ZDNS專家深度解析：從美國網(wǎng)絡(luò)癱瘓事件看DNS的安全性

　　作者：域名工程中心總工程師 王偉博士

　　美國時間10月21日，美國域名服務(wù)供應(yīng)商DYN發(fā)表聲明，該公司在當(dāng)?shù)貢r間周五早上遭遇了DDoS（分布式拒絕服務(wù)）攻擊，從而導(dǎo)致用戶無法正常訪問包括 Twitter 、Spotify、 Netflix 、Airbnb、Github、Reddit以及紐約時報等主要網(wǎng)站。關(guān)于整個事件的發(fā)展，ZDNS此前在官方微信（微信號：zdnscloud）發(fā)布的《大半個美國互聯(lián)網(wǎng)癱瘓，DNS成攻防核心》一文中已經(jīng)做了較為詳細的分析，在此就不多做贅述。

　　聽到此則新聞，筆者第一反應(yīng)是“情理之中意料之外”。說“情理之中”，是因為域名系統(tǒng)自誕生之日起，就是一直是網(wǎng)絡(luò)攻擊的重點目標(biāo)。域名系統(tǒng)（DNS Domain Name System）是實現(xiàn)域名（如www.sina.com.cn）指向IP地址（如121.194.0.239）的系統(tǒng)，大多數(shù)互聯(lián)網(wǎng)應(yīng)用必須先查詢域名系統(tǒng)之后才能進行數(shù)據(jù)通信和互聯(lián)互通。全球域名總數(shù)超過3億，域名服務(wù)器數(shù)量超過1000萬臺，每天提供千億次的查詢服務(wù)。域名系統(tǒng)在后臺支撐著互聯(lián)網(wǎng)產(chǎn)業(yè)中各類業(yè)務(wù)應(yīng)用的開展和互聯(lián)互通，在互聯(lián)網(wǎng)體系中處于承上啟下的關(guān)鍵地位，同時也容易成為黑客們的關(guān)注對象和攻擊目標(biāo)。如同手機中誤刪通訊錄導(dǎo)致無法撥打電話（除非直接記得電話號碼），DNS服務(wù)不可用，也會導(dǎo)致用戶終端無法獲知網(wǎng)站IP地址而無法發(fā)起訪問。

　　下表是近幾年來對互聯(lián)網(wǎng)產(chǎn)生較大影響的DNS安全攻擊事件：

　　2009年5月19日南方六省斷網(wǎng)事件。游戲私服私斗打掛dnspod，殃及暴風(fēng)影音域名解析，進一步殃及電信運營商本地DNS服務(wù)器，從而爆發(fā)六省大規(guī)模斷網(wǎng)的事故。

　　2010年1月12日 百度 域名劫持事件。baidu.com的NS記錄被伊朗網(wǎng)軍（Iranian Cyber Army）劫持，然后導(dǎo)致www.baidu.com無法訪問。事件持續(xù)時間8小時。

　　2011年9月5日，包括 微軟 、宏碁、 沃達豐 和UPS在內(nèi)的眾多知名網(wǎng)站都遭遇了DNS劫持。

　　2012年2月16日，黑客組織匿名者（Anonymous）對外宣稱，將在3月31日攻擊DNS的13個根服務(wù)器，以達到讓全球互聯(lián)網(wǎng)癱瘓的目的。

　　2013年8月25日CN域被攻擊事件。cn域dns受到DDoS攻擊而導(dǎo)致所有cn域名無法解析。

　　2014年1月21日全國DNS故障。迄今為止，大陸境內(nèi)發(fā)生的最為嚴重的DNS故障，所有通用頂級域（。com/。net/。org）遭到DNS污染。

　　2015年11月30日DNS根服務(wù)器攻擊事件。13個根服務(wù)器大都受到了攻擊，攻擊者對根服務(wù)器發(fā)起了針對兩個特定域名的數(shù)十億次無效查詢請求。

　　2016年12月14日土耳其國家域遭攻擊。黑客組織匿名者（Anonymous）宣布自己是40Gbps DDoS的網(wǎng)絡(luò)攻擊發(fā)起人，并表示該攻擊跟反ISIS行動相關(guān)。

　　作為DNS行業(yè)從業(yè)人員，仿佛每年DNS系統(tǒng)不出點大事，心里就會產(chǎn)生隱約不安等著第二只靴子落地的感覺。

　　說“意料之外”，則是在這次攻擊事件中，黑客們與時俱進，采用了一些新手段新方法，使得“物聯(lián)網(wǎng)設(shè)備”安全性問題以一種意外方式進入普羅大眾視野。

　　然而，本文的重點并不在分析物聯(lián)網(wǎng)設(shè)備安全問題，而是想回到DNS協(xié)議和服務(wù)的安全性本身�；仡櫳鲜龇N種安全事件，我們會發(fā)現(xiàn)，關(guān)于DNS安全，有幾個繞不過去的關(guān)鍵問題：

