域名根服務(wù)器遭兩次大規(guī)模攻擊:每秒500萬次
發(fā)布時(shí)間:2015-12-11北京時(shí)間12月11日凌晨消息,多個(gè)域名系統(tǒng)根服務(wù)器在上周初遭到兩次攻擊,,每次攻擊都持續(xù)了一兩個(gè)小時(shí),,這些根服務(wù)器最多時(shí)每秒收到的查詢請求高達(dá)500萬次。
當(dāng)用戶在瀏覽器中輸入一個(gè)域名時(shí),,根服務(wù)器是判定返還哪個(gè)IP地址的最終權(quán)威參考,。
第一次攻擊事件發(fā)生在11月30日,當(dāng)時(shí)的攻擊持續(xù)了2小時(shí)40分鐘,。第二次則發(fā)生在隨后一天,,持續(xù)時(shí)間為將近一小時(shí)。構(gòu)成互聯(lián)網(wǎng)DNS(域名服務(wù)器)根區(qū)的13個(gè)根服務(wù)器大都受到了攻擊,,但也有少數(shù)未受影響,。兩次攻擊都是自行開始和結(jié)束的,僅包含了對兩個(gè)未披露域名的數(shù)十億次無效查詢請求,,每次攻擊涉及一個(gè)域名,。目前還不清楚這些攻擊事件背后的操縱者或其根源。
盡管數(shù)據(jù)加載量大到了足以被監(jiān)控互聯(lián)網(wǎng)根服務(wù)器的外部系統(tǒng)偵測到的程度,,但這兩次攻擊事件幾乎并未對數(shù)十億名互聯(lián)網(wǎng)終端用戶帶來影響,,部分原因是根服務(wù)器只有在一個(gè)大型中間DNS服務(wù)器未能提供IP地址轉(zhuǎn)換的情況下才會(huì)發(fā)揮職能,而另一部分原因則是數(shù)以百計(jì)的服務(wù)器都采用了穩(wěn)健設(shè)計(jì),。
“我的結(jié)論是,,這些事件對普通用戶來說幾乎可以說是‘并未發(fā)生’。”貝勒大學(xué)(Baylor University)信息系統(tǒng)教授蘭達(dá)爾?沃恩(Randall Vaughn)說道,?!八麄円词歉緵]注意到,要么是沒想到根服務(wù)器正在遭受攻擊,?!?/span>
雖然對終端用戶幾乎沒有影響,但仍不可小覷這些攻擊事件,,這是因?yàn)樵谝粋€(gè)小時(shí)或更多時(shí)間里對大多數(shù)根服務(wù)器發(fā)出每秒鐘500萬次查詢請求需要極其龐大的計(jì)算能力和帶寬,。域名系統(tǒng)運(yùn)營分析及研究中心(Domain Name System Operations Analysis and Research Center)總裁基思?米歇爾(Keith Mitchell)稱,如此龐大的查詢請求最高相當(dāng)于一個(gè)根服務(wù)器正常數(shù)據(jù)加載量的250倍以上,。他指出,,正常情況下應(yīng)該在每秒鐘2萬次到5萬次之間。
更令人擔(dān)心的是,,域名服務(wù)器收到的垃圾查詢請求采用了IP Anycast路由方式,,而公共IP地址在分配給多個(gè)分散地域的服務(wù)器時(shí)采用的也是這種方法。由于這兩次攻擊針對的是Anycast根服務(wù)器的緣故,,這意味著令這些攻擊成為可能的龐大資源同樣也具有地域分散性,,而不是僅來自于少數(shù)地點(diǎn)的資源。
“這些攻擊事件值得關(guān)注,,原因在于源地址是廣泛而均勻地分布的,,而查詢域名則不是?!鄙现芪骞嫉囊环莨嬷赋?。“因此,,這些事件并不是普通的DNS放大攻擊,,原因是在這種攻擊中,DNS域名服務(wù)器(包括DNS根域名服務(wù)器)都是被用作反射點(diǎn)以攻擊第三方,?!?/span>
對于這種攻擊,最合理的解釋是大量被感染的電腦或其他聯(lián)網(wǎng)設(shè)備組成了一個(gè)龐大的“僵尸網(wǎng)絡(luò)”,,這可以解釋攻擊是如何發(fā)生的,,但無法解釋攻擊發(fā)生的原因。同時(shí),,這種攻擊還再次引發(fā)了有關(guān)各個(gè)網(wǎng)絡(luò)應(yīng)執(zhí)行BCP 38標(biāo)準(zhǔn)的呼聲,,這是一種用于應(yīng)對IP地址電子詐騙的互聯(lián)網(wǎng)工程任務(wù)組(Internet Engineering Task Force standard)標(biāo)準(zhǔn)。很多網(wǎng)絡(luò)都已執(zhí)行這個(gè)標(biāo)準(zhǔn),,但也有一些還沒有,,從而令此類攻擊有可能發(fā)生,。
