.CN根域名遭受有史以来最大规模DDoS攻击

2013年8月25日凌晨，.CN域名凌晨出现大范围解析故障，经分析.CN的根域授权DNS全线故障，导致大面积.CN域名无法解析。事故造成大量以.cn和.com.cn结尾的域名无法访问。直到当日凌晨4点左右，CN根域名服务器的解析才有部分恢复。此后，经CNNIC确认，国家域名解析节点遭受到有史以来规模最大的拒绝服务攻击，导致访问延迟或中断，部分网站的域名解析受到影响。而距本次事故发生一个月之后，本月24号，CNNIC和工信部终于揪出了本次攻击事件的始作俑者--一名来自山东青岛的黑客。

据调查发现，该黑客本意是要攻击一个游戏私服网站，使其瘫痪，后来他为了更快达到这个目的，直接对.CN的根域名服务器进行了DDoS攻击，发出的攻击流量堵塞了.CN根服务器的出口带宽(据工信部数据：攻击时峰值流量较平常激增近1000倍，近15G)，致使.CN根域名服务器的解析故障，使得大规模的.CN域名无法正常访问。

DDoS攻击背后的利益链条

大家可能会有疑问，看似普通的DDoS攻击其背后究竟隐藏着什么？一句话：为了利益。本次事故中攻击者使用的手法(譬如攻击一些“私服”的网站或主机)并不罕见，且近些年有愈演愈烈的趋势。自国内的互联网事业兴起以来，国内有一些常年进行DDoS攻击的组织或个人，胁迫某些“私服”游戏的运营团队并收取“保护费”，如果不合作便采取DDoS暴力攻击，使其无法正常运营。而这些“私服”的运营团队本身业务就涉及侵权，所以他们在遇到DDoS威胁时绝不敢报警或维权，往往是被迫接受。这种恶性循环的结果就是这些网络中的恶意胁迫越来越肆无忌惮，这些从事DDoS攻击商业行为的组织或个人也演变成了各式各样的“网络黑帮”，各式黑色产业链也层出不穷。由于当今互联网上DDoS攻击的门槛已经越来越低，雇主可以购买DDoS攻击服务，攻击可指定时间、指定流量、指定攻击效果。总的来说，同行业间的恶意竞争是导致DDoS攻击愈演愈烈的最大原因，同时被攻击后定位攻击者所花费的成本较高也是这类事件层出不穷的重要原因。

为何选择针对DNS服务器进行DDoS攻击

一直以来作为网络基础设施的DNS系统，给我们提供了访问互联网的便利，用户只需记住域名就可以访问到互联网上的对应主机。当你在浏览器中输入一个域名时，DNS的解析过程就开始了，一般的DNS解析过程如图1、图2所示：

图1：DNS解析的一般过程(有缓存时)

图2：DNS解析的一般过程(无缓存时)

下面来聊一聊现有互联网上运行的DNS系统所可能遭受到的风险。大家应该都了解，根域名服务器是DNS系统中最高级别的域名服务器，全球一共有13台，多数分布在美国。首先，DNS系统是一个中心化的树形结构，很容易遭受DDoS攻击，且越靠近中心攻击效果越为显著；其次，现有DNS系统的迭代查询方式，对根域和顶级域解析服务器依赖非常严重；再次，现有互联网上存在着大量开放式的DNS域名服务器，这些服务器通常拥有强大的性能和带宽，利用DNS反射技术的放大效应，可以产生近其带宽百倍的攻击流量。所以这些开放式的DNS服务器极其容易成为黑客们青睐的DDoS攻击“肉鸡“。这对整个互联网的基础设施都是巨大的安全威胁。

在对现有DNS协议的风险评估上，DNS协议是很脆弱且不安全的。为什么说DNS协议很脆弱呢？一方面DNS协议是明文协议，协议里带的信息可以很容易的被篡改、伪造，使得DNS协议易成为暴露用户行为的工具；另一方面，若在现有协议传输上采用加密手段，现有DNS体系无法承受加密带来的开销和技术升级的成本。

正因为DNS系统的脆弱性和其协议设计上的缺陷，所以历史上针对DNS的攻击事件也比较多，影响比较大有2013年针对Spamhaus的攻击事件、2009年5.19断网、2008年DNS缓存投毒，以及2002年全球根域名服务器被攻击等等。

深入剖析本次.CN被攻击事件

从本次.CN根服务器被DDoS攻击的手法上来看，有两种可能性，一种可能是黑客使用DDoS方法攻击某个.CN域名，而较大的攻击流量或海量的查询请求却把该.CN域名上一级根服务器打挂；第二种可能是黑客直接把DDoS攻击矛头指向了.CN的根域名服务器。针对DNS系统，常见的DDoS攻击手法是：

1)传统DDoS攻击：流量型(以堵塞网络带宽为主要攻击目的)，包括UDP洪水攻击；TCP流量攻击；资源消耗型(以消耗目标机器可用资源为攻击目的)，包括SYN洪水攻击，ACK洪水攻击，ACK反射攻击，慢速消耗攻击等；

2)DNS特有DDoS攻击：DNS反射攻击(放大效应)、DNS查询攻击(僵尸主机发起的海量请求)、变域名攻击：构造随机域名(或畸形域名)的查询请求，利用僵尸网络对目标域名或主机进行攻击(如图3所示)。

图3：DNS QUERY洪水攻击原理

为了最大限度的降低命中DNS缓存的可能，一般攻击者在构造攻击包时都会随机伪造查询源IP地址、伪造随机源端口，伪造随机查询ID以及待解析的域名。从笔者获取到本次.CN攻击的数据包来看(见下图4)，攻击者就是把经过特殊构造的海量的随机域名的查询请求直接发给了.CN的根服务器，也就是上文中提到的变域名攻击方式。不过，笔者认为其中可能还混合有其他一些诸如UDP洪水、DNS放大和DNS僵尸查询等DDoS攻击，最终的目的就是让被攻击网络的链路带宽超出服务的带宽，让目标机或集群处理能力超出极限，从而达到DNS解析不能提供正常服务的状态。

图4：.CN的攻击数据包(部分)

后续：DNS攻击的新趋势

在笔者看来，本次针对.CN根服务器的攻击为我们再一次敲响了互联网基础设施安全性的警钟，建议主管部门加强对基础设施的保障力度，以避免此类事故重演。

从笔者的日常工作中也能够发现不同针对DNS基础系统的攻击手法，譬如今年3月份针对国际公司Spamhaus的300G超大流量的DDoS攻击，攻击者主要采取的手法就是DNS反射攻击，这种攻击技术的特点就是利用互联网上开放的DNS递归服务器作为攻击源，利用“反弹”手法攻击目标机器。攻击原理如图5所示：

图5：DNS反射攻击的原理

在DNS反射攻击手法中，假设DNS请求报文的数据部分长度约为40字节，而响应报文数据部分的长度可能会达到4000字节，这意味着利用此手法能够产生约100倍的放大效应。因此，对于.CN遇袭事件，攻击者只需要控制一个能够产生150M流量的僵尸网络就能够进行如上规模(15G)的DDoS攻击。据不完全统计，国内外总计有超过250W台开放DNS服务器可以充当这种“肉鸡”，开放的DNS服务器简直是互联网上无处