DNS出問題到底多可怕？丨專欄_風聞

一、讖曰

小白：東哥，你電腦技術那麼厲害，快來幫我看看，很多原本正常的網站變得不穩定，時不時就打不開，“找不到網頁”，反饋給運營商卻找不到什麼原因，我的電腦怎麼了啊？

大東：我來看看。以你目前電腦的狀況來看，我認為是你電腦的DNS出現故障了。

小白：啊？DNS故障？DNS是什麼啊？

大東：DNS是萬維網上作為域名和IP地址相互映射的一個分佈式數據庫，能夠使用户更方便地訪問互聯網，而不用去記住能夠被機器直接讀取的IP數串。通過域名，最終得到該域名對應的IP地址的過程叫域名解析。

 

  圖片來自網絡

小白：感覺有點複雜啊！東哥，你給我詳細講講DNS通常會出現哪些方面的問題呢？

大東：問題有很多哦！比如，針對域名系統的惡意攻擊會造成域名解析癱瘓，對域名劫持會修改註冊信息、劫持解析結果，甚至還會有國家性質的域名系統安全事件：“.ly”域名癱瘓、“.af”域名的域名管理權變更。

小白：感覺有些嚴重，可是這些我都沒聽過。

大東：網絡世界紛繁複雜，你沒聽過的事情可多了，下面我給你講講相關經典案件吧。

二、話説事件

大東：2009年5月19日21時50分開始，江蘇、安徽、廣西、海南、甘肅、浙江等6省用户申告訪問網站速度變慢或無法訪問，主要表現為域名解析(DNS)響應緩慢或者無法解析。直至5月22日，事件才漸漸平息，這是一次十分嚴重的事件哦！

小白：那這次事件的原因是什麼啊？東哥，你快給我分析分析吧。

大東：此次事件是一次聯動事件，主要分為兩個部分：第一是DNSPod站點的DNS服務器被超過10Gbps流量的DDoS攻擊擊垮，第二是某媒體播放軟件大量頻繁的向電信DNS主服務器發起解析，導致各地區電信主DNS服務器超負荷。

小白：為什麼站點一下子就這麼火了啊？

大東：經過調查，疑似因為網絡遊戲私服之間相互爭奪生意，導致一傢俬服運營商利用了上千台殭屍主機，對DNSPod發動了DDoS洪水攻擊，導致DNS服務器過載以及線路堵塞。

 圖片來自網絡

小白：原來是打遊戲惹的禍啊！那那個媒體播放軟件呢？這第二部分又是為什麼啊？

大東：它的事情更嚴重哦！作為廣泛使用的軟件，不止我們用，有成千上萬的用户安裝使用，然而它的DNS解析機制卻存在缺陷。該軟件的公司僅僅在DNSPod站內部署了一個DNS解析站點，同時該軟件在發生無法解析域名的時候會大量頻繁的向運營商的DNS服務器發起查詢，運營商DNS再向位於DNSPod內的該媒體播放軟件公司DNS服務器查詢。

小白：這就是它“太火”的苦惱咯。

大東：哈哈，是的，因為它“太火”，導致了大量的查詢，客觀上構成了對電信DNS服務器的DDoS攻擊。由於該軟件使用用户非常多，其攻擊能力高出殭屍網絡幾個數量級，導致多個省市電信DNS主服務器過載，它的影響也極大，最終造成了多省斷網。

三、大話始末

小白：像這麼嚴重的事件，我們應該如何解決呀？東哥！

大東：DNS服務器作為互聯網的一個核心部分，容易遭受到攻擊。要徹底解決這個問題，只有不斷地完善Internet安全架構本身，比如檢測和清除殭屍網絡、保障每一台接入到Internet的PC的安全性、建立快速DoS溯源機制等。然而，安全的Internet架構不是一朝一夕能夠建立起來的，因此對DNS的攻擊防護就成為一項重要的安全措施。

小白：東哥，你給我具體講講吧。第一個問題怎麼解決呢？這個應該比較簡單一點吧。

大東：對於以上兩部分的原因，FortiGate IPS分別有不同的對策，但是都不簡單哦！對於沒有規律的大規模DDoS攻擊，FortiGate IPS具有硬件級的防禦能力。它採用專用加速芯片對DDoS攻擊進行識別，可以判斷出哪些是攻擊包，那些是正常訪問流量，從而將正常訪問流量放過而阻擋住攻擊數據包。這樣DNS服務器不會因受到攻擊而過載。

