是什么让半个美国互联网瘫痪？

图1　物联网的勒索

美国时间10月21日（以下提到时间均为美国时间），DDoS攻击导致大半个美国互联网瘫痪。此次攻击，从早上7时左右一直持续到当天下午18时，黑客总共发起三波攻击，影响范围波及欧美，包括推特（Twitter）、亚马逊、Paypal、BBC、华尔街日报及纽约时报等在内的多家知名网站，在攻击中一度瘫痪，Twitter甚至出现了近24小时0访问的局面，所造成的直接和间接经济损失更是一个天文数字。

事件原由

美国域名服务供应商DYN是此次攻击的主要目标，而根据DYN的声明，黑客在攻击活动中利用存在漏洞的物联网设备，此次的攻击是一次成熟的分布式攻击，在10秒钟内，由数百万的IP地址发起。能够确定的是，根据Akamai（知名cdn厂商）的分析，其中一个源头是由被Mirai僵尸网络控制的IOT（物联网设备）发起。

2016年9月，一位名叫Anna Senpai的黑客将Mirai僵尸网络源代码发布到Hackforums这一地下黑客社区当中。Mirai僵尸网络能够感染各类存在漏洞的物联网设备，其中包括安保摄像头、DVR以及互联网路由器等。由于很多人购买物联网设备之后并不修改固定密码，而厂商基本上都使用的是熟知的固定密码，以至于相当数量的智能硬件携带非常多的漏洞，很容易被攻破。Mirai僵尸网络，就是主要通过暴力破解物联网设备被恶意感染，同时Mirai的源代码已经开源，导致被很多黑客使用。也就是说分布在各家各户的摄像头、智能传感器、智能门磁、智能冰箱洗衣机等智能硬件们都可能成为了黑客们发起攻击的利器，成为僵尸网络中的肉鸡设备，并被用于实施大规模DDoS攻击。

根据安全记者Brian Krebs的说法，黑客们如今能够冒充其作者Anna Senpai以利用Mirai对目标基础设施服务供应商进行针对性打击。网络恶意人士亦可借此以DDoS攻击为要挟，冒用Mirai开发者的名字以威胁各托管服务供应商，从而通过勒索获取非法所得。

而根据Flashpoint、Level 3 Communications以及BackConnect等安全研究机构的说法，Mirai僵尸网络确实被应用在了针对Dyn公司的攻击活动当中。

ESET安全专家Mark James在接受采访时表示，“DDoS如今已经被广泛用于实施破坏与滋扰。随着可被感染的设备数量持续增加，具备可行性的僵尸网络构成类型也变得愈发丰富，相关资源的规模正快速得到扩张。DDoS当然不仅仅被用于发布抗议声明或者强调自身立场，其在不少情况下还可能被作为烟幕，即用于掩盖其它真实恶意目标，包括数据窃取或者恶意软件感染等。”

低成本攻击导致高额损失

不管此次攻击背后的动机是什么，攻击造成的经济损失却是不可估量的。2014年Imperva Incapsula公司给出报告：超过三分之一的公司遭受DDoS攻击后每小时损失2万美元以上（部分公司这一数字可达到百万甚至千万美元）。考虑到此次受波及的公司数目众多，断断续续接近6个小时，直接损失就已经是天文数字。此外，公司除了在被攻击期间可能损失订单等等，事发后还要忍受一段时间的工作效率大幅下降，并耗资进行软硬件维修升级。这部分人力物力时间效率的成本，折现的话也将是非常大的数目。

然而，鲜明的对比是，黑客作案的成本却非常低。市面上甚至花费低至5美元即可雇佣专人进行DDoS攻击！这也是DDoS攻击愈演愈烈、造成损失越来越多的重要原因之一。

还原攻击原理

相关资料分析表明，此次造成问题的恶意流量可能首先抵达了距离发起位置最近的DYN服务副本处，遵循其ISP路由——但此路由机制并不会对流量加以控制。通过路由图，应该可以看到流量的主要源头或者与其距离最近的DYN节点所在。

