浅析5.19断网事件与域名系统安全

陈 慧

[摘要]5.19断网事件是全国范围内出现的网络大面积故障,分析断网事件产生的原因以及所涉及的技术问题,提出可以采取的措施。并且从域名系统安全问题入手,探讨目前域名系统所应解决的几个问题。

[关键词]DNS断网事件DNSPod域名系统安全

中图分类号:TP393.0文献标识码:A文章编号:1671-7597(2009)1220075-01

一、断网事件背景

2009年5月19日21时起,中国互联网遭遇了“多米诺骨牌”连锁反应,多个省市数以亿计的网民遭遇了罕见的“网络塞车”,网民反映上网故障,出现打不开网页等问题。据工业和信息化部通信保障局发布的公告,确认该事件原因是暴风网站域名解析系统受到网络攻击出现故障,导致电信运营商的本地域名解析服务器收到大量异常请求而引发拥塞。

事情最开始是由于,一个游戏私服的网站对它的竞争对手发动的攻击。黑客从域名下手对国内最大的免费域名服务商DNSPod的服务器进行了狂轰滥炸,史无前例的大流量攻击导致了DNSPod的服务器瘫痪,运行在DNSPod服务器上的10万个域名无法解析。遭到攻击瘫痪的服务器正好也是在为暴风影音的某项服务提供域名解析。于是,号称2.8亿用户的暴风影音客户端,通过用户电脑里的后台进程访问暴风网站出现无法连接之后,持续不断发起访问请求,而且这些请求全部拥塞在本地域名服务器中,大量拥塞的请求占用了大量的服务器处理性能,进而导致本地域名服务器无法对其他的正常请求进行解析,并最终酿成大规模的网络故障。

二、相关技术分析

(一)DNS

DNS是域名系统(Domain Name System)的缩写,该系统用于命名组织到域层次结构中的计算机和网络服务,是最基本的网络服务之一。DNS命名用于Internet等TCP/IP网络中,通过在网络中构建一个层次化的树状服务结构,建立IP地址与域名的逻辑映射关系,通过用户友好的名称查找计算机和服务,供其他相关的IP网应用服务使用。一般的DNS故障,如果导致DNS不能正常工作,在普通网络用户看来,就是连不上网站“上不了网”。如果DNS服务器被入侵者控制,有可能篡改IP地址与主机名的映射关系和获得其他敏感信息,从而会使主机遭受Web欺骗攻击等严重后果。

(二)DNSPod

DNSPod是一款免费智能DNS产品。中国的网络是由电信和网通分别垄断南北两方面的,所以,“南北互通”在当时建网络的时候是就是让人困惑的一个问题。2006年的时候,DNSPod公司利用DNS的技术解决了这个问题。DNSPod可以为同时有电信、网通、教育网服务器的网站提供智能的解析,让电信用户访问电信的服务器,网通的用户访问网通的服务器,教育网的用户访问教育网的服务器,达到互联互通的效果。目前DNSPod已经是国内最大的免费DNS解析产品提供商。管理着超过10万用户和20万域名,日请求量超过20亿次。

(三)DDoS攻击

DDOS是分布式拒绝服务攻击(Distribution Denial of service)的缩写,DDOS的攻击策略侧重于通过很多“僵尸主机、肉鸡”(被攻击者入侵过或可间接利用的主机)向受害主机发送大量看似合法的网络包,从而造成网络阻塞或服务器资源耗尽而导致拒绝服务,分布式拒绝服务攻击一旦被实施,攻击网络包就会犹如洪水般涌向受害主机,从而把合法用户的网络包淹没,导致合法用户无法正常访问服务器的网络资源,因此,拒绝服务攻击又被称之为“洪水式攻击”。

三、断网事件分析

5.19断网事件中,最先的起因是DNSPod遭遇网络攻击。因为适应中国国情,DNSPod的用户很多,众多中小网站使用都在使用,其中就有经营网络游戏的私人服务器。由于恶性竞争,私服之间经常雇用黑客相互攻击。这次攻击DNSPod的原因是,黑客采用了“擒贼先擒王”的策略,也就是直接攻击私服网站的DNS服务器,使其无法正常工作,从而无法解析私服网站的域名。黑客对DNSPod实施攻击后不久,电信机房管理员就发现DNSPod服务器端口流量异常,为防止意外发生立即关闭了DNSPod服务器。这台被电信关闭的DNS服务器当时恰好在为大约10万家网站提供域名解析服务,其中就包括拥有大量用户的暴风影音,此外还包括大量地方门户网站、个人网站和企业网站。

DNSPod网络服务被中断后,致使其托管的数十万域名无法正常解析,导致大量用户随后无法访问这些网站。通常情况下,如果是网民在地址栏输入某个域名,却无法访问时,网民就不会再次输入相关域名请求解析。但是,本次网络瘫痪中,发起请求的不仅是网民,更多的是安装网民电脑中的暴风影音软件,因该软件部分在线服务功能必须基于对其域名的正常解析,于是安装有暴风影音的电脑不断发起域名解析请求。

