ZDNS專家深度解析：從美國網絡癱瘓事件看DNS的安全性

　　作者：域名工程中心總工程師 王偉博士

　　美國時間10月21日，美國域名服務供應商DYN發(fā)表聲明，該公司在當地時間周五早上遭遇了DDoS（分布式拒絕服務）攻擊，從而導致用戶無法正常訪問包括 Twitter 、Spotify、 Netflix 、Airbnb、Github、Reddit以及紐約時報等主要網站。關于整個事件的發(fā)展，ZDNS此前在官方微信（微信號：zdnscloud）發(fā)布的《大半個美國互聯(lián)網癱瘓，DNS成攻防核心》一文中已經做了較為詳細的分析，在此就不多做贅述。

　　聽到此則新聞，筆者第一反應是“情理之中意料之外”。說“情理之中”，是因為域名系統(tǒng)自誕生之日起，就是一直是網絡攻擊的重點目標。域名系統(tǒng)（DNS Domain Name System）是實現(xiàn)域名（如www.sina.com.cn）指向IP地址（如121.194.0.239）的系統(tǒng)，大多數互聯(lián)網應用必須先查詢域名系統(tǒng)之后才能進行數據通信和互聯(lián)互通。全球域名總數超過3億，域名服務器數量超過1000萬臺，每天提供千億次的查詢服務。域名系統(tǒng)在后臺支撐著互聯(lián)網產業(yè)中各類業(yè)務應用的開展和互聯(lián)互通，在互聯(lián)網體系中處于承上啟下的關鍵地位，同時也容易成為黑客們的關注對象和攻擊目標。如同手機中誤刪通訊錄導致無法撥打電話（除非直接記得電話號碼），DNS服務不可用，也會導致用戶終端無法獲知網站IP地址而無法發(fā)起訪問。

　　下表是近幾年來對互聯(lián)網產生較大影響的DNS安全攻擊事件：

　　2009年5月19日南方六省斷網事件。游戲私服私斗打掛dnspod，殃及暴風影音域名解析，進一步殃及電信運營商本地DNS服務器，從而爆發(fā)六省大規(guī)模斷網的事故。

　　2010年1月12日 百度 域名劫持事件。baidu.com的NS記錄被伊朗網軍（Iranian Cyber Army）劫持，然后導致www.baidu.com無法訪問。事件持續(xù)時間8小時。

　　2011年9月5日，包括 微軟 、宏碁、 沃達豐 和UPS在內的眾多知名網站都遭遇了DNS劫持。

　　2012年2月16日，黑客組織匿名者（Anonymous）對外宣稱，將在3月31日攻擊DNS的13個根服務器，以達到讓全球互聯(lián)網癱瘓的目的。

　　2013年8月25日CN域被攻擊事件。cn域dns受到DDoS攻擊而導致所有cn域名無法解析。

　　2014年1月21日全國DNS故障。迄今為止，大陸境內發(fā)生的最為嚴重的DNS故障，所有通用頂級域（。com/。net/。org）遭到DNS污染。

　　2015年11月30日DNS根服務器攻擊事件。13個根服務器大都受到了攻擊，攻擊者對根服務器發(fā)起了針對兩個特定域名的數十億次無效查詢請求。

　　2016年12月14日土耳其國家域遭攻擊。黑客組織匿名者（Anonymous）宣布自己是40Gbps DDoS的網絡攻擊發(fā)起人，并表示該攻擊跟反ISIS行動相關。

　　作為DNS行業(yè)從業(yè)人員，仿佛每年DNS系統(tǒng)不出點大事，心里就會產生隱約不安等著第二只靴子落地的感覺。

　　說“意料之外”，則是在這次攻擊事件中，黑客們與時俱進，采用了一些新手段新方法，使得“物聯(lián)網設備”安全性問題以一種意外方式進入普羅大眾視野。

　　然而，本文的重點并不在分析物聯(lián)網設備安全問題，而是想回到DNS協(xié)議和服務的安全性本身�；仡櫳鲜龇N種安全事件，我們會發(fā)現(xiàn)，關于DNS安全，有幾個繞不過去的關鍵問題：

