網(wǎng)訪問。所以，在網(wǎng)絡(luò)攻防戰(zhàn)中，DNS的戰(zhàn)略位置尤為重要。

打個形象的比喻，DNS類似于互聯(lián)網(wǎng)的交通導(dǎo)航系統(tǒng)，用戶訪問互聯(lián)網(wǎng)站點的訪問請求需要借助DNS的“導(dǎo)航”才能達(dá)到目的地。如果導(dǎo)航系統(tǒng)失效或者被惡意修改，用戶不但無法到達(dá)想要到達(dá)的網(wǎng)站，甚至還有可能被引導(dǎo)至惡意釣魚網(wǎng)站，這除了會造成大面積的網(wǎng)絡(luò)訪問中斷外，還有可能引發(fā)網(wǎng)絡(luò)欺詐等更為嚴(yán)重的后果。

DNS遭受攻擊很容易讓互聯(lián)網(wǎng)訪問出現(xiàn)大范圍的故障，還很容易讓攻擊者獲得非法利益，于是DNS攻擊也成為典型的網(wǎng)絡(luò)攻擊之一。

攻擊事件頻發(fā)

發(fā)生在2010年的百度DNS劫持就是一次典型的DNS攻擊事件。2010年1月12日早7點，用戶訪問百度時出現(xiàn)故障無法訪問，頁面被劫持到了一個“Iranian Cyber Army”的網(wǎng)頁上。隨后，百度的DNS服務(wù)器地址幾經(jīng)更換，顯示出其遭受攻擊的跡象。當(dāng)天上午10點45分，百度稱“由于baidu.com的域名在美國域名注冊商處被非法篡改，導(dǎo)致www.baidu.com不能被正常訪問，公司有關(guān)部門正在積極處理”。直至當(dāng)天中午，百度宣稱全國的百度域名解析正在陸續(xù)恢復(fù)。

2013年8月25日凌晨，中國國家頂級域名“.cn”遭受到了史上最大規(guī)模的網(wǎng)絡(luò)攻擊，黑客攻擊持續(xù)了1天多。負(fù)責(zé)管理.CN域名的中國互聯(lián)網(wǎng)絡(luò)信息中心（CNNIC）于當(dāng)天上午10點半左右發(fā)出通告稱：自凌晨開始，國家域名解析節(jié)點受到DDoS攻擊，經(jīng)CNNIC處置，至凌晨2時許，服務(wù)恢復(fù)正常，凌晨3時通過官方微博發(fā)出通告。凌晨4時許，國家域名解析節(jié)點再次受到有史以來最大規(guī)模的拒絕服務(wù)攻擊，部分網(wǎng)站解析受到影響，導(dǎo)致訪問緩慢或中斷。

這次攻擊導(dǎo)致新浪微博客戶端等一批以“.cn”為域名的網(wǎng)站受到影響，用戶無法訪問。國家互聯(lián)網(wǎng)應(yīng)急中心運(yùn)行管理部處長王明華透露，經(jīng)過調(diào)查后發(fā)現(xiàn)，攻擊者本意是要攻擊一個游戲的私服網(wǎng)站域名，后來想攻擊“.cn”域名達(dá)到這個目的。攻擊者利用僵尸網(wǎng)絡(luò)向“.cn”頂級域名系統(tǒng)持續(xù)發(fā)起大量針對某游戲私服網(wǎng)站域名的查詢請求，峰值流量較平常激增近1000倍，造成“.cn”頂級域名系統(tǒng)的互聯(lián)網(wǎng)出口帶寬短期內(nèi)嚴(yán)重?fù)砣?/p>

