互聯(lián)網(wǎng)根服務器上周遭到協(xié)同分布式拒絕服務(DDoS)攻擊, 13個關(guān)鍵服務器有3個在幾個小時里基本癱瘓。
此前的幾天,珍妮特學術(shù)網(wǎng)絡(Janet academic network)受到類似的DDoS攻擊。
據(jù)根周二根服務器運營商公布的第一手分析資料,攻擊發(fā)生的時間為北京時間2015年11月30日下午2:50至5:30之間,第二天又發(fā)生了一個小時的攻擊。
許多根服務器(盡管不是全部根服務器)收到每秒大約500萬的查詢,足以導致網(wǎng)絡連接超載,進而引起B(yǎng)、C、G和H根服務器響應超時。這些查詢查的是同一個域名,查詢是有效的DNS包;第二天攻擊用了和第一天不同的域名。
到最后,受攻擊的幾個運營商采用了反制措施,并獲得某種程度上的成功。目前,有關(guān)方面正在進行分析工作,目的是要準確地確定攻擊的形式和發(fā)起攻擊的地點。
也許最令人關(guān)注的是,即便是用了應對此類攻擊的任播(Anycast)技術(shù),一些服務器仍然垮掉。
根服務器是互聯(lián)網(wǎng)的支柱,互聯(lián)網(wǎng)的域名系統(tǒng)以根服務器為本。域名系統(tǒng)有點像個全球電話號碼簿,互聯(lián)網(wǎng)所有的其他部件都要用到它。
基于互聯(lián)網(wǎng)的設計原理,這些服務器本身的流量相對較低,特別是如果將其和谷歌處理的流量相比。即便這些服務器都下線也不會即時對大面積的互聯(lián)網(wǎng)造成影響,因為這些根服務器存儲和共享的信息已經(jīng)被存在成千上萬的其他服務器里。
但話又說回來,任何對DNS基礎(chǔ)架構(gòu)的攻擊都備受重視。如果根服務器發(fā)生故障的時間超過一天,就會開始在全球網(wǎng)絡導致嚴重的問題。
RIPE阿特拉斯監(jiān)測系統(tǒng)的圖顯示了攻擊的影響
解決方法是什么?
根服務器運營商已經(jīng)特別提到一個使這種攻擊成為可能的問題:大量互聯(lián)網(wǎng)服務供應商未能實現(xiàn)網(wǎng)絡入口過濾;網(wǎng)絡入口過濾可以限制互聯(lián)網(wǎng)偽裝包,偽裝包可用于DDoS攻擊。但有分析顯示,82%的互聯(lián)網(wǎng)流量已經(jīng)不能被偽裝了,原因是BCP38標準得到廣泛實施。
F根服務器運營商Paul Vixie提出的另一個解決方案是開發(fā)一個問責模式 ,對那些允許攻擊包經(jīng)過自己網(wǎng)絡的網(wǎng)絡運營商實行懲罰。
Vixie 上個月在一篇博文里表示,“在信用卡、提款卡和電匯這一行里,州法律和聯(lián)邦法律都明確對欺詐交易參與者的法律責任立了條文。”
他表示,“在這一行里,參與者這樣那樣的投資都會在法律責任方面保護自己,即使他們可能會覺得防止欺詐的真正責任應該是別人的事。”
他還指,“而我們在對付DDoS攻擊時沒有這種東西,那些成為僵尸網(wǎng)絡一部分的設備的擁有者、用于反射和放大DDoS攻擊的開放服務器運營商以及那些允許源地址偽裝的網(wǎng)絡所有者和經(jīng)營者,他們的瀆職行為不可避免地導致了DDoS包的出現(xiàn),但他們卻不需要負擔任何成本。”
罕見的事件
這次對根服務器的攻擊是三次具有顯著規(guī)模的持續(xù)攻擊中的一次。最厲害的一次是2007年那次,當時一個約有5000臺計算機的僵尸網(wǎng)絡大量發(fā)包對4個根服務器進行攻擊,兩波的攻擊最終導致2個根服務器癱瘓了幾個小時。
盡管后來發(fā)現(xiàn)2007年這次的攻擊流量來自韓國,但一般認為攻擊是從美國控制的。上周攻擊的細節(jié)尚未有定論。
運營商的第一手分析稱,“值得注意的一個事實是,源地址的分布廣泛而且均勻,而查詢名稱卻不是。所以這次的事件與典型的DNS放大攻擊不同。在DNS放大攻擊里,DNS域名服務器(包括DNS根域名服務器)被用來作為反射點去擊跨第三方。”
但他們做出的結(jié)論是,整個系統(tǒng)在遭到攻擊時表現(xiàn)相當不錯:“DNS根域名服務器系統(tǒng)的運作達到了設計目的;系統(tǒng)在面對從大規(guī)模攻擊時展示了整體上的穩(wěn)健性。”
內(nèi)幕是什么?
2007攻擊和這次攻擊的動機均未能被確定。
通常情況下,DDoS攻擊是為了從公司獲取金錢,或是為了表明政治立場。但對全球互聯(lián)網(wǎng)所依賴的基石本身進行進攻,并不能表明什么明顯的政治立場。不過值得一提的是,除兩個根服務器外,其他根服務器都是由美國企業(yè)運營,其中的三個根服務器是由美國政府運營。
另外,這次攻擊的時間和和時間長度和2007年非常相似,這也是值得注意的,這表明有可能手法是相同的,另一種可能是,發(fā)生攻擊的時間窗口較為突出,可以令網(wǎng)絡運營商了解和減輕發(fā)生的攻擊。
而不太可能成為目標的珍妮特網(wǎng)絡在此前的幾天受到類似的攻擊,這件事也是疑點重重,研究人員肯定會對此事一探究竟。
長期以來,人們一直擔心一些國家會啟動網(wǎng)絡戰(zhàn)爭,最有名的例子是俄羅斯2007年對愛沙尼亞的攻擊,攻擊導致愛沙尼亞全國網(wǎng)絡癱瘓。
比較巧的是,世界各國政府下周將在聯(lián)合國紐約總部開會討論互聯(lián)網(wǎng)治理問題。在作為討論基礎(chǔ)的會議文件里,有整整一節(jié)專門講安全。
文件有關(guān)部分提到:“建立ICT(信息和通信技術(shù))使用上的信心和安全是一項頭等大事,特別是考慮信息和通信技術(shù)正日益被不正當?shù)貫E用及被犯罪分子和恐怖主義活動利用。”