　　1） 互聯(lián)網30年的發(fā)展日新月異，作為最核心最基礎的支撐服務之一，DNS在互聯(lián)網體系中的關鍵地位一直沒有變化；但針對抗攻擊問題，除了在工程層面加大DNS節(jié)點數量和服務規(guī)模， DNS協(xié)議層面其實也沒有大的改進。

　　2） DNS的基礎性和全局性，注定了對DNS的攻擊可以達到以點制面、擊一發(fā)而動全身的效果，具有投資小、見效快的優(yōu)點，幾乎每次DNS運行故障或攻擊得手，都能引發(fā)區(qū)域性、甚至全球性互聯(lián)網社群的哀鴻。通過攻擊DNS來曲線攻擊實際目標也成為黑客們青睞的居家旅行必備良藥。

　　3） 摩爾定律、庫茨維爾定律和尼爾森定律使得發(fā)動DDoS規(guī)模攻擊的成本越來越低，與DNS關鍵地位不相襯的是，在DDoS攻擊規(guī)模幾何級增長的對比下，DNS系統(tǒng)算數級增長的處理能力杯水車薪，任何一家DNS運行機構僅依靠自身的能力都力不從心

　　面對這些結構性問題，作為DNS行業(yè)的從業(yè)者，不可局限于單純依靠加大資源投入加強工程建設的解決思路，更需要從協(xié)議原理入手深入思考DNS的業(yè)務邏輯和軟件實現(xiàn)。事實上，DNS協(xié)議自身已包含了分布式抗攻擊的設計思路。DNS體系包括兩部分，權威服務系統(tǒng)和遞歸服務系統(tǒng)，權威服務系統(tǒng)負責源數據（域名到IP的映射）的管理，遞歸服務系統(tǒng)負責面向終端用戶提供查詢服務，遞歸服務系統(tǒng)從權威服務系統(tǒng)獲取數據并緩存在本地，因此，遞歸服務系統(tǒng)也叫作緩存服務系統(tǒng)。如此，權威服務系統(tǒng)并不需要向全球用戶提供域名查詢服務，大量的終端查詢應該由本地的遞歸服務系統(tǒng)解決。DYN就是一家提供權威域名服務的公司。

　　粗一看，這就是一個DNS版本的CDN（內容分發(fā)網絡 Content Delivery Network），實現(xiàn)了源站和服務站的分離，理論上，在這種模型架構下，來自終端（PC、手機、物聯(lián)網設備）的訪問流量不應到達權威服務器，DDoS攻擊流量也應該在本地電信運營商的遞歸服務層面被消解掉，無法造成全網影響。但在細節(jié)設計上，DNS相較CDN有幾點差異，使得這種看上去很完美的可能性無法達成：

　　1） 不屏蔽權威源站地址：CDN服務提供屏蔽源站地址功能，終端用戶無法得知源站的真實IP地址，也就無從發(fā)起針對源站IP地址的攻擊，攻擊流量只能分布式地到達各CDN節(jié)點，由CDN的處理能力以及流量清洗等抗攻擊手段應對。但DNS權威服務系統(tǒng)的IP地址對全網公開，除遞歸服務器外，所有互聯(lián)網用戶都可以公開獲知此IP地址，因此也就無法將DNS訪問流量限制在遞歸服務器層面。

　　2） 公開單向的數據同步通道：CDN站點和源站的數據同步是雙向的，即，CDN站點可以pull數據，源站也可以push數據，這進一步加強了源站的私密性，源站可以關閉入向端口而只是向給定目標發(fā)起主動同步連接。而DNS權威和遞歸之間的數據同步，是單向的，全球任意遞歸服務器都可以來pull數據，權威服務系統(tǒng)時刻處在對全網的開放狀態(tài)。

