12月10日上午开始,多地的互联网用户感觉到用户体验下降,包括网页打开速度变慢了,有时甚至还经常出现网页打开异常的现象,这是因为多地运营商的DNS系统正在遭受攻击。
这是一场典型的DNS递归攻击,攻击流量大、持续时间长,涉及范围广,几乎全国的省级运营商的DNS服务器,都遭受了这种流量的攻击,有的省份QPS(每秒请求数)甚至达到了三四百万,这大大超出了DNS服务器正常的处理能力。此次攻击的直接结果就是解析时延的加大和解析结果的不正常,对用户业务产生了严重影响。为此各省运营商都投入了大量的精力进行应对,启动了多个应急方案来面对这场来自于国外黑客组织的恶意行动。
黑客组织为什么要发起此类攻击呢?这要从递归攻击的特征说起了,对此,国内领先的DNS解决方案供应商泰策的专家进行了专业的解读。所谓递归攻击,有时也被称为NXDomain攻击,即通过构造大量不存在的域名(NXDomain),迅速地耗尽域名服务器的递归资源,从而使得DNS服务器的可用性降低或完全丧失。由于域名服务器的缓存应答能力现在一般都很高,而递归能力却相对较低,通过发起递归攻击,较传统的流量型DNS DDoS攻击而言,具有操作成本较低(所需傀儡机数量较少,占用带宽较少),攻击效果好的特征,所以递归攻击经常成为黑客进行DNS攻击的手段。泰策专家表示,递归攻击的来源一般有三种:一种是专门针对DNS服务器的;第二种是攻击特定域名,一般是出于商业竞争或政治目的等,围绕要攻击的域名构造大量的攻击流量,使得该授权域名服务器不能提供域名解析服务,如本次攻击涉及到的域名之一Arkhamnetwork的服务器和网站在12月10日下午(北京时间)就已经出现了宕机的现象;第三种是僵尸网络发出的大量请求导致。据泰策DNS团队分析,此次攻击来源范围广泛,攻击的特征为后缀不变前缀随机的攻击流量,如*.arkhamnetwork.com、*.iphop.info、*.extronus.net、*.vdos-s.com等,此类攻击构造难度较低,但攻击效果明显。
泰策专家表示,递归攻击的危害体现在诸多方面,如电信运营商、域名持有者、网络用户等。对网络用户来说,最直接的表现就是可以明显感受到网络的异常,如网页打开变慢、邮件无法收发等。从技术领域来讲,泰策专家告诉我们,与缓存应答能力动辄十几万QPS、几十万QPS相比,DNS服务器的递归处理能力相对差很多。而本次递归攻击规模非常大,很多省份的QPS达到了百万级,DNS解析速度和成功率的降低是必然的结果,也就不可避免的导致用户体验的急剧下降。
那么,有什么办法能有效应对这种攻击呢?对此,泰策专家也给出了自己的建议。递归攻击是DDoS攻击的一种,可以采用多种防护手段来进行防护,比较典型的策略有动态特定域请求限制,即每隔一段时间对域名解析服务器发起的递归请求进行TOP N排名,生成相对稳定的二级、三级域,并设定其并发请求数或递归数的阈值。当收到攻击查询时,将请求内容与动态生成地限制列表中的二级、三级域进行匹配,结合预设阀值,自动进行限制,从而将递归攻击类请求过滤分离。同时,泰策专家也表示,本次递归攻击只是诸多DNS安全事件中的一个,随着攻击手段的不断变化、攻击频率的不断提高,DNS的安全防护手段也需不断升级。对此,泰策也会协同各大运营商,不断提升DNS安全防护手段的有效性和功能性,在未来的DNS安全大战中,和运营商一起共建坚固的安全防护壁垒。