全球互联网域名根服务器遭两次大规模DDos攻击

RIPE阿特拉斯监测系统的图显示了攻击的影响

 

11月30日和12月1日,DNS根服务器遭到两次大规模攻击,攻击使用的IP是随机分布的,但查询的域名不是,攻击流量大约为最高每秒500万次查询。两次攻击都持续了长达一两个小时。

根服务器是当用户在浏览器中输入一个域名时,用于判定返还哪个IP地址的最终权威参考。

第一次攻击发生于11月30日,持续了2小时40分钟。而第二次则发生在随后一天,持续时间为将近一小时。构成互联网DNS(域名服务器)根区的13个根服务器大都受到了攻击,但也有少数未受影响。两次攻击都是自行开始和结束的,仅包含了对两个未披露域名的数十亿次无效查询请求,每次攻击涉及一个域名。目前还不清楚攻击事件背后的源由。

尽管数据加载量大到了足以被监控互联网根服务器的外部系统侦测到的程度,DNS根服务器管理员称,终端用户没有受到攻击影响。贝勒大学(Baylor University)信息系统教授兰达尔·沃恩(Randall Vaughn)表示:“他们可能是根本没注意到,也可能是没想到根服务器正在遭受攻击。”

虽然对终端用户几乎没有影响,但仍不可小觑。因为在一个小时或更多时间里对大多数根服务器发出每秒钟500万次查询请求需要极其庞大的计算能力和带宽。域名系统运营分析及研究中心(Domain Name System Operations Analysis and Research Center)总裁基思·米歇尔(Keith Mitchell)称,如此庞大的查询请求最高相当于一个根服务器正常数据加载量的250倍以上。他指出,正常情况下应该在每秒钟2万次到5万次之间。

更令人担心的是,域名服务器收到的垃圾查询请求采用了IP Anycast路由方式,而公共IP地址在分配给多个分散地域的服务器时采用的也是这种方法。由于这两次攻击针对的是Anycast根服务器的缘故,这意味着令这些攻击成为可能的庞大资源同样也具有地域分散性,而不是仅来自于少数地点的资源。

“这些攻击事件值得关注,原因在于源地址是广泛而均匀地分布的,而查询域名则不是。”上周五公布的一份公告指出。“因此,这些事件并不是普通的DNS放大攻击,原因是在这种攻击中,DNS域名服务器(包括DNS根域名服务器)都是被用作反射点以攻击第三方。”

对于这种攻击,最合理的解释是大量被感染的电脑或其他联网设备组成了一个庞大的“僵尸网络”,这可以解释攻击是如何发生的,但无法解释攻击发生的原因。同时,这种攻击还再次引发了有关各个网络应执行BCP 38标准的呼声,这是一种用于应对IP地址电子诈骗的互联网工程任务组(Internet Engineering Task Force standard)标准。很多网络都已执行这个标准,但也有一些还没有,从而令此类攻击有可能发生。

管理员认为可以利用源地址验证和 BCP-38去减少滥用网络发动攻击的能力。

建立ICT(信息和通信技术)使用上的信心和安全是一项头等大事,特别是考虑信息和通信技术正日益被不正当地滥用及被犯罪分子和恐怖主义活动利用。