“假设DYN公司在多个位置以对等方式发布其服务，那么大家应该会发现大规模源头攻击会被引导至与之距离最近的DYN节点或者副本处，这意味着此番攻击的主要流量源头很可能位于美国本土。”MWR信息安全公司高级安全顾问Adam Horsewood分析认为。

目前，全球域名总数超过3亿，域名服务器数量超过1000万台，每天提供千亿次的查询服务。域名系统在后台支撑着互联网产业中各类业务应用的开展和互联互通，在互联网体系中处于承上启下的关键地位，同时也容易成为黑客们的关注对象和攻击目标。

美国DNS受攻击事件发生之后，域名工程中心的总工程师王伟博士在ZDNS杂志上撰文还原攻击的状况，认为“这就是一个DNS版本的CDN（内容分发网络Content Delivery Network），实现了源站和服务站的分离，理论上，在这种模型架构下，来自终端（PC、手机、物联网设备）的访问流量不应到达权威服务器，DDoS攻击流量也应该在本地电信运营商的递归服务层面被消解掉，无法造成全网影响。”

王伟域名工程中心ZDNS总工程师

绕不过去的问题及其破解

王伟博士认为：“域名系统自诞生之日起，就是一直是网络攻击的重点目标。如同手机中误删通讯录导致无法拨打电话（除非直接记得电话号码），DNS服务不可用，也会导致用户终端无法获知网站IP地址而无法发起访问。”

他分析到，DNS有三个绕不过去的关键问题：

1.作为最核心最基础的支撑服务之一，DNS在互联网体系中的关键地位一直没有变化；但针对抗攻击问题，除了在工程层面加大DNS节点数量和服务规模，DNS协议层面其实也没有大的改进。

2.DNS的基础性和全局性，注定了对DNS的攻击可以达到以点制面、击一发而动全身的效果，具有投资小、见效快的优点，几乎每次DNS运行故障或攻击得手，都能引发区域性、甚至全球性互联网社群的哀鸿。

3.摩尔定律、库茨维尔定律和尼尔森定律使得发动DDoS规模攻击的成本越来越低，与DNS关键地位不相衬的是，在DDoS攻击规模几何级增长的对比下，DNS系统算数级增长的处理能力杯水车薪，任何一家DNS运行机构仅依靠自身的能力都力不从心。

面对这样的问题，他建议“需要从协议原理入手深入思考DNS的业务逻辑和软件实现。”

具体的建议

1.域名全行业需要提高对DNS基础性和重要性的认识，包括根运行机构、顶级域名注册管理机构、顶级域名后台托管机构、权威域名云服务机构、递归域名服务机构、电信运营商等在内的各环节需要加深沟通和协作，发挥行业整体协调力量。

2.考虑到DNS牵一发动全身的全局重要作用，有必要将顶级域名服务系统、重要权威域名服务系统、主要递归服务系统纳入我国现有的互联网应急协调处理机制中去。

3.有必要在重要权威服务系统和主要递归服务系统之间建设独立的通信通道，保障大多数合法域名访问业务的顺畅和攻击应急状况下的应急通道畅通。事实上，在前几年就有国内研究人员提出过借鉴电信信令网思路，建设“关键信息基础设施虚拟专网”的建议。

4.发挥电信运营商、小区宽带等在最后一公里为用户提供递归服务的机构作用，在递归服务层面建立数据备份和应急缓存替换机制。无论权威是否遭受攻击，终端用户的合法访问实际是由递归来进行响应的。

5.高性能的专有域名服务设备也将有利于提升域名服务的处理能力和应急调度能力。近年来我国已出现了一批有别于Linux服务器+开源DNS软件的专业域名设备品牌，除了通过专用设备提高了域名查询性能外，更增加了数据灾备，调度切换等功能，有助于提高安全管理的效率。

（本文综合整理自E安全、ZDNS域名工程中心）