FortiGate 抗DDoS配置（ 圖片來源：腳本之家）

小白：那比較麻煩的媒體播放軟件該怎麼解決呢？

大東：對於有規律的大規模DDoS攻擊，比如由該媒體播放軟件發起的對其官網地址的大量DNS查詢，FortiGate可以制定相應檢測規則，暫時阻擋含有其官網域名的查詢，使得DNS服務器不會過載。FortiGate IPS有超過每秒10萬pps的抗DDoS攻擊能力。

小白：哇，這麼厲害，那這個FortiGate IPS又是什麼呢？

大東：我給你簡單説説FortiGate IPS的特點吧。它可以防禦混合攻擊、入侵企圖、病毒、木馬、蠕蟲、間諜軟件、灰色軟件、廣告軟件和拒絕式攻擊等種類廣泛的攻擊和惡意行為。Fortinet採用基於網絡的ASIC加速的硬件平台，以及一系列的高級的動態入侵檢測引擎，可以以更低的總體擁有成本，實現針對多種攻擊的更高級別的安全性能。

小白：有了這麼強大的防禦系統，我們這些普通小網民就安心了。對了，東哥，2009年的這次“斷網”事件，算是我國最大的DNS攻擊事件了吧？那國外有什麼類似的事件發生嗎？

大東：當然有啊！2016年10月22日早晨，大半個美國的用户就遭遇了一次集體“斷網”事件，讓很多人都陷入混亂當中。據外媒報道，各大美國熱門網站都出現了無法訪問的情況。

小白：這個聽起來更嚴重哦！那這次事件的原因是什麼呢？

大東：這次事件的確更嚴重，此次“斷網”事件是由於美國最主要DNS服務商Dyn遭遇了大規模DDoS攻擊所致。媒體將此次事件形容為“史上最嚴重DDoS攻擊”，不僅規模驚人，而且對人們生活產生了嚴重影響。

FortiGate IPS特徵（ 圖片來源：腳本之家）

小白：咦？東哥，你能給我解釋一下DDoS攻擊是什麼嗎？

大東：簡單來説，DDoS攻擊，也叫拒絕式服務攻擊，其攻擊方式相當的簡單粗暴，通過堆砌大量的垃圾數據，使得用户的正常登錄被“堵塞”。

小白：再等等……東哥，這個Dyn又是幹什麼的啊？

大東：Dyn主要職責就是將域名解析為IP地址，從而準確跳轉到用户想要訪問的網站。所以當其遭受攻擊，就意味着來自用户的網頁訪問請求無法被正確接收解析，從而導致訪問錯誤。可以肯定，這是一次有組織有預謀的網絡攻擊行為，攻擊行為來自超過一千萬IP來源。

小白：東哥，聽你這麼通俗易懂地解説，我這“門外漢”也明白了呢！

四、小白內心説

小白：DNS發生故障對我們的影響真是太大了。

大東：是啊，而且和高昂的防護成本來説，黑客DDOS攻擊的成本卻微不足道。相比起域名服務商和IDC服務提供商來説，大多數個人、商業或者政府網站對DDOS防護能力是十分微弱的，在目前動輒10G甚至數十GB的攻擊面前，根本不堪一擊。網絡安全環境是越來越讓我們擔心，而與日俱增的安全成本，更使得不少企業不堪重負。

 圖片來自網絡

小白：網絡安全的重要性越來越突顯，真的希望從個人到國家都可以把網安重視起來，我們一起營造一個安全健康的網絡環境。

大東：是啊。雖然這次事故是偶然事件，但也是必然會發生的。雖然DNS是一個最基礎的服務，但是大家對它的關注卻不是很多。目前，Web防範措施已經比較完善，但基於DNS的防範依然很弱，“如果對方要再次有預謀地進攻，現在的條件未必能防得住”。

小白：如果再次遭到攻擊，那後果真是難以想象啊！

大東：小白，不太要擔心哦！DNS從業者已經在努力啦！事實上，DNS協議自身已包含了分佈式對抗攻擊的設計思路，權威服務系統並不需要向全球用户提供域名查詢服務，大量的終端查詢應該由本地的遞歸服務系統解決。小白，對於DNS的防護，我們一定要重視起來呀！

小白：好的，東哥，我一定多多閲讀相關文章，更加留心DNS的防護。

來源：中國科學院計算技術研究所