季杭蕾 葉晰

[摘 要]本文首先回顧了2009年的“5·19 斷網(wǎng)事件”，詳細(xì)分析了該事件發(fā)生的背景、起因和攻擊的實(shí)施步驟等，最后提出了防范此類事件的安全措施。

[關(guān)鍵詞]電子商務(wù) DDoS 網(wǎng)絡(luò)安全 DNS 斷網(wǎng)事件

隨著網(wǎng)絡(luò)技術(shù)的發(fā)展，電子商務(wù)和電子政務(wù)等信息化工程也日益完善，然而從安全的角度來看，電子商務(wù)網(wǎng)站所面臨的網(wǎng)絡(luò)安全問題卻始終如揮之不去的夢(mèng)魘。DDoS（Distributed Deny of Service-分布式拒絕服務(wù)攻擊）攻擊是一種很難被徹底解決的電子商務(wù)網(wǎng)站安全問題，其危害較大，往往可造成網(wǎng)站訪問延時(shí)甚至癱瘓。中國(guó)最近一次大的DDoS攻擊事件發(fā)生在2009 年5月19 日。當(dāng)天晚上受暴風(fēng)影音軟件存在的設(shè)計(jì)缺陷以及免費(fèi)智能DNS軟件DNSPod的不健壯性影響，黑客通過僵尸網(wǎng)絡(luò)控制下的DDoS攻擊，致使我國(guó)江蘇、安徽、廣西、海南、甘肅、浙江等省在內(nèi)的23 個(gè)省出現(xiàn)罕見的斷網(wǎng)故障，即“5·19 斷網(wǎng)事件”。

一、“5·19 斷網(wǎng)事件”事件回顧

“5·19 斷網(wǎng)事件”是綜合了多種因素后產(chǎn)生的結(jié)果，其起因是一私人游戲服務(wù)器（簡(jiǎn)稱私服）的所有者攻擊競(jìng)爭(zhēng)對(duì)手的游戲服務(wù)器未果，轉(zhuǎn)而攻擊為對(duì)手的游戲服務(wù)器提供免費(fèi)動(dòng)態(tài)DNS解析服務(wù)的DNSPod網(wǎng)站（www.dnspod.cn），其具體實(shí)施步驟可歸納如下：

1.如下圖所示，攻擊者通過控制互聯(lián)網(wǎng)上大量的傀儡機(jī)（被僵尸網(wǎng)絡(luò)控制的計(jì)算機(jī)）向DNSPod服務(wù)器發(fā)起DDoS攻擊，使DNSPod服務(wù)器無法為正常用戶提供域名解析（域名轉(zhuǎn)換成IP地址）服務(wù)，直至癱瘓。

2.暴風(fēng)影音網(wǎng)站（baofeng.com）的域名解析使用的也是DNSPod服務(wù)器，當(dāng)DNSPod服務(wù)器被攻擊癱瘓后，根據(jù)域名解析的遞歸機(jī)制，所有客戶端對(duì)“*.baofeng.com” 網(wǎng)站的解析請(qǐng)求將被轉(zhuǎn)向DNSPod服務(wù)器的上一級(jí)DNS服務(wù)器（即電信運(yùn)營(yíng)商的DNS服務(wù)器）。

3.暴風(fēng)影音為了獲得更高的廣告點(diǎn)擊率，在后臺(tái)暗藏了機(jī)關(guān)——安裝了暴風(fēng)影音客戶端軟件的計(jì)算機(jī)在啟動(dòng)時(shí)會(huì)自動(dòng)鏈接到暴風(fēng)影音網(wǎng)站（*.baofeng.com）。而當(dāng)暴風(fēng)影音軟件在得不到DNS響應(yīng)（DNSPod服務(wù)器已癱瘓）時(shí)，會(huì)不斷發(fā)送DNS解析請(qǐng)求報(bào)文（每分鐘100 次以上）到電信運(yùn)營(yíng)商的DNS服務(wù)器。由于使用暴風(fēng)影音軟件的用戶數(shù)量巨大，致使最終到達(dá)電信運(yùn)營(yíng)商的DNS服務(wù)器的流量高達(dá)10GB/s左右。

4.雖然電信運(yùn)營(yíng)商的DNS服務(wù)器進(jìn)行了分布式部署，但大部分省份的DNS遞歸服務(wù)器仍無法承受如此巨大數(shù)量的域名解析請(qǐng)求報(bào)文，導(dǎo)致服務(wù)器CPU和內(nèi)存資源耗盡，最終這些DNS服務(wù)器處于癱瘓狀態(tài)。

5.由于DNS服務(wù)器的作用是把域名翻譯成IP地址，故電信DNS服務(wù)器癱瘓后，除直接使用IP地址外（一般用戶很少直接記憶IP地址），絕大多數(shù)互聯(lián)網(wǎng)用戶的DNS域名解析請(qǐng)求得不到響應(yīng)，從而產(chǎn)生斷網(wǎng)現(xiàn)象。

