深度解析:互联网界的911,半个美国互联网瘫痪了

西部数码(west.cn)10月22日消息,美国发生了有史以来影响范围最大的互联网安全事件,一场始于美国东部的大规模互联网瘫痪当地时间10月21日席卷了全美。包括Twitter、Spotify、Netflix、Airbnb、Github、Reddit以及纽约时报等主要网站都受到黑客攻击。

受dns攻击影响的网站

logo下方曲线表示无法访问的用户数量

到底是谁遭受了攻击

报道说,造成本次大规模网络瘫痪的原因是Dyn Inc. 的服务器遭到了ddos攻击。小麦对上述提到的网站的DNS进行了逐一验证。发现,这些网站并非全部使用DYN的DNS服务。其中只有Twitter.com一家使用了DYN的DNS,Netflix.com、Reddit.com、Airbnb.com、Github.com使用的是亚马逊的DNS服务,而Spotify.com则使用了自己名字的DNS服务器。

据我所知,亚马逊的DNS服务是亚马逊云服务的一部分,亚马逊的DNS服务叫做Route53,因为DNS服务使用的是53端口,这个服务并非DYN提供。不过很有意思的是亚马逊官网Amazon.com,以及面向中国市场的Z.cn使用的DNS,确实是DYN提供的!(这也不难理解,据说万一出问题了,可以让DYN背黑锅,你看这不。。。)

规模巨大,损失惨重

从IP地址上看,亚马逊的DNS和DYN的DNS也不同,所以应该不是一家。这就意味着,可能远不止1、2家DNS服务遭受攻击,所以这次攻击的规模相当之大,这次事件可以堪称互联网界的911。

当然,这次攻击并没有损失人命,但是经济损失巨大。2014年Imperva Incapsula公司给出报告:超过三分之一的公司遭受DDoS攻击后每小时损失2万美元以上(部分公司这一数字可达到百万甚至千万美元)。考虑到今天受波及的公司数目众多,断断续续接近6个小时,按照这个标准估计,今天的损失就是天文数字!

今天的事件,让我们回想起2009年的六省断网事件,从影响规模上讲,这次美国断网事件,只有中国的09年六省断网可以相提并论。巧合的是,09年的断网事件的关键点也是DNS。

不同的是,这次美国是遭受攻击,而09年真的是一次意外。09年因为暴风影音程序缺陷,疯狂查询DNS导致所使用的DNS服务提供商DNSPod不能及时响应,最终引起连锁反应,导致六省网络大范围拥堵。

DNS为什么这么关键

域名系统是互联网的核心基础设施,互联网访问要先经过域名系统进行地址查询,才能找到网络服务器,所以DNS是互联网上面最基础的服务。一旦DNS服务出现故障,网络访问自然就受到影响。而专业DNS服务提供商,往往又同时服务大量的网站,这意味着一旦这些DNS服务出现故障,那么所服务的所有网站都会无法访问。

DNS服务是互联网上的关键节点。亚马逊以及DYN是业内最优秀的DNS服务提供商,但仍然无法抵挡有组织的攻击。可见,这个节点直到今天仍然相当脆弱。

为什么针对DNS的攻击难以抵挡

针对DNS的攻击最有效的方式就是分布式拒绝服务攻击:DDoS(Distributed Denial of Service)。DDoS是攻击者利用“合理的”服务请求去占用尽可能多的服务资源,从而使得正常用户无法得到服务响应。DDoS则是来自大范围的互联网的攻击。

DNS服务一般是采用UDP协议,而UDP数据包是可以伪造来源地址的。就是说:无法识别攻击来源!据美国媒体报道,美国国土安全部和FBI已经展开调查,但是截至目前仍然没有查明本次攻击的幕后黑手。

针对DNS的这个特点,针对DNS的DDoS攻击通常都是伪造UDP数据包的攻击。伪造UDP数据包非常容易,发动一次攻击也非常廉价。一个攻击数据包只需要几十个字节,优秀的攻击程序可以每秒发出几百兆攻击数据,一台普通DNS服务器的响应能力只有每秒2万次左右。一台笔记本发出的攻击波就能另一般企业的DNS无法抵挡。更不要说调动大量肉鸡进行的攻击。针对DNS的DDoS攻击,可谓“物美价廉”。

目前域名系统越来越多的启用了DNSSEC以及TCP服务,这让DNS服务的负载进一步加大,DNS服务的处理能力实际上有所下降。

这次攻击,也许只是个开始。一旦DNS攻击被频繁用于政治军事斗争,互联网平静的日子就算到头了。希望这一天永远不要到来。

 

声明:本网站发布的内容(图片、视频和文字)以用户投稿、用户转载内容为主,如果涉及侵权请尽快告知,我们将会在第一时间删除。文章观点不代表本网站立场,如需处理请联系客服。电话:028-62778877-8261;邮箱:jenny@west.cn。本站原创内容未经允许不得转载,或转载时需注明出处::西部数码资讯门户 » 深度解析:互联网界的911,半个美国互联网瘫痪了

赞 (0)