　　3） 過期數據的處理機制：CDN服務模型中，如某個網頁或圖片過期后沒有及時從源站取得更新數據，舊的數據會仍然得以保留并提供給用戶，也就是“可用性”>“精確性”。但在DNS協(xié)議中，如果某條緩存數據到達定期更新時間，但此時遞歸服務系統(tǒng)無法訪問權威服務系統(tǒng)（包括DDoS攻擊狀態(tài)下的擁塞原因）獲取該數據的最新狀態(tài)，舊數據依然會被刪除，用戶請求失敗。這個機制放大了權威服務遭受攻擊時對遞歸服務器的負面影響，因為很多所謂“舊數據”與“新數據”并無內容差別，并不影響用戶的訪問體驗。

　　上述種種技術缺陷，破壞了DNS原有“集成數據管理、分散訪問流量”的設計初衷，使得權威域名服務系統(tǒng)猶如黑夜中為黑客指路的明燈，不斷吸引各類非法數據請求和攻擊流量。要徹底改變這種狀況，則有必要加強對現(xiàn)有DNS協(xié)議及工程架構的研究，加快對權威、遞歸及權威遞歸間數據同步機制的優(yōu)化和改進。具體建議如下：

　　1） 域名全行業(yè)需要提高對DNS基礎性和重要性的認識，包括根運行機構、頂級域名注冊管理機構、頂級域名后臺托管機構、權威域名云服務機構、遞歸域名服務機構、電信運營商等在內的各環(huán)節(jié)需要加深溝通和協(xié)作，發(fā)揮行業(yè)整體協(xié)調力量。

　　2） 考慮到DNS牽一發(fā)動全身的全局重要作用，有必要將頂級域名服務系統(tǒng)、重要權威域名服務系統(tǒng)、主要遞歸服務系統(tǒng)納入我國現(xiàn)有的互聯(lián)網應急協(xié)調處理機制中去。

　　3） 有必要在重要權威服務系統(tǒng)和主要遞歸服務系統(tǒng)之間建設獨立的通信通道，保障大多數合法域名訪問業(yè)務的順暢和攻擊應急狀況下的應急通道暢通。事實上，在前幾年就有國內研究人員提出過借鑒電信信令網思路，建設“關鍵信息基礎設施虛擬專網”的建議。

　　4） 發(fā)揮電信運營商、小區(qū)寬帶等在最后一公里為用戶提供遞歸服務的機構作用，在遞歸服務層面建立數據備份和應急緩存替換機制。無論權威是否遭受攻擊，終端用戶的合法訪問實際是由遞歸來進行響應的。

　　5） 高性能的專有域名服務設備也將有利于提升域名服務的處理能力和應急調度能力。近年來我國已出現(xiàn)了一批有別于LInux服務器+開源DNS軟件的專業(yè)域名設備品牌（也許你還想了解《[ZDNS專用設備]與時俱“新”，你不可不知的域名解析之變》），除了通過專用設備提高了域名查詢性能外，更增加了數據災備，調度切換等功能，有助于提高安全管理的效率。

　　DNS協(xié)議和服務，是互聯(lián)網的經典協(xié)議和服務，傳統(tǒng)上，美國、歐洲等互聯(lián)網先發(fā)國家的技術專家做出了大量貢獻，使之成為互聯(lián)網的關鍵基礎設施。伴隨著我國改革開放后的整體高速發(fā)展，中國已成為互聯(lián)網網民最多、規(guī)模最大的國家，且與發(fā)達國家同步演進到移動互聯(lián)網、物聯(lián)網、工業(yè)互聯(lián)網階段，甚至在某些領域取得領先。網絡規(guī)模和業(yè)務應用的領先，必然帶來對DNS的新的需求和改進驅動，希望中國互聯(lián)網社群加大研究和國際交流，希望我國的技術專家對全球DNS安全性和穩(wěn)定性做出新時代的貢獻。