近日著名黑客組織匿名者(Anonymous)對外宣稱,將在2012年3月31日攻擊DNS的13個根服務器,以達到讓全球互聯網癱瘓的目的。Anonymous已經列出了13個DNS根服務器的IP地址,并表示已經編制出一款強大的DDoS攻擊工具,屆時將通過DDoS攻擊,使13個DNS根服務器失效,以達到切斷互聯網的目的。
DNS作為保證互聯網運行的最基本的協議之一,通過提供IP地址和域名轉換服務,幾乎承擔著絕大部分的互聯網應用,如WWW、E-mail以及即時通信等。Anonymous的攻擊一旦成功,那么整個DNS系統將癱瘓,互聯網也將面臨崩潰的危險,這將會給網站和用戶帶來無法估量的損失。
DNS根服務器是DNS樹型域名空間的“根”,負責TLD的解析,對于域名解析起著極其關鍵的作用。在過去的幾年中,黑客和其他組織通過各種方式對根服務器進行過破壞,也成功使某些根服務器的服務受到過短暫影響。那么此次匿名者的攻擊可以成功嗎?
作為國內第一家商用DNS解決方案提供商,北京泰策一直引領著國內的DNS技術發展并關注著DNS行業的動態,其DNS專家表示,若想實現DDoS攻擊,有兩點必須可少:海量的僵尸網絡和精準確定的目標站點。迄今為止,全球共有13臺DNS根服務器,分布在4個國家的9個機構里,在全球共設有289個站點。其中,絕大多數站點都是Global的,在某一根節點的多個Global站點間,采用的是全局負載均衡(GSLB:Gobal Server Load Balance)技術。若想造成互聯網的癱瘓,意味著需要同時造成13個根節點的全部Global站點癱瘓,這對于發動攻擊所需要的僵尸網絡的規模要求非常高,所以若想完全攻擊成功,難度很大。但這決不意味著可以掉以輕心。一方面,匿名者的攻擊在局部范圍內造成一定影響還是有可能的,尤其是中國境內目前已經有10個根節點的站點(北京3個、香港4個、臺灣3個),這更需要國內相關部門的密切關注。另一方面,不排除國內的黑客或不法分子乘機渾水摸魚,對重要目標,如國內電信運營商的DNS,發起攻擊的可能。
同時,三大電信運營商對此次事件已經嚴陣以待,制定了多種應急預案,并進行了安全演練。相關的安全措施包括在本地的DNS遞歸域名服務器中加載由根節點發布的root.zone,暫時跳過根節點并正常完成DNS遞歸工作,或者是將本地的DNS遞歸域名服務器指向一災備站點,由該站點完成遞歸工作,還包括在必要時直接在本地對域名進行強制解析。另外,在有條件的地方,還部署了專用的DNS安全防護設備,以過濾針對DNS服務器的DDoS攻擊。
隨著物聯網、三網融合、新頂級域開放,域名規模將進一步擴大,DNS的管理和安全將面臨更多的挑戰。來自CNNIC的監測數據顯示,目前我國57%的域名解析服務都處于有風險的狀態,來自外部的大規模的攻擊事件頻繁發生,嚴重威脅了域名體系的穩定性。近年來,與DNS相關的安全事件頻發,如519暴風影音(微博)大規模斷網事件、百度(微博)域名劫持事件等。安全意識的缺乏、防護手段的有限、安全威脅種類的不斷變化和增多,使DNS在發揮它基礎核心作用的同時,也不斷暴露在各種攻擊之下。
京公網安備 11010502049343號