近日,中國互聯(lián)網(wǎng)絡信息中心管理運行的國家.cn頂級域名系統(tǒng)遭受大規(guī)模DOS攻擊(拒絕服務攻擊)。據(jù)工信部通信保障局介紹,此次攻擊系利用僵尸網(wǎng)絡向.cn頂級域名系統(tǒng)持續(xù)發(fā)起大量針對某游戲私服網(wǎng)站域名的查詢請求,峰值流量較平常激增近1000倍,造成.cn頂級域名系統(tǒng)的互聯(lián)網(wǎng)出口帶寬短期內(nèi)嚴重擁塞。
遭遇驚魂一夜
較早發(fā)布.cn頂級域名系統(tǒng)遭受大規(guī)模DOS攻擊是一家域名解析服務商DNSPod的創(chuàng)始人吳洪聲。他通過新浪實名認證的微博于8月25日零時32分稱:根據(jù)DNSPod的監(jiān)控,目前cn的根域授權DNS全線故障,所有cn域名均無法解析。
“.cn”域名由中國互聯(lián)網(wǎng)絡信息中心(CNNIC)負責管理,面向普通個人開放申請。受影響較大的包括新浪微博客戶端,和一批以“.cn”為域名的網(wǎng)站。新浪微博緊接著向客戶發(fā)出影響服務提醒。
此次攻擊隨后被CNNIC證實。據(jù)該中心新浪認證的實名微博稱,8月25日凌晨零時許,國家域名解析節(jié)點受到拒絕服務攻擊,經(jīng)中心處置,至2時許服務器恢復正常。但凌晨4時許,國家域名解析節(jié)點再次受到有史以來最大規(guī)模的拒絕服務攻擊。針對這次攻擊的影響,CNNIC副主任齊麟隨后表示,事件并沒有描述的那么嚴重,攻擊造成部分用戶在讀取.cn域名解析日志時會有些緩慢。對整個互聯(lián)網(wǎng)普通網(wǎng)民訪問網(wǎng)站并沒有大規(guī)模影響。
攻擊手段傳統(tǒng)
域名可以被通俗地稱為互聯(lián)網(wǎng)網(wǎng)站的地址號牌,.cn域名就是以.cn為結尾的域名。.cn域名是中國國家注冊的頂級域名。目前全球以.cn結尾的網(wǎng)站有800多萬個,其中包括我國各級政府機構網(wǎng)站。
360安全專家石曉虹表示,黑客攻擊者的手法并不新鮮,就是單純的流量攻擊。他認為,兩個原因?qū)е逻@類攻擊越來越多:首先是工具化自動化越來越明顯;其次是帶寬越來越充足,攻擊者甚至通過直接租用服務器來進行流量攻擊。石曉虹分析稱,不法分子針對.cn域名所進行的主要是UDP流量洪水攻擊、DNS解析請求拒絕服務攻擊,有可能還混有DNS放大攻擊,最終的目的就是讓網(wǎng)絡的帶寬超出服務的帶寬,讓業(yè)務請求的數(shù)量超出設計的閾值,從而達到DNS解析服務崩潰的目的。
難除攻擊隱患
攻擊事件發(fā)生后,工信部于當天上午組織相關單位和專家緊急召開會議,研判事件性質(zhì),部署處置工作。工信部要求中國互聯(lián)網(wǎng)絡信息中心、國家計算機網(wǎng)絡應急技術處理協(xié)調(diào)中心以及各基礎電信企業(yè)繼續(xù)加強監(jiān)測和信息報送,采取帶寬擴容、攻擊流量清洗等綜合措施,確保.cn頂級域名系統(tǒng)正常運行,保證互聯(lián)網(wǎng)用戶正常上網(wǎng)。同時,組織相關單位進一步查明原因、評估影響、消除隱患。
如何防范這種大規(guī)模攻擊呢?對此,石曉虹認為,可以通過3個手段來進行防御。第一,充足的帶寬和性能很強的DNS服務器;第二,需要進行安全設備的部署,如流量清洗等,再組織運營商間進行聯(lián)動,發(fā)現(xiàn)偽造源地址的包或者對來自一個點的大規(guī)模攻擊進行阻斷;第三,流量攻擊發(fā)起的成本越來越低,通過技術定位辦案的很少,所以在這方面需要加強,定位一起立案一起,嚴懲網(wǎng)絡犯罪。
對于大量的中小網(wǎng)站、中小企業(yè)而言,花費重金購買網(wǎng)站防護帶寬是不現(xiàn)實的。由于流量攻擊的門檻越來越低,已經(jīng)形成了專門的黑色產(chǎn)業(yè)鏈。雇主可以購買攻擊服務,而且服務還分檔次,包括按攻擊事件分、按流量分或者是打癱瘓為止等多個套餐,價格也會不一樣。一般來說,同行競爭是導致網(wǎng)站被攻擊的最大原因,但被攻擊后很難定位到攻擊者也是這類事件屢見不鮮的重要原因。(文 心)
名詞解釋
1. DNS
DNS是計算機域名系統(tǒng)或域名解析服務器(Domain Name System 或Domain Name Service) 的縮寫,它是由解析器以及域名服務器組成的。域名服務器是指保存有該網(wǎng)絡中所有主機的域名和對應IP地址,并具有將域名轉換為IP地址功能的服務器。DNS是因特網(wǎng)的一項核心服務,它作為可以將域名和IP地址相互映射的一個分布式數(shù)據(jù)庫,能夠使人更方便地訪問互聯(lián)網(wǎng),而不用去記住能夠被機器直接讀取的IP數(shù)串。
2. DOS攻擊
DOS是Denial of Service的簡稱,意思為拒絕服務攻擊,即攻擊者想辦法讓目標機器停止提供服務,是黑客常用的攻擊手段之一。其實對網(wǎng)絡帶寬進行的消耗性攻擊只是拒絕服務攻擊的一小部分,只要能夠?qū)δ繕嗽斐陕闊鼓承┓⻊毡粫和I踔林鳈C死機,都屬于拒絕服務攻擊。拒絕服務攻擊問題一直得不到合理的解決,究其原因是因為這是由網(wǎng)絡協(xié)議本身的安全缺陷造成的,從而拒絕服務攻擊也就成為了攻擊者的終極手法。攻擊者進行拒絕服務攻擊,實際上是要達到兩種效果:一是迫使服務器的緩沖區(qū)滿負荷,不接收新的請求;二是使用IP欺騙,迫使服務器把合法用戶的連接復位,影響合法用戶的連接。
[ 責任編輯:張曉靜 ]
原稿件標題URL:
原稿件作者:
轉載編輯:張曉靜
原稿件來源:人民日報海外版
