域名根伺服器遭兩次大規模攻擊:每秒500萬次
- 發佈時間:2015-12-11 13:51:25 來源:環球網 責任編輯:湯婧
北京時間12月11日淩晨消息,多個域名系統根伺服器在上周初遭到兩次攻擊,每次攻擊都持續了一兩個小時,這些根伺服器最多時每秒收到的查詢請求高達500萬次。
當用戶在瀏覽器中輸入一個域名時,根伺服器是判定返還哪個IP地址的最終權威參考。
第一次攻擊事件發生在11月30日,當時的攻擊持續了2小時40分鐘。第二次則發生在隨後一天,持續時間為將近一小時。構成網際網路DNS(域名伺服器)根區的13個根伺服器大都受到了攻擊,但也有少數未受影響。兩次攻擊都是自行開始和結束的,僅包含了對兩個未披露域名的數十億次無效查詢請求,每次攻擊涉及一個域名。目前還不清楚這些攻擊事件背後的操縱者或其根源。
儘管數據載入量大到了足以被監控網際網路根伺服器的外部系統偵測到的程度,但這兩次攻擊事件幾乎並未對數十億名網際網路終端用戶帶來影響,部分原因是根伺服器只有在一個大型中間DNS伺服器未能提供IP地址轉換的情況下才會發揮職能,而另一部分原因則是數以百計的伺服器都採用了穩健設計。
“我的結論是,這些事件對普通用戶來説幾乎可以説是‘並未發生’。”貝勒大學(Baylor University)資訊系統教授蘭達爾·沃恩(Randall Vaughn)説道。“他們要麼是根本沒注意到,要麼是沒想到根伺服器正在遭受攻擊。”
雖然對終端用戶幾乎沒有影響,但仍不可小覷這些攻擊事件,這是因為在一個小時或更多時間裏對大多數根伺服器發出每秒鐘500萬次查詢請求需要極其龐大的計算能力和頻寬。域名系統運營分析及研究中心(Domain Name System Operations Analysis and Research Center)總裁基思·米歇爾(Keith Mitchell)稱,如此龐大的查詢請求最高相當於一個根伺服器正常數據載入量的250倍以上。他指出,正常情況下應該在每秒鐘2萬次到5萬次之間。
更令人擔心的是,域名伺服器收到的垃圾查詢請求採用了IP Anycast路由方式,而公共IP地址在分配給多個分散地域的伺服器時採用的也是這種方法。由於這兩次攻擊針對的是Anycast根伺服器的緣故,這意味著令這些攻擊成為可能的龐大資源同樣也具有地域分散性,而不是僅來自於少數地點的資源。
“這些攻擊事件值得關注,原因在於源地址是廣泛而均勻地分佈的,而查詢域名則不是。”上週五公佈的一份公告指出。“因此,這些事件並不是普通的DNS放大攻擊,原因是在這種攻擊中,DNS域名伺服器(包括DNS根域名伺服器)都是被用作反射點以攻擊第三方。”
對於這種攻擊,最合理的解釋是大量被感染的電腦或其他聯網設備組成了一個龐大的“僵屍網路”,這可以解釋攻擊是如何發生的,但無法解釋攻擊發生的原因。同時,這種攻擊還再次引發了有關各個網路應執行BCP 38標準的呼聲,這是一種用於應對IP地址電子詐騙的網際網路工程任務組(Internet Engineering Task Force standard)標準。很多網路都已執行這個標準,但也有一些還沒有,從而令此類攻擊有可能發生。