是什么讓半個美國互聯網癱瘓？

是什么讓半個美國互聯網癱瘓？

圖1　物聯網的勒索

美國時間10月21日（以下提到時間均為美國時間），DDoS攻擊導致大半個美國互聯網癱瘓。此次攻擊，從早上7時左右一直持續到當天下午18時，黑客總共發起三波攻擊，影響范圍波及歐美，包括推特（Twitter）、亞馬遜、Paypal、BBC、華爾街日報及紐約時報等在內的多家知名網站，在攻擊中一度癱瘓，Twitter甚至出現了近24小時0訪問的局面，所造成的直接和間接經濟損失更是一個天文數字。

事件原由

美國域名服務供應商DYN是此次攻擊的主要目標，而根據DYN的聲明，黑客在攻擊活動中利用存在漏洞的物聯網設備，此次的攻擊是一次成熟的分布式攻擊，在10秒鐘內，由數百萬的IP地址發起。能夠確定的是，根據Akamai（知名cdn廠商）的分析，其中一個源頭是由被Mirai僵尸網絡控制的IOT（物聯網設備）發起。

2016年9月，一位名叫Anna Senpai的黑客將Mirai僵尸網絡源代碼發布到Hackforums這一地下黑客社區當中。Mirai僵尸網絡能夠感染各類存在漏洞的物聯網設備，其中包括安保攝像頭、DVR以及互聯網路由器等。由于很多人購買物聯網設備之后并不修改固定密碼，而廠商基本上都使用的是熟知的固定密碼，以至于相當數量的智能硬件攜帶非常多的漏洞，很容易被攻破。Mirai僵尸網絡，就是主要通過暴力破解物聯網設備被惡意感染，同時Mirai的源代碼已經開源，導致被很多黑客使用。也就是說分布在各家各戶的攝像頭、智能傳感器、智能門磁、智能冰箱洗衣機等智能硬件們都可能成為了黑客們發起攻擊的利器，成為僵尸網絡中的肉雞設備，并被用于實施大規模DDoS攻擊。

根據安全記者Brian Krebs的說法，黑客們如今能夠冒充其作者Anna Senpai以利用Mirai對目標基礎設施服務供應商進行針對性打擊。網絡惡意人士亦可借此以DDoS攻擊為要挾，冒用Mirai開發者的名字以威脅各托管服務供應商，從而通過勒索獲取非法所得。

而根據Flashpoint、Level 3 Communications以及BackConnect等安全研究機構的說法，Mirai僵尸網絡確實被應用在了針對Dyn公司的攻擊活動當中。

ESET安全專家Mark James在接受采訪時表示，“DDoS如今已經被廣泛用于實施破壞與滋擾。隨著可被感染的設備數量持續增加，具備可行性的僵尸網絡構成類型也變得愈發豐富，相關資源的規模正快速得到擴張。DDoS當然不僅僅被用于發布抗議聲明或者強調自身立場，其在不少情況下還可能被作為煙幕，即用于掩蓋其它真實惡意目標，包括數據竊取或者惡意軟件感染等。”

低成本攻擊導致高額損失

不管此次攻擊背后的動機是什么，攻擊造成的經濟損失卻是不可估量的。2014年Imperva Incapsula公司給出報告：超過三分之一的公司遭受DDoS攻擊后每小時損失2萬美元以上（部分公司這一數字可達到百萬甚至千萬美元）。考慮到此次受波及的公司數目眾多，斷斷續續接近6個小時，直接損失就已經是天文數字。此外，公司除了在被攻擊期間可能損失訂單等等，事發后還要忍受一段時間的工作效率大幅下降，并耗資進行軟硬件維修升級。這部分人力物力時間效率的成本，折現的話也將是非常大的數目。

然而，鮮明的對比是，黑客作案的成本卻非常低。市面上甚至花費低至5美元即可雇傭專人進行DDoS攻擊！這也是DDoS攻擊愈演愈烈、造成損失越來越多的重要原因之一。

還原攻擊原理

相關資料分析表明，此次造成問題的惡意流量可能首先抵達了距離發起位置最近的DYN服務副本處，遵循其ISP路由——但此路由機制并不會對流量加以控制。通過路由圖，應該可以看到流量的主要源頭或者與其距離最近的DYN節點所在。

