近日,中國網際網路絡資訊中心管理運作的國家.cn頂級域名系統遭受大規模DOS攻擊(拒絕服務攻擊)。據工信部通信保障局介紹,此次攻擊係利用僵屍網路向.cn頂級域名系統持續發起大量針對某遊戲私服網站域名的查詢請求,峰值流量較平常激增近1000倍,造成.cn頂級域名系統的網際網路出口頻寬短期內嚴重擁塞。
遭遇驚魂一夜
較早發佈.cn頂級域名系統遭受大規模DOS攻擊是一家域名解析服務商DNSPod的創始人吳洪聲。他通過新浪實名認證的微博于8月25日零時32分稱:根據DNSPod的監控,目前cn的根域授權DNS全線故障,所有cn域名均無法解析。
“.cn”域名由中國網際網路絡資訊中心(CNNIC)負責管理,面向普通個人開放申請。受影響較大的包括新浪微部落格戶端,和一批以“.cn”為域名的網站。新浪微博緊接著向客戶發出影響服務提醒。
此次攻擊隨後被CNNIC證實。據該中心新浪認證的實名微博稱,8月25日淩晨零時許,國家域名解析節點受到拒絕服務攻擊,經中心處置,至2時許伺服器恢復正常。但淩晨4時許,國家域名解析節點再次受到有史以來最大規模的拒絕服務攻擊。針對這次攻擊的影響,CNNIC副主任齊麟隨後表示,事件並沒有描述的那麼嚴重,攻擊造成部分用戶在讀取.cn域名解析日誌時會有些緩慢。對整個網際網路普通網民訪問網站並沒有大規模影響。
攻擊手段傳統
域名可以被通俗地稱為網際網路網站的地址號牌,.cn域名就是以.cn為結尾的域名。.cn域名是中國國家註冊的頂級域名。目前全球以.cn結尾的網站有800多萬個,其中包括我國各級政府機構網站。
360安全專家石曉虹表示,駭客攻擊者的手法並不新鮮,就是單純的流量攻擊。他認為,兩個原因導致這類攻擊越來越多:首先是工具化自動化越來越明顯;其次是頻寬越來越充足,攻擊者甚至通過直接租用伺服器來進行流量攻擊。石曉虹分析稱,不法分子針對.cn域名所進行的主要是UDP流量洪水攻擊、DNS解析請求拒絕服務攻擊,有可能還混有DNS放大攻擊,最終的目的就是讓網路的頻寬超出服務的頻寬,讓業務請求的數量超出設計的閾值,從而達到DNS解析服務崩潰的目的。
難除攻擊隱患
攻擊事件發生後,工信部于當天上午組織相關單位和專家緊急召開會議,研判事件性質,部署處置工作。工信部要求中國網際網路絡資訊中心、國家電腦網路應急技術處理協調中心以及各基礎電信企業繼續加強監測和資訊報送,採取頻寬擴容、攻擊流量清洗等綜合措施,確保.cn頂級域名系統正常運作,保證網際網路用戶正常上網。同時,組織相關單位進一步查明原因、評估影響、消除隱患。
如何防範這種大規模攻擊呢?對此,石曉虹認為,可以通過3個手段來進行防禦。第一,充足的頻寬和性能很強的DNS伺服器;第二,需要進行安全設備的部署,如流量清洗等,再組織運營商間進行聯動,發現偽造源地址的包或者對來自一個點的大規模攻擊進行阻斷;第三,流量攻擊發起的成本越來越低,通過技術定位辦案的很少,所以在這方面需要加強,定位一起立案一起,嚴懲網路犯罪。
對於大量的中小網站、中小企業而言,花費重金購買網站防護頻寬是不現實的。由於流量攻擊的門檻越來越低,已經形成了專門的黑色産業鏈。僱主可以購買攻擊服務,而且服務還分檔次,包括按攻擊事件分、按流量分或者是打癱瘓為止等多個套餐,價格也會不一樣。一般來説,同行競爭是導致網站被攻擊的最大原因,但被攻擊後很難定位到攻擊者也是這類事件屢見不鮮的重要原因。(文 心)
名詞解釋
1. DNS
DNS是電腦域名系統或域名解析伺服器(Domain Name System 或Domain Name Service) 的縮寫,它是由解析器以及域名伺服器組成的。域名伺服器是指保存有該網路中所有主機的域名和對應IP地址,並具有將域名轉換為IP地址功能的伺服器。DNS是因特網的一項核心服務,它作為可以將域名和IP地址相互映射的一個分佈式數據庫,能夠使人更方便地訪問網際網路,而不用去記住能夠被機器直接讀取的IP數串。
2. DOS攻擊
DOS是Denial of Service的簡稱,意思為拒絕服務攻擊,即攻擊者想辦法讓目標機器停止提供服務,是駭客常用的攻擊手段之一。其實對網路頻寬進行的消耗性攻擊只是拒絕服務攻擊的一小部分,只要能夠對目標造成麻煩,使某些服務被暫停甚至主機當機,都屬於拒絕服務攻擊。拒絕服務攻擊問題一直得不到合理的解決,究其原因是因為這是由網路協議本身的安全缺陷造成的,從而拒絕服務攻擊也就成為了攻擊者的終極手法。攻擊者進行拒絕服務攻擊,實際上是要達到兩種效果:一是迫使伺服器的緩衝區滿負荷,不接收新的請求;二是使用IP欺騙,迫使伺服器把合法用戶的連接復位,影響合法用戶的連接。
[ 責任編輯:張曉靜 ]
原稿件標題URL:
原稿件作者:
轉載編輯:張曉靜
原稿件來源:人民日報海外版