二、“5·19 斷網(wǎng)事件”事件剖析

1. 從本質(zhì)上來說“5·19 斷網(wǎng)事件”未發(fā)生斷網(wǎng)，網(wǎng)絡(luò)本身是暢通無阻的，大面積中斷的是DNS服務(wù)，故該事件的準(zhǔn)確表述應(yīng)為“5·19 DNS服務(wù)中斷事件”。這一事件再次告戒我們：在互聯(lián)網(wǎng)中越是由最基礎(chǔ)服務(wù)的安全產(chǎn)生的威脅，其影響力越大，范圍越廣。作為互聯(lián)網(wǎng)基礎(chǔ)服務(wù)的DNS，每天有海量的域名解析信息產(chǎn)生，其個(gè)體的安全性已經(jīng)直接影響著互聯(lián)網(wǎng)的安全。

2.該事件最初是由兩位私服擁有者的互相攻擊造成的，但他們主觀上沒有破壞全國(guó)性網(wǎng)絡(luò)的意圖。而之所以造成如此大的影響，其中暴風(fēng)影音扮演著非常重要的中間人角色。正由于暴風(fēng)影音軟件的“流氓化”行為，無意間綁架了大量的安裝該軟件的用戶，使他們成為了發(fā)動(dòng)對(duì)電信DNS服務(wù)器攻擊的傀儡機(jī)。從此事件中我們看到除了各大軟件商必須自律之外，相應(yīng)職能部門也應(yīng)該加強(qiáng)對(duì)流氓軟件或功能的管理和監(jiān)督。

3. DDoS攻擊已成為目前互聯(lián)網(wǎng)上黑客經(jīng)常采用的攻擊手段。DDoS 原理很簡(jiǎn)單，就是利用網(wǎng)絡(luò)掌控并集結(jié)盡量多的傀儡機(jī)來攻擊目標(biāo)機(jī)以期達(dá)到比單機(jī)大得多殺傷力，其危害極大且難以防御。目前為止網(wǎng)絡(luò)業(yè)界并沒有可以徹底消除DDoS攻擊的措施，提高硬件設(shè)施性能也只能做到降低攻擊程度的級(jí)別。

三、對(duì)此類事件的安全防范方法

1.相應(yīng)職能部門加強(qiáng)對(duì)各種流氓軟件的監(jiān)督和管理，消除軟件后門存在的安全隱患。

2.DNS清洗服務(wù)。“5·19 斷網(wǎng)事件”中，當(dāng)電信運(yùn)營(yíng)商得知DNSPod服務(wù)器被攻陷后，立即進(jìn)行了清洗服務(wù)。根據(jù)域名解析體系中的緩存機(jī)制，大量遞歸域名解析服務(wù)器中的解析記錄一般至少要保存24 小時(shí)，也就是說即使是錯(cuò)誤的信息也需要在24小時(shí)之后才能夠被系統(tǒng)自動(dòng)刪除。DNS清洗服務(wù)可以解決DNS緩存帶來的域名錯(cuò)誤查詢問題。

3.DNS服務(wù)器的冗余備份。冗余備份是DNS服務(wù)器安全管理中采用的一種較為普遍的方法。為了保障DNS服務(wù)的可靠性，我們可以采用多機(jī)備份方案以提高系統(tǒng)的抗攻擊能力。

4.對(duì)軟件漏洞的管理。軟件漏洞主要包括操作系統(tǒng)的漏洞和DNS應(yīng)用軟件的漏洞。針對(duì)利用漏洞的攻擊，最有效的防范方法是升級(jí)到最新的版本，并及時(shí)安裝補(bǔ)丁程序。

5.加強(qiáng)對(duì)DDoS攻擊的防范。

四、結(jié)束語

“5·19 斷網(wǎng)事件”已經(jīng)平息，發(fā)起DDoS攻擊的黑客已經(jīng)被抓獲，暴風(fēng)影音公司也及時(shí)推出了新版綠色軟件，但由此事件引發(fā)的針對(duì)DNS服務(wù)的安全問題還時(shí)時(shí)在警示著我們：未來互聯(lián)網(wǎng)的安全不容樂觀，尤其像DNS這類基礎(chǔ)服務(wù)的安全問題更應(yīng)引起重視。只有一個(gè)健康安全的網(wǎng)絡(luò)，才能讓電子商務(wù)活動(dòng)蓬勃發(fā)展。

參考文獻(xiàn):

[1]何小波.DDoS攻擊防御新思考.商場(chǎng)現(xiàn)代化,2009年3月下旬刊，123-124頁

[2]何培源.電子商務(wù)網(wǎng)站安全中的DDoS攻防博弈.物流科技,2009年第1期，34-39頁