運(yùn)營商的應(yīng)對

事實上，作為絕大多數(shù)互聯(lián)網(wǎng)用戶的接入單位，運(yùn)營商DNS服務(wù)對互聯(lián)網(wǎng)服務(wù)而言至關(guān)重要，且對國家具有戰(zhàn)略意義。運(yùn)營商需要保護(hù)自身的安全，防止自身DNS服務(wù)不可用，此外，運(yùn)營商還可以對其DNS進(jìn)行相應(yīng)的防護(hù)或者配置來降低DNS攻擊事件對用戶造成的影響。

2013年，中國電信聯(lián)合國內(nèi)三大互聯(lián)網(wǎng)公司騰訊、百度、阿里及國內(nèi)DNS服務(wù)商114DNS，通過在中國電信IP骨干網(wǎng)實施控制策略，將被黑客篡改的用戶DNS流量引導(dǎo)至中國電信專用的DNS反劫持節(jié)點，該節(jié)點對淘寶、百度、騰訊QQ空間等Web站點的域名進(jìn)行特別解析，引導(dǎo)用戶對DNS進(jìn)行修復(fù)。114DNS公布的技術(shù)細(xì)節(jié)顯示，114DNS為電信運(yùn)營商搭建了專門的BGP-DNS系統(tǒng)，該BGP-DNS系統(tǒng)可直接向電信骨干路由器注入32位掩碼的高優(yōu)先級BGP路由，電信運(yùn)營商核心路由器接受該BGP路由并在自身的網(wǎng)絡(luò)內(nèi)進(jìn)行受限廣播。

當(dāng)然，針對DNS的攻防戰(zhàn)遠(yuǎn)不會停止。需要指出的是，在“警匪”較量中，普通用戶也是關(guān)鍵的一方，如果大家能夠掌握更多的安全常識，比如修改路由器的默認(rèn)密碼，就可以降低自己被攻擊的機(jī)會。

鏈接 三種類型的DNS攻擊及其應(yīng)對方法

專注于流量管理和DNS的Dyn公司首席技術(shù)官Cory von Wallenstein在一篇博客文章中介紹了三種常見類型的DNS攻擊及其應(yīng)對方法。

第一種DNS攻擊類型稱為緩存中毒攻擊，這種攻擊發(fā)生在攻擊者成功將惡意DNS數(shù)據(jù)注入到遞歸DNS服務(wù)器（由很多ISP運(yùn)作）之后。從網(wǎng)絡(luò)拓?fù)涞慕嵌瓤?，這些DNS服務(wù)器最接近用戶的服務(wù)器，因此，對這些服務(wù)器的攻擊將會直接影響到連接這些服務(wù)器的特定用戶。

Dyn公司有阻止這種攻擊的有效辦法，并且DNSSEC（域名系統(tǒng)安全擴(kuò)展）等標(biāo)準(zhǔn)能夠提供額外的保護(hù)。如果DNSSEC不可行，另一種解決方法就是限制需要保護(hù)的域名解析服務(wù)器上的遞歸。確定這些服務(wù)器是僅處理保存在緩存中的數(shù)據(jù)，還是需要在互聯(lián)網(wǎng)上與其他服務(wù)器通信。

第二種類型的DNS攻擊需要攻擊者掌控一個或多個授權(quán)DNS服務(wù)器。如果攻擊者能夠攻擊授權(quán)DNS服務(wù)器，這種攻擊的影響將是全球性的。

抵御這些類型的攻擊的方法通常包括：高強(qiáng)度密碼和基于IP的ACL（可接受訪問控制列表）。此外，還應(yīng)該對員工進(jìn)行全面的培訓(xùn)，來防止基于社會工程學(xué)的攻擊。

第三種類型的DNS攻擊也很棘手。這種攻擊是攻擊者攻擊域本身的注冊，然后使用這種訪問來更改分配到它的DNS服務(wù)器。

這正是黑客組織“敘利亞電子軍隊（SEA）”在攻擊Twitter和《紐約時報》時的做法。企業(yè)最好將授權(quán)服務(wù)器托管在企業(yè)內(nèi)部，從而實現(xiàn)對其完全控制。endprint