互联网根服务器上周遭到协同分布式拒绝服务(DDoS)攻击,13个关键服务器有3个在几个小时里基本瘫痪。
此前的几天,珍妮特学术网络(Janet academic network)受到类似的DDoS攻击。
根据周二根服务器运营商公布的第一手分析资料,攻击发生的时间为北京时间2015年11月30日下午2:50至5:30之间,第二天又发生了一个小时的攻击。
许多根服务器(尽管不是全部根服务器)收到每秒大约500万的查询,足以导致网络连接超载,进而引起B、C、G和H根服务器响应超时。这些查询查的是同一个域名,查询是有效的DNS包;第二天攻击用了和第一天不同的域名。
到最后,受攻击的几个运营商采用了反制措施,并获得某种程度上的成功。目前,有关方面正在进行分析工作,目的是要准确地确定攻击的形式和发起攻击的地点。
也许最令人关注的是,即便是用了应对此类攻击的任播(Anycast)技术,一些服务器仍然垮掉。
根服务器是互联网的支柱,互联网的域名系统以根服务器为本。域名系统有点像个全球电话号码簿,互联网所有的其他部件都要用到它。
基于互联网的设计原理,这些服务器本身的流量相对较低,特别是如果将其和谷歌处理的流量相比。即便这些服务器都下线也不会即时对大面积的互联网造成影响,因为这些根服务器存储和共享的信息已经被存在成千上万的其他服务器里。
但话又说回来,任何对DNS基础架构的攻击都备受重视。如果根服务器发生故障的时间超过一天,就会开始在全球网络导致严重的问题。
RIPE阿特拉斯监测系统的图显示了攻击的影响
解决方法是什么?
根服务器运营商已经特别提到一个使这种攻击成为可能的问题:大量互联网服务供应商未能实现网络入口过滤;网络入口过滤可以限制互联网伪装包,伪装包可用于DDoS攻击。但有分析显示,82%的互联网流量已经不能被伪装了,原因是BCP38标准得到广泛实施。
F根服务器运营商Paul Vixie提出的另一个解决方案是开发一个问责模式 ,对那些允许攻击包经过自己网络的网络运营商实行惩罚。
Vixie 上个月在一篇博文里表示,“在信用卡、提款卡和电汇这一行里,州法律和联邦法律都明确对欺诈交易参与者的法律责任立了条文。”
他表示,“在这一行里,参与者这样那样的投资都会在法律责任方面保护自己,即使他们可能会觉得防止欺诈的真正责任应该是别人的事。”
他还指,“而我们在对付DDoS攻击时没有这种东西,那些成为僵尸网络一部分的设备的拥有者、用于反射和放大DDoS攻击的开放服务器运营商以及那些允许源地址伪装的网络所有者和经营者,他们的渎职行为不可避免地导致了DDoS包的出现,但他们却不需要负担任何成本。”
罕见的事件
这次对根服务器的攻击是三次具有显著规模的持续攻击中的一次。最厉害的一次是2007年那次,当时一个约有5000台计算机的僵尸网络大量发包对4个根服务器进行攻击,两波的攻击最终导致2个根服务器瘫痪了几个小时。
尽管后来发现2007年这次的攻击流量来自韩国,但一般认为攻击是从美国控制的。上周攻击的细节尚未有定论。
运营商的第一手分析称,“值得注意的一个事实是,源地址的分布广泛而且均匀,而查询名称却不是。所以这次的事件与典型的DNS放大攻击不同。在DNS放大攻击里,DNS域名服务器(包括DNS根域名服务器)被用来作为反射点去击跨第三方。”
但他们做出的结论是,整个系统在遭到攻击时表现相当不错:“DNS根域名服务器系统的运作达到了设计目的;系统在面对从大规模攻击时展示了整体上的稳健性。”
内幕是什么?
2007攻击和这次攻击的动机均未能被确定。
通常情况下,DDoS攻击是为了从公司获取金钱,或是为了表明政治立场。但对全球互联网所依赖的基石本身进行进攻,并不能表明什么明显的政治立场。不过值得一提的是,除两个根服务器外,其他根服务器都是由美国企业运营,其中的三个根服务器是由美国政府运营。
另外,这次攻击的时间和和时间长度和2007年非常相似,这也是值得注意的,这表明有可能手法是相同的,另一种可能是,发生攻击的时间窗口较为突出,可以令网络运营商了解和减轻发生的攻击。
而不太可能成为目标的珍妮特网络在此前的几天受到类似的攻击,这件事也是疑点重重,研究人员肯定会对此事一探究竟。
长期以来,人们一直担心一些国家会启动网络战争,最有名的例子是俄罗斯2007年对爱沙尼亚的攻击,攻击导致爱沙尼亚全国网络瘫痪。
比较巧的是,世界各国政府下周将在联合国纽约总部开会讨论互联网治理问题。在作为讨论基础的会议文件里,有整整一节专门讲安全。
文件有关部分提到:“建立ICT(信息和通信技术)使用上的信心和安全是一项头等大事,特别是考虑信息和通信技术正日益被不正当地滥用及被犯罪分子和恐怖主义活动利用。”