根据域名系统的解析原理,DNS是采用多级缓存的方式运作的。通常一个程序发出DNS请求以后,系统会先搜索自己的DNS缓存,没有找到则会向网络设置中的DNS服务器发出请求。5.19断网事件,暴风影音软件开始发起的域名解析请求,在本地域名服务器的缓存中保留着,可以及时作出响应,3600秒以后,缓存在各地DNS服务器上的该记录过期,但此时暴风影音指向DNSPod的域名服务器记录还没有过期(一般是24小时过期),于是各地的DNS继续向已经被封掉IP的DNSPod服务器发送查询。由于域名查询使用UDP协议,服务器在超时以后才放弃查询。但由于DNS服务器一般被配置为不缓存失败的查询,所以下一个DNS请求来的时候它还是得去向那个封掉的IP发送查询。安装了暴风影音软件的用户电脑持续不断产生了巨量域名请求,这些查询请求类似于对DNS服务器的DDoS攻击,导致多个省份的本地域名服务器出现故障甚至无法提供正常服务。使得使用这些本地域名服务器的其他互联网用户也无法上网,进而导致更大范围内的用户声报网络无法访问,最终酿成大规模的网络故障。

针对5月19日发生的DDoS攻击,可以实施应急方案,在本地域名服务器上针对暴风网站相关域名设置强解析策略,以最小的代价保证绝大部分的应用正常开展。面对未来可能发生的DDoS攻击,可以采取如下措施:通过在骨干网部署流量清洗系统,清洗网络中的DoS流量,利用抗DDoS安全产品的模式匹配,以及IP地址信誉机制等独特的防护算法对形式多样的DDoS攻击进行安全防护,在网络受到攻击时可以为DNS服务器提供有效和及时的安全保障。

四、域名系统安全的思考

域名作为广大民众访问互联网的起点和入口,是全球互联网通信的基础。而域名系统作为承载全球亿万域名正常使用的系统,是互联网的基础设施,其作用相当于互联网的中枢神经系统,域名系统的故障会导致互联网陷入瘫痪。域名系统是一种公开服务,历来是被攻击的对象,完整的域名系统由本地域名服务器、根域名服务系统、顶级域名服务系统以及各级域名服务系统等四个层级构成。每个环节都可能成为黑客攻击的对象。因此,任何一层出现故障,都会导致相应范围的网络应用瘫痪,大到一个国家和地区的网将络全面瘫痪,小到某个网站将无法访问。

目前的域名系统存在以下几个问题:

(一)在查询过程中没有加密和识别机制

为了解决这一问题,IETF已经在DNS协议里加入安全扩展协议,也就是所谓的域名系统的安全协议(Domain Name System SECurity,DNSSEC)。域名系统安全协议是一整套安全规则,用来确保域名系统内部信息的安全,并在提供权限认证功能的同时保证信息的完整。它同时使用非对称与对称式的加密模式对资源记录(RR)和区域传输模式分别进行了处理。域名系统安全协议已经取得了一些进展:.gov和.org顶级域名已经开始采用域名系统安全协议,并且也获得了部分商业方面的支持。

(二)域名解析更换后生效时间过长

DNS服务系统一个反向的广播机制,以便于域名解析改变后及时通知下级DNS服务器刷新缓存列表。为了减少DNS查询流量,在DNS查询一个域名后会把该域名的IP保存在自己的缓存表中。在最近瑞典发生的全国网络瘫痪事故中,.se顶级域服务器在故障1小时后重新更新数据改正了错误,服务恢复正常,但是由于域名服务系统的缓存机制,整个互联网上的.se解析并不能立即全部恢复正常。一些大型ISP通过清理缓存来恢复正确数据;一些小规模的ISP则未能及时处理,致使部分用户受影响的时间甚至达到24小时。

(三)管理分散

5.19断网事件也暴露出我国域名体系诸多环节中的潜在安全风险。全国的域名系统层次众多,规模庞大,管理归属分散。今后应严格审批DNS服务器的建立,并对DNS服务器严格的分级,建立防范机制。各域名解析机构在对DNS服务器的分布也应该做到合理的调配,在各个地方设置的服务器节点要做DNS的负载均衡,这样就会对DNS服务器受攻击的防御能力有大的提升。

五、结束语

随着各种网络服务的兴起,互联网越来越成为人们日常生活中不可缺少的部分。在我们每天访问各种网站的时候,不为人知的DNS服务器做着“幕后工作”,对域名进行解析,让我们可以正常地访问。域名系统就像是“空气”,平时我们感觉不到它的存在,但是一旦出现问题,其影响可能是“致命”的。当DNS服务器受到攻击时,不但网站无法提供正常服务,严重者如此次事故,还会影响整个网络的正常工作。因此,要加大针对DNS攻击的防范力度,加强域名系统整体的安全性能,从各个环节入手提高其安全保障能力。

参考文献:

[1]Douglas E Comer,TCP/IP网络互连技术,2002.

[2]Athins D,Threat analysis of the domain name system,2002.

[3]Randal Vaughn.Gadi Evron,DNS amplification attacks,2006.

作者简介:

陈慧(1974-),女,汉族,山东济南人,硕士,讲师,就职于山东英才学院计算机电子信息工程学院,主要研究方向:计算机网络。