域名服務作為互聯網的基礎設施,它的重要性不言而喻。目前全球的十三個根域名服務器和成千上萬的授權域名服務器承擔着超過萬億次的DNS查詢,默默為全世界的網民做域名解析服務。
這樣重要的基礎設施,必然是全世界黑客的目標。
2002年10月21日,全球的十三台根域名服務遭受了持續將近一個小時的攻擊,這些攻擊形式多樣,主要集中為:ICMP攻擊、TCP SYN攻擊、fragmented TCP攻擊和UDP攻擊。這次攻擊導致了一些跟域名服務器癱瘓。
之后全世界的科學家們痛則思痛,對當時的根域名服務做了大量的防護工作。
2007年2月6日,黑客們又對根域名服務器發起了幾次瘋狂的攻擊,此時的ROOT DNS SERVERS已經很健壯了,對正常服務沒有造成什么影響。
根域名服務器采取了一些什么樣的措施,使得DDoS攻擊不會造成根域名服務器的全線癱瘓呢?
原因一:積極的反應
今天在公司內網看到公司的清洗軟件前段時間抗住了對一個網頁高達6Gbps(每秒6Gbit)的攻擊,最后攻擊者看到沒有效果,只能灰溜溜夾尾巴收工,而我們的這個頁面呢?用戶訪問感覺不到任何異常(順便贊一下我們優秀的工程師同學們)。
俗話說:“道高一尺,魔高一丈”,如果黑客真的優秀,就不會做黑客了。優秀的大型網站不缺少優秀的工程師,所以也不缺少優秀的防攻擊預案。當攻擊來的時候,檢測軟件會檢測到網絡異常,並采取相應的清洗策略,把異常的攻擊流量阻擋在正常服務器之外。這樣普通的用戶可能只會感覺到一小段時間的訪問緩慢,當清洗開始后,就跟正常訪問無異了。
清洗的辦法,常用有:1)通過某種統計標准發現異常流量,限制某個IP的查詢次數,或者直接拒絕為該IP服務;2)攻擊流量會有一定的規律,比如包大小是特定的(比如768字節),則將該大小的包blocked(當然要確保該包大小跟正常請求的包大小不一樣才可以用這種策略)。
原因二:十三台根域名服務器的多樣性
十三台根域名服務器都可以解析根域名(.com, .net等),而且這些根域名服務器由不同的組織管理。它們唯一相同的是解析根域名的功能,其它的,比如說硬件環境;使用的域名服務器軟件;安全策略等等都不一樣,因為攻擊都是有針對性的攻擊,所以這樣又無形中增加了攻擊者的攻擊難度。
原因三:Anycast
Anycast可以使一組提供DNS解析服務的主機通過一個對外的IP地址標識,這些主機可以位於不同的地址。這樣當對某一個域名服務器的流量增加的時候,通過Anycast我們可以將攻擊流量分發到各主機上。現在的根域名服務器都采用了Anycast技術,比如f-root,它后面就有四五十台主機在服務。
原因四:fat pipes
根域名服務器都位於全球的骨干網上,而不是在邊緣網絡中(你們家的寬帶位於邊緣網絡中,你們小區的用戶都在雙十一購物狂歡節的時候一起搶東西,就會覺得巨慢無比:-) ),所以想通過打大流量堵塞根域名服務器的網絡的黑客,你還是早點洗洗睡吧。
原因五:gTLD(generic Top-Level DNS Server) 域名服務器 和 緩存
根域名服務器只服務根域名,根域名服務器下面還有gTLD服務器,比如為所有.com后綴做域名解析的服務器。而且Local DNS會有緩存,在TTL期內不會對相同域名做重復請求。所以用發起DNS請求的方式攻擊根域名服務器的話,基本上是不可能的,因為層層的緩存足以使到達根域名服務器的流量微乎其微。
參考資料:
1,http://en.wikipedia.org/wiki/Distributed_denial_of_service_attacks_on_root_nameservers