　　1） 互聯(lián)網(wǎng)30年的發(fā)展日新月異，作為最核心最基礎(chǔ)的支撐服務(wù)之一，DNS在互聯(lián)網(wǎng)體系中的關(guān)鍵地位一直沒有變化；但針對抗攻擊問題，除了在工程層面加大DNS節(jié)點數(shù)量和服務(wù)規(guī)模， DNS協(xié)議層面其實也沒有大的改進。

　　2） DNS的基礎(chǔ)性和全局性，注定了對DNS的攻擊可以達到以點制面、擊一發(fā)而動全身的效果，具有投資小、見效快的優(yōu)點，幾乎每次DNS運行故障或攻擊得手，都能引發(fā)區(qū)域性、甚至全球性互聯(lián)網(wǎng)社群的哀鴻。通過攻擊DNS來曲線攻擊實際目標(biāo)也成為黑客們青睞的居家旅行必備良藥。

　　3） 摩爾定律、庫茨維爾定律和尼爾森定律使得發(fā)動DDoS規(guī)模攻擊的成本越來越低，與DNS關(guān)鍵地位不相襯的是，在DDoS攻擊規(guī)模幾何級增長的對比下，DNS系統(tǒng)算數(shù)級增長的處理能力杯水車薪，任何一家DNS運行機構(gòu)僅依靠自身的能力都力不從心

　　面對這些結(jié)構(gòu)性問題，作為DNS行業(yè)的從業(yè)者，不可局限于單純依靠加大資源投入加強工程建設(shè)的解決思路，更需要從協(xié)議原理入手深入思考DNS的業(yè)務(wù)邏輯和軟件實現(xiàn)。事實上，DNS協(xié)議自身已包含了分布式抗攻擊的設(shè)計思路。DNS體系包括兩部分，權(quán)威服務(wù)系統(tǒng)和遞歸服務(wù)系統(tǒng)，權(quán)威服務(wù)系統(tǒng)負責(zé)源數(shù)據(jù)（域名到IP的映射）的管理，遞歸服務(wù)系統(tǒng)負責(zé)面向終端用戶提供查詢服務(wù)，遞歸服務(wù)系統(tǒng)從權(quán)威服務(wù)系統(tǒng)獲取數(shù)據(jù)并緩存在本地，因此，遞歸服務(wù)系統(tǒng)也叫作緩存服務(wù)系統(tǒng)。如此，權(quán)威服務(wù)系統(tǒng)并不需要向全球用戶提供域名查詢服務(wù)，大量的終端查詢應(yīng)該由本地的遞歸服務(wù)系統(tǒng)解決。DYN就是一家提供權(quán)威域名服務(wù)的公司。

　　粗一看，這就是一個DNS版本的CDN（內(nèi)容分發(fā)網(wǎng)絡(luò) Content Delivery Network），實現(xiàn)了源站和服務(wù)站的分離，理論上，在這種模型架構(gòu)下，來自終端（PC、手機、物聯(lián)網(wǎng)設(shè)備）的訪問流量不應(yīng)到達權(quán)威服務(wù)器，DDoS攻擊流量也應(yīng)該在本地電信運營商的遞歸服務(wù)層面被消解掉，無法造成全網(wǎng)影響。但在細節(jié)設(shè)計上，DNS相較CDN有幾點差異，使得這種看上去很完美的可能性無法達成：

　　1） 不屏蔽權(quán)威源站地址：CDN服務(wù)提供屏蔽源站地址功能，終端用戶無法得知源站的真實IP地址，也就無從發(fā)起針對源站IP地址的攻擊，攻擊流量只能分布式地到達各CDN節(jié)點，由CDN的處理能力以及流量清洗等抗攻擊手段應(yīng)對。但DNS權(quán)威服務(wù)系統(tǒng)的IP地址對全網(wǎng)公開，除遞歸服務(wù)器外，所有互聯(lián)網(wǎng)用戶都可以公開獲知此IP地址，因此也就無法將DNS訪問流量限制在遞歸服務(wù)器層面。

　　2） 公開單向的數(shù)據(jù)同步通道：CDN站點和源站的數(shù)據(jù)同步是雙向的，即，CDN站點可以pull數(shù)據(jù)，源站也可以push數(shù)據(jù)，這進一步加強了源站的私密性，源站可以關(guān)閉入向端口而只是向給定目標(biāo)發(fā)起主動同步連接。而DNS權(quán)威和遞歸之間的數(shù)據(jù)同步，是單向的，全球任意遞歸服務(wù)器都可以來pull數(shù)據(jù)，權(quán)威服務(wù)系統(tǒng)時刻處在對全網(wǎng)的開放狀態(tài)。

