從“5.19斷網事件”分析電子商務網站的安全問題

季杭蕾 葉晰

[摘 要]本文首先回顧了2009年的“5·19 斷網事件”，詳細分析了該事件發生的背景、起因和攻擊的實施步驟等，最后提出了防范此類事件的安全措施。

[關鍵詞]電子商務 DDoS 網絡安全 DNS 斷網事件

隨著網絡技術的發展，電子商務和電子政務等信息化工程也日益完善，然而從安全的角度來看，電子商務網站所面臨的網絡安全問題卻始終如揮之不去的夢魘。DDoS（Distributed Deny of Service-分布式拒絕服務攻擊）攻擊是一種很難被徹底解決的電子商務網站安全問題，其危害較大，往往可造成網站訪問延時甚至癱瘓。中國最近一次大的DDoS攻擊事件發生在2009 年5月19 日。當天晚上受暴風影音軟件存在的設計缺陷以及免費智能DNS軟件DNSPod的不健壯性影響，黑客通過僵尸網絡控制下的DDoS攻擊，致使我國江蘇、安徽、廣西、海南、甘肅、浙江等省在內的23 個省出現罕見的斷網故障，即“5·19 斷網事件”。

一、“5·19 斷網事件”事件回顧

“5·19 斷網事件”是綜合了多種因素后產生的結果，其起因是一私人游戲服務器（簡稱私服）的所有者攻擊競爭對手的游戲服務器未果，轉而攻擊為對手的游戲服務器提供免費動態DNS解析服務的DNSPod網站（www.dnspod.cn），其具體實施步驟可歸納如下：

1.如下圖所示，攻擊者通過控制互聯網上大量的傀儡機（被僵尸網絡控制的計算機）向DNSPod服務器發起DDoS攻擊，使DNSPod服務器無法為正常用戶提供域名解析（域名轉換成IP地址）服務，直至癱瘓。

2.暴風影音網站（baofeng.com）的域名解析使用的也是DNSPod服務器，當DNSPod服務器被攻擊癱瘓后，根據域名解析的遞歸機制，所有客戶端對“*.baofeng.com” 網站的解析請求將被轉向DNSPod服務器的上一級DNS服務器（即電信運營商的DNS服務器）。

3.暴風影音為了獲得更高的廣告點擊率，在后臺暗藏了機關——安裝了暴風影音客戶端軟件的計算機在啟動時會自動鏈接到暴風影音網站（*.baofeng.com）。而當暴風影音軟件在得不到DNS響應（DNSPod服務器已癱瘓）時，會不斷發送DNS解析請求報文（每分鐘100 次以上）到電信運營商的DNS服務器。由于使用暴風影音軟件的用戶數量巨大，致使最終到達電信運營商的DNS服務器的流量高達10GB/s左右。

4.雖然電信運營商的DNS服務器進行了分布式部署，但大部分省份的DNS遞歸服務器仍無法承受如此巨大數量的域名解析請求報文，導致服務器CPU和內存資源耗盡，最終這些DNS服務器處于癱瘓狀態。

5.由于DNS服務器的作用是把域名翻譯成IP地址，故電信DNS服務器癱瘓后，除直接使用IP地址外（一般用戶很少直接記憶IP地址），絕大多數互聯網用戶的DNS域名解析請求得不到響應，從而產生斷網現象。

二、“5·19 斷網事件”事件剖析

1. 從本質上來說“5·19 斷網事件”未發生斷網，網絡本身是暢通無阻的，大面積中斷的是DNS服務，故該事件的準確表述應為“5·19 DNS服務中斷事件”。這一事件再次告戒我們：在互聯網中越是由最基礎服務的安全產生的威脅，其影響力越大，范圍越廣。作為互聯網基礎服務的DNS，每天有海量的域名解析信息產生，其個體的安全性已經直接影響著互聯網的安全。

2.該事件最初是由兩位私服擁有者的互相攻擊造成的，但他們主觀上沒有破壞全國性網絡的意圖。而之所以造成如此大的影響，其中暴風影音扮演著非常重要的中間人角色。正由于暴風影音軟件的“流氓化”行為，無意間綁架了大量的安裝該軟件的用戶，使他們成為了發動對電信DNS服務器攻擊的傀儡機。從此事件中我們看到除了各大軟件商必須自律之外，相應職能部門也應該加強對流氓軟件或功能的管理和監督。

3. DDoS攻擊已成為目前互聯網上黑客經常采用的攻擊手段。DDoS 原理很簡單，就是利用網絡掌控并集結盡量多的傀儡機來攻擊目標機以期達到比單機大得多殺傷力，其危害極大且難以防御。目前為止網絡業界并沒有可以徹底消除DDoS攻擊的措施，提高硬件設施性能也只能做到降低攻擊程度的級別。

三、對此類事件的安全防范方法

1.相應職能部門加強對各種流氓軟件的監督和管理，消除軟件后門存在的安全隱患。

2.DNS清洗服務?！?·19 斷網事件”中，當電信運營商得知DNSPod服務器被攻陷后，立即進行了清洗服務。根據域名解析體系中的緩存機制，大量遞歸域名解析服務器中的解析記錄一般至少要保存24 小時，也就是說即使是錯誤的信息也需要在24小時之后才能夠被系統自動刪除。DNS清洗服務可以解決DNS緩存帶來的域名錯誤查詢問題。

3.DNS服務器的冗余備份。冗余備份是DNS服務器安全管理中采用的一種較為普遍的方法。為了保障DNS服務的可靠性，我們可以采用多機備份方案以提高系統的抗攻擊能力。

4.對軟件漏洞的管理。軟件漏洞主要包括操作系統的漏洞和DNS應用軟件的漏洞。針對利用漏洞的攻擊，最有效的防范方法是升級到最新的版本，并及時安裝補丁程序。

5.加強對DDoS攻擊的防范。

四、結束語

“5·19 斷網事件”已經平息，發起DDoS攻擊的黑客已經被抓獲，暴風影音公司也及時推出了新版綠色軟件，但由此事件引發的針對DNS服務的安全問題還時時在警示著我們：未來互聯網的安全不容樂觀，尤其像DNS這類基礎服務的安全問題更應引起重視。只有一個健康安全的網絡，才能讓電子商務活動蓬勃發展。

參考文獻:

[1]何小波.DDoS攻擊防御新思考.商場現代化,2009年3月下旬刊，123-124頁

[2]何培源.電子商務網站安全中的DDoS攻防博弈.物流科技,2009年第1期，34-39頁