CN根域名被攻擊至癱瘓，誰之過?

2013年8月25日凌晨，.CN域名凌晨出現大範圍解析故障，經分析.CN的根域授權DNS全線故障，導致大面積.CN域名無法解析。事故造成大量以.cn和.com.cn結尾的域名無法訪問。直到當日凌晨4點左右，CN根域名服務器的解析才有部分恢復。此後，經CNNIC確認，國家域名解析節點遭受到有史以來規模最大的拒絕服務攻擊，導致訪問延遲或中斷，部分網站的域名解析受到影響。而距本次事故發生一個月之後，本月24號，CNNIC和工信部終於揪出了本次攻擊事件的始作俑者--一名來自山東青島的黑客。

據調查發現，該黑客本意是要攻擊一個遊戲私服網站，使其癱瘓，後來他為了更快達到這個目的，直接對.CN的根域名服務器進行了DDoS攻擊，發出的攻擊流量堵塞了.CN根服務器的出口帶寬(據工信部數據：攻擊時峯值流量較平常激增近1000倍，近15G)，致使.CN根域名服務器的解析故障，使得大規模的.CN域名無法正常訪問。

DDoS攻擊背後的利益鏈條

大家可能會有疑問，看似普通的DDoS攻擊其背後究竟隱藏着什麼？一句話：為了利益。本次事故中攻擊者使用的手法(譬如攻擊一些“私服”的網站或主機)並不罕見，且近些年有愈演愈烈的趨勢。自國內的互聯網事業興起以來，國內有一些常年進行DDoS攻擊的組織或個人，脅迫某些“私服”遊戲的運營團隊並收取“保護費”，如果不合作便採取DDoS暴力攻擊，使其無法正常運營。而這些“私服”的運營團隊本身業務就涉及侵權，所以他們在遇到DDoS威脅時絕不敢報警或維權，往往是被迫接受。這種惡性循環的結果就是這些網絡中的惡意脅迫越來越肆無忌憚，這些從事DDoS攻擊商業行為的組織或個人也演變成了各式各樣的“網絡黑幫”，各式黑色產業鏈也層出不窮。由於當今互聯網上DDoS攻擊的門檻已經越來越低，僱主可以購買DDoS攻擊服務，攻擊可指定時間、指定流量、指定攻擊效果。總的來説，同行業間的惡意競爭是導致DDoS攻擊愈演愈烈的最大原因，同時被攻擊後定位攻擊者所花費的成本較高也是這類事件層出不窮的重要原因。

為何選擇針對DNS服務器進行DDoS攻擊

一直以來作為網絡基礎設施的DNS系統，給我們提供了訪問互聯網的便利，用户只需記住域名就可以訪問到互聯網上的對應主機。當你在瀏覽器中輸入一個域名時，DNS的解析過程就開始了，一般的DNS解析過程如圖1、圖2所示：

下面來聊一聊現有互聯網上運行的DNS系統所可能遭受到的風險。大家應該都瞭解，根域名服務器是DNS系統中最高級別的域名服務器，全球一共有13台，多數分佈在美國。首先，DNS系統是一箇中心化的樹形結構，很容易遭受DDoS攻擊，且越靠近中心攻擊效果越為顯著；其次，現有DNS系統的迭代查詢方式，對根域和頂級域解析服務器依賴非常嚴重；再次，現有互聯網上存在着大量開放式的DNS域名服務器，這些服務器通常擁有強大的性能和帶寬，利用DNS反射技術的放大效應，可以產生近其帶寬百倍的攻擊流量。所以這些開放式的DNS服務器極其容易成為黑客們青睞的DDoS攻擊“肉雞“。這對整個互聯網的基礎設施都是巨大的安全威脅。

在對現有DNS協議的風險評估上，DNS協議是很脆弱且不安全的。為什麼説DNS協議很脆弱呢？一方面DNS協議是明文協議，協議裏帶的信息可以很容易的被篡改、偽造，使得DNS協議易成為暴露用户行為的工具；另一方面，若在現有協議傳輸上採用加密手段，現有DNS體系無法承受加密帶來的開銷和技術升級的成本。

正因為DNS系統的脆弱性和其協議設計上的缺陷，所以歷史上針對DNS的攻擊事件也比較多，影響比較大有2013年針對Spamhaus的攻擊事件、2009年5.19斷網、2008年DNS緩存投毒，以及2002年全球根域名服務器被攻擊等等。

深入剖析本次.CN被攻擊事件

從本次.CN根服務器被DDoS攻擊的手法上來看，有兩種可能性，一種可能是黑客使用DDoS方法攻擊某個.CN域名，而較大的攻擊流量或海量的查詢請求卻把該.CN域名上一級根服務器打掛；第二種可能是黑客直接把DDoS攻擊矛頭指向了.CN的根域名服務器。針對DNS系統，常見的DDoS攻擊手法是：

1)傳統DDoS攻擊： 流量型(以堵塞網絡帶寬為主要攻擊目的)，包括UDP洪水攻擊；TCP流量攻擊；資源消耗型(以消耗目標機器可用資源為攻擊目的)，包括SYN洪水攻擊，ACK洪水攻擊，ACK反射攻擊，慢速消耗攻擊等；

2)DNS特有DDoS攻擊：DNS反射攻擊(放大效應)、DNS查詢攻擊(殭屍主機發起的海量請求)、變域名攻擊：構造隨機域名(或畸形域名)的查詢請求，利用殭屍網絡對目標域名或主機進行攻擊(如圖3所示)。