　　3） 過期數(shù)據(jù)的處理機制：CDN服務(wù)模型中，如某個網(wǎng)頁或圖片過期后沒有及時從源站取得更新數(shù)據(jù)，舊的數(shù)據(jù)會仍然得以保留并提供給用戶，也就是“可用性”>“精確性”。但在DNS協(xié)議中，如果某條緩存數(shù)據(jù)到達定期更新時間，但此時遞歸服務(wù)系統(tǒng)無法訪問權(quán)威服務(wù)系統(tǒng)（包括DDoS攻擊狀態(tài)下的擁塞原因）獲取該數(shù)據(jù)的最新狀態(tài)，舊數(shù)據(jù)依然會被刪除，用戶請求失敗。這個機制放大了權(quán)威服務(wù)遭受攻擊時對遞歸服務(wù)器的負面影響，因為很多所謂“舊數(shù)據(jù)”與“新數(shù)據(jù)”并無內(nèi)容差別，并不影響用戶的訪問體驗。

　　上述種種技術(shù)缺陷，破壞了DNS原有“集成數(shù)據(jù)管理、分散訪問流量”的設(shè)計初衷，使得權(quán)威域名服務(wù)系統(tǒng)猶如黑夜中為黑客指路的明燈，不斷吸引各類非法數(shù)據(jù)請求和攻擊流量。要徹底改變這種狀況，則有必要加強對現(xiàn)有DNS協(xié)議及工程架構(gòu)的研究，加快對權(quán)威、遞歸及權(quán)威遞歸間數(shù)據(jù)同步機制的優(yōu)化和改進。具體建議如下：

　　1） 域名全行業(yè)需要提高對DNS基礎(chǔ)性和重要性的認識，包括根運行機構(gòu)、頂級域名注冊管理機構(gòu)、頂級域名后臺托管機構(gòu)、權(quán)威域名云服務(wù)機構(gòu)、遞歸域名服務(wù)機構(gòu)、電信運營商等在內(nèi)的各環(huán)節(jié)需要加深溝通和協(xié)作，發(fā)揮行業(yè)整體協(xié)調(diào)力量。

　　2） 考慮到DNS牽一發(fā)動全身的全局重要作用，有必要將頂級域名服務(wù)系統(tǒng)、重要權(quán)威域名服務(wù)系統(tǒng)、主要遞歸服務(wù)系統(tǒng)納入我國現(xiàn)有的互聯(lián)網(wǎng)應(yīng)急協(xié)調(diào)處理機制中去。

　　3） 有必要在重要權(quán)威服務(wù)系統(tǒng)和主要遞歸服務(wù)系統(tǒng)之間建設(shè)獨立的通信通道，保障大多數(shù)合法域名訪問業(yè)務(wù)的順暢和攻擊應(yīng)急狀況下的應(yīng)急通道暢通。事實上，在前幾年就有國內(nèi)研究人員提出過借鑒電信信令網(wǎng)思路，建設(shè)“關(guān)鍵信息基礎(chǔ)設(shè)施虛擬專網(wǎng)”的建議。

　　4） 發(fā)揮電信運營商、小區(qū)寬帶等在最后一公里為用戶提供遞歸服務(wù)的機構(gòu)作用，在遞歸服務(wù)層面建立數(shù)據(jù)備份和應(yīng)急緩存替換機制。無論權(quán)威是否遭受攻擊，終端用戶的合法訪問實際是由遞歸來進行響應(yīng)的。

　　5） 高性能的專有域名服務(wù)設(shè)備也將有利于提升域名服務(wù)的處理能力和應(yīng)急調(diào)度能力。近年來我國已出現(xiàn)了一批有別于LInux服務(wù)器+開源DNS軟件的專業(yè)域名設(shè)備品牌（也許你還想了解《[ZDNS專用設(shè)備]與時俱“新”，你不可不知的域名解析之變》），除了通過專用設(shè)備提高了域名查詢性能外，更增加了數(shù)據(jù)災(zāi)備，調(diào)度切換等功能，有助于提高安全管理的效率。

　　DNS協(xié)議和服務(wù)，是互聯(lián)網(wǎng)的經(jīng)典協(xié)議和服務(wù)，傳統(tǒng)上，美國、歐洲等互聯(lián)網(wǎng)先發(fā)國家的技術(shù)專家做出了大量貢獻，使之成為互聯(lián)網(wǎng)的關(guān)鍵基礎(chǔ)設(shè)施。伴隨著我國改革開放后的整體高速發(fā)展，中國已成為互聯(lián)網(wǎng)網(wǎng)民最多、規(guī)模最大的國家，且與發(fā)達國家同步演進到移動互聯(lián)網(wǎng)、物聯(lián)網(wǎng)、工業(yè)互聯(lián)網(wǎng)階段，甚至在某些領(lǐng)域取得領(lǐng)先。網(wǎng)絡(luò)規(guī)模和業(yè)務(wù)應(yīng)用的領(lǐng)先，必然帶來對DNS的新的需求和改進驅(qū)動，希望中國互聯(lián)網(wǎng)社群加大研究和國際交流，希望我國的技術(shù)專家對全球DNS安全性和穩(wěn)定性做出新時代的貢獻。