近日,中国互联网络信息中心管理运行的国家.cn顶级域名系统遭受大规模DOS攻击(拒绝服务攻击)。据工信部通信保障局介绍,此次攻击系利用僵尸网络向.cn顶级域名系统持续发起大量针对某游戏私服网站域名的查询请求,峰值流量较平常激增近1000倍,造成.cn顶级域名系统的互联网出口带宽短期内严重拥塞。
遭遇惊魂一夜
较早发布.cn顶级域名系统遭受大规模DOS攻击是一家域名解析服务商DNSPod的创始人吴洪声。他通过新浪实名认证的微博于8月25日零时32分称:根据DNSPod的监控,目前cn的根域授权DNS全线故障,所有cn域名均无法解析。
“.cn”域名由中国互联网络信息中心(CNNIC)负责管理,面向普通个人开放申请。受影响较大的包括新浪微博客户端,和一批以“.cn”为域名的网站。新浪微博紧接着向客户发出影响服务提醒。
此次攻击随后被CNNIC证实。据该中心新浪认证的实名微博称,8月25日凌晨零时许,国家域名解析节点受到拒绝服务攻击,经中心处置,至2时许服务器恢复正常。但凌晨4时许,国家域名解析节点再次受到有史以来最大规模的拒绝服务攻击。针对这次攻击的影响,CNNIC副主任齐麟随后表示,事件并没有描述的那么严重,攻击造成部分用户在读取.cn域名解析日志时会有些缓慢。对整个互联网普通网民访问网站并没有大规模影响。
攻击手段传统
域名可以被通俗地称为互联网网站的地址号牌,.cn域名就是以.cn为结尾的域名。.cn域名是中国国家注册的顶级域名。目前全球以.cn结尾的网站有800多万个,其中包括我国各级政府机构网站。
360安全专家石晓虹表示,黑客攻击者的手法并不新鲜,就是单纯的流量攻击。他认为,两个原因导致这类攻击越来越多:首先是工具化自动化越来越明显;其次是带宽越来越充足,攻击者甚至通过直接租用服务器来进行流量攻击。石晓虹分析称,不法分子针对.cn域名所进行的主要是UDP流量洪水攻击、DNS解析请求拒绝服务攻击,有可能还混有DNS放大攻击,最终的目的就是让网络的带宽超出服务的带宽,让业务请求的数量超出设计的阈值,从而达到DNS解析服务崩溃的目的。
难除攻击隐患
攻击事件发生后,工信部于当天上午组织相关单位和专家紧急召开会议,研判事件性质,部署处置工作。工信部要求中国互联网络信息中心、国家计算机网络应急技术处理协调中心以及各基础电信企业继续加强监测和信息报送,采取带宽扩容、攻击流量清洗等综合措施,确保.cn顶级域名系统正常运行,保证互联网用户正常上网。同时,组织相关单位进一步查明原因、评估影响、消除隐患。
如何防范这种大规模攻击呢?对此,石晓虹认为,可以通过3个手段来进行防御。第一,充足的带宽和性能很强的DNS服务器;第二,需要进行安全设备的部署,如流量清洗等,再组织运营商间进行联动,发现伪造源地址的包或者对来自一个点的大规模攻击进行阻断;第三,流量攻击发起的成本越来越低,通过技术定位办案的很少,所以在这方面需要加强,定位一起立案一起,严惩网络犯罪。
对于大量的中小网站、中小企业而言,花费重金购买网站防护带宽是不现实的。由于流量攻击的门槛越来越低,已经形成了专门的黑色产业链。雇主可以购买攻击服务,而且服务还分档次,包括按攻击事件分、按流量分或者是打瘫痪为止等多个套餐,价格也会不一样。一般来说,同行竞争是导致网站被攻击的最大原因,但被攻击后很难定位到攻击者也是这类事件屡见不鲜的重要原因。(文心)
名词解释
1. DNS
DNS是计算机域名系统或域名解析服务器(Domain Name System或Domain Name Service)的缩写,它是由解析器以及域名服务器组成的。域名服务器是指保存有该网络中所有主机的域名和对应IP地址,并具有将域名转换为IP地址功能的服务器。DNS是因特网的一项核心服务,它作为可以将域名和IP地址相互映射的一个分布式数据库,能够使人更方便地访问互联网,而不用去记住能够被机器直接读取的IP数串。
2. DOS攻击
DOS是Denial of Service的简称,意思为拒绝服务攻击,即攻击者想办法让目标机器停止提供服务,是黑客常用的攻击手段之一。其实对网络带宽进行的消耗性攻击只是拒绝服务攻击的一小部分,只要能够对目标造成麻烦,使某些服务被暂停甚至主机死机,都属于拒绝服务攻击。拒绝服务攻击问题一直得不到合理的解决,究其原因是因为这是由网络协议本身的安全缺陷造成的,从而拒绝服务攻击也就成为了攻击者的终极手法。攻击者进行拒绝服务攻击,实际上是要达到两种效果:一是迫使服务器的缓冲区满负荷,不接收新的请求;二是使用IP欺骗,迫使服务器把合法用户的连接复位,影响合法用户的连接。
凡注有"浙江在线"或电头为"浙江在线"的稿件,均为浙江在线独家版权所有,未经许可不得转载或镜像;授权转载必须注明来源为"浙江在线",并保留"浙江在线"的电头。