“假設DYN公司在多個位置以對等方式發布其服務，那么大家應該會發現大規模源頭攻擊會被引導至與之距離最近的DYN節點或者副本處，這意味著此番攻擊的主要流量源頭很可能位于美國本土。”MWR信息安全公司高級安全顧問Adam Horsewood分析認為。

目前，全球域名總數超過3億，域名服務器數量超過1000萬臺，每天提供千億次的查詢服務。域名系統在后臺支撐著互聯網產業中各類業務應用的開展和互聯互通，在互聯網體系中處于承上啟下的關鍵地位，同時也容易成為黑客們的關注對象和攻擊目標。

美國DNS受攻擊事件發生之后，域名工程中心的總工程師王偉博士在ZDNS雜志上撰文還原攻擊的狀況，認為“這就是一個DNS版本的CDN（內容分發網絡Content Delivery Network），實現了源站和服務站的分離，理論上，在這種模型架構下，來自終端（PC、手機、物聯網設備）的訪問流量不應到達權威服務器，DDoS攻擊流量也應該在本地電信運營商的遞歸服務層面被消解掉，無法造成全網影響。”

王偉域名工程中心ZDNS總工程師

繞不過去的問題及其破解

王偉博士認為：“域名系統自誕生之日起，就是一直是網絡攻擊的重點目標。如同手機中誤刪通訊錄導致無法撥打電話（除非直接記得電話號碼），DNS服務不可用，也會導致用戶終端無法獲知網站IP地址而無法發起訪問。”

他分析到，DNS有三個繞不過去的關鍵問題：

1.作為最核心最基礎的支撐服務之一，DNS在互聯網體系中的關鍵地位一直沒有變化；但針對抗攻擊問題，除了在工程層面加大DNS節點數量和服務規模，DNS協議層面其實也沒有大的改進。

2.DNS的基礎性和全局性，注定了對DNS的攻擊可以達到以點制面、擊一發而動全身的效果，具有投資小、見效快的優點，幾乎每次DNS運行故障或攻擊得手，都能引發區域性、甚至全球性互聯網社群的哀鴻。

3.摩爾定律、庫茨維爾定律和尼爾森定律使得發動DDoS規模攻擊的成本越來越低，與DNS關鍵地位不相襯的是，在DDoS攻擊規模幾何級增長的對比下，DNS系統算數級增長的處理能力杯水車薪，任何一家DNS運行機構僅依靠自身的能力都力不從心。

面對這樣的問題，他建議“需要從協議原理入手深入思考DNS的業務邏輯和軟件實現。”

具體的建議

1.域名全行業需要提高對DNS基礎性和重要性的認識，包括根運行機構、頂級域名注冊管理機構、頂級域名后臺托管機構、權威域名云服務機構、遞歸域名服務機構、電信運營商等在內的各環節需要加深溝通和協作，發揮行業整體協調力量。

2.考慮到DNS牽一發動全身的全局重要作用，有必要將頂級域名服務系統、重要權威域名服務系統、主要遞歸服務系統納入我國現有的互聯網應急協調處理機制中去。

3.有必要在重要權威服務系統和主要遞歸服務系統之間建設獨立的通信通道，保障大多數合法域名訪問業務的順暢和攻擊應急狀況下的應急通道暢通。事實上，在前幾年就有國內研究人員提出過借鑒電信信令網思路，建設“關鍵信息基礎設施虛擬專網”的建議。

4.發揮電信運營商、小區寬帶等在最后一公里為用戶提供遞歸服務的機構作用，在遞歸服務層面建立數據備份和應急緩存替換機制。無論權威是否遭受攻擊，終端用戶的合法訪問實際是由遞歸來進行響應的。

5.高性能的專有域名服務設備也將有利于提升域名服務的處理能力和應急調度能力。近年來我國已出現了一批有別于Linux服務器+開源DNS軟件的專業域名設備品牌，除了通過專用設備提高了域名查詢性能外，更增加了數據災備，調度切換等功能，有助于提高安全管理的效率。

（本文綜合整理自E安全、ZDNS域名工程中心）