域名系統(tǒng)其實(shí)不堪一擊

開放DNS服務(wù)器是引爆整個歐洲互聯(lián)網(wǎng)的定時炸彈?在Spamhaus遭受攻擊的事件中，攻擊者借助現(xiàn)網(wǎng)數(shù)量龐大的開放DNS服務(wù)器，采用DNS反射攻擊將攻擊流量輕松放大100倍。攻擊過程使用了約3萬臺開放DNS服務(wù)器，攻擊者向這些開放DNS服務(wù)器發(fā)送對ripe.net域名的解析請求，并將源IP地址偽造成Spamhaus的IP地址，DNS請求數(shù)據(jù)的長度約為36字節(jié)，而響應(yīng)數(shù)據(jù)的長度約為3000字節(jié)，經(jīng)過DNS開放服務(wù)器反射將攻擊流量輕松放大100倍。攻擊者只需要控制一個能夠產(chǎn)生3Gbps流量的僵尸網(wǎng)絡(luò)就能夠輕松實(shí)施300Gbps的大規(guī)模攻擊。而攻擊過程中，每個DNS服務(wù)器發(fā)出的流量只需要10Mbps，這樣小的攻擊流量很難被DNS業(yè)務(wù)監(jiān)控系統(tǒng)監(jiān)測到。事實(shí)上，開放DNS服務(wù)器在互聯(lián)網(wǎng)上數(shù)目龐大，遠(yuǎn)不止3萬臺。互聯(lián)網(wǎng)如果繼續(xù)保持開放DNS服務(wù)器的無管理狀態(tài)，利用開放DNS系統(tǒng)發(fā)起的DNS反射攻擊事件就會越來越多，攻擊規(guī)模也會越來越大。本次攻擊事件讓人們意識到：開放DNS服務(wù)器是互聯(lián)網(wǎng)的定時炸彈，如果不加以治理，未來的某一天將會爆發(fā)更大規(guī)模的DDoS攻擊。

中國互聯(lián)網(wǎng)系統(tǒng)依然脆弱。.CN域名受攻擊導(dǎo)致訪問延遲或中斷，部分網(wǎng)站的域名解析受到影響。攻擊影響了超過800萬個互聯(lián)網(wǎng)用戶在中國域名.CN注冊的網(wǎng)站的訪問，其中包括流行的社交網(wǎng)站新浪微博。大量新浪微博用戶抓狂，因?yàn)槌霈F(xiàn)了首頁無法刷新、評論被全部清空等“癥狀”。獨(dú)立情報(bào)分析專家艾德認(rèn)為，此次網(wǎng)絡(luò)攻擊暴露出整個中國網(wǎng)絡(luò)的脆弱性，“如果所有以.CN結(jié)尾的網(wǎng)站，因一個簡單的拒絕服務(wù)攻擊就被擊垮的話，那么中國互聯(lián)網(wǎng)系統(tǒng)比我們原先想象的更脆弱。很顯然，中國網(wǎng)絡(luò)安全有待完善和提高。”專家稱，日益頻發(fā)的域名系統(tǒng)安全事件，暴露出域名系統(tǒng)相關(guān)技術(shù)還不夠成熟，需要持續(xù)提升完善。

保護(hù)域名安全任重道遠(yuǎn)

如果把一個網(wǎng)站比作一座房子，那么域名就是這座房子的門，而這扇門擁有許多功用，它是別人訪問網(wǎng)站的必經(jīng)之地，同時也是保護(hù)網(wǎng)站的重要所在，所以保護(hù)好域名的安全，相當(dāng)于保護(hù)一個網(wǎng)站的安全。而DNS，相當(dāng)于鑰匙，在保護(hù)域名的安全中起著至關(guān)重要的作用。據(jù)域名工程中心發(fā)布的《2013年互聯(lián)網(wǎng)根和頂級域名發(fā)展報(bào)告》顯示，截至2013年8月12日，ICANN共收到了來自全球111個國家和機(jī)構(gòu)的1822個新通用頂級域名申請。這也就意味著，在短時間內(nèi)，像.com一樣的千余個新通用頂級域名即將上線，并面向公眾開放注冊。隨著越來越多的域名即將涌現(xiàn)，域名安全問題將因此受到更大的挑戰(zhàn)。

強(qiáng)化國家域名系統(tǒng)基礎(chǔ)設(shè)施的建設(shè)。據(jù)域名工程中心技術(shù)監(jiān)測數(shù)據(jù)顯示，國內(nèi)的域名服務(wù)器總量為100萬臺左右，活躍域名服務(wù)器數(shù)量為7萬臺， 62%以上的權(quán)威域名服務(wù)器使用開源的Linux系統(tǒng)，微軟Microsoft Windows操作系統(tǒng)所占比例在36%左右， 95%以上的域名服務(wù)器使用開源的ISC BIND域名解析軟件。可以看出，從域名服務(wù)器操作系統(tǒng)到域名解析軟件，幾乎已被微軟和國外的開源軟件所壟斷。開源軟件預(yù)留“后門”的風(fēng)險(xiǎn)較小，但也方便黑客借助其軟件漏洞進(jìn)行網(wǎng)絡(luò)攻擊。CNNIC執(zhí)行