ZDNS專(zhuān)家深度解析：從美國(guó)網(wǎng)絡(luò)癱瘓事件看DNS的安全性

　　作者：域名工程中心總工程師 王偉博士

　　美國(guó)時(shí)間10月21日，美國(guó)域名服務(wù)供應(yīng)商DYN發(fā)表聲明，該公司在當(dāng)?shù)貢r(shí)間周五早上遭遇了DDoS（分布式拒絕服務(wù)）攻擊，從而導(dǎo)致用戶(hù)無(wú)法正常訪問(wèn)包括 Twitter 、Spotify、 Netflix 、Airbnb、Github、Reddit以及紐約時(shí)報(bào)等主要網(wǎng)站。關(guān)于整個(gè)事件的發(fā)展，ZDNS此前在官方微信（微信號(hào)：zdnscloud）發(fā)布的《大半個(gè)美國(guó)互聯(lián)網(wǎng)癱瘓，DNS成攻防核心》一文中已經(jīng)做了較為詳細(xì)的分析，在此就不多做贅述。

　　聽(tīng)到此則新聞，筆者第一反應(yīng)是“情理之中意料之外”。說(shuō)“情理之中”，是因?yàn)橛蛎�系統(tǒng)自誕生之日起，就是一直是網(wǎng)絡(luò)攻擊的重點(diǎn)目標(biāo)。域名系統(tǒng)（DNS Domain Name System）是實(shí)現(xiàn)域名（如www.sina.com.cn）指向IP地址（如121.194.0.239）的系統(tǒng)，大多數(shù)互聯(lián)網(wǎng)應(yīng)用必須先查詢(xún)域名系統(tǒng)之后才能進(jìn)行數(shù)據(jù)通信和互聯(lián)互通。全球域名總數(shù)超過(guò)3億，域名服務(wù)器數(shù)量超過(guò)1000萬(wàn)臺(tái)，每天提供千億次的查詢(xún)服務(wù)。域名系統(tǒng)在后臺(tái)支撐著互聯(lián)網(wǎng)產(chǎn)業(yè)中各類(lèi)業(yè)務(wù)應(yīng)用的開(kāi)展和互聯(lián)互通，在互聯(lián)網(wǎng)體系中處于承上啟下的關(guān)鍵地位，同時(shí)也容易成為黑客們的關(guān)注對(duì)象和攻擊目標(biāo)。如同手機(jī)中誤刪通訊錄導(dǎo)致無(wú)法撥打電話(huà)（除非直接記得電話(huà)號(hào)碼），DNS服務(wù)不可用，也會(huì)導(dǎo)致用戶(hù)終端無(wú)法獲知網(wǎng)站IP地址而無(wú)法發(fā)起訪問(wèn)。

　　下表是近幾年來(lái)對(duì)互聯(lián)網(wǎng)產(chǎn)生較大影響的DNS安全攻擊事件：

　　2009年5月19日南方六省斷網(wǎng)事件。游戲私服私斗打掛dnspod，殃及暴風(fēng)影音域名解析，進(jìn)一步殃及電信運(yùn)營(yíng)商本地DNS服務(wù)器，從而爆發(fā)六省大規(guī)模斷網(wǎng)的事故。

　　2010年1月12日 百度 域名劫持事件。baidu.com的NS記錄被伊朗網(wǎng)軍（Iranian Cyber Army）劫持，然后導(dǎo)致www.baidu.com無(wú)法訪問(wèn)。事件持續(xù)時(shí)間8小時(shí)。

　　2011年9月5日，包括 微軟 、宏碁、 沃達(dá)豐 和UPS在內(nèi)的眾多知名網(wǎng)站都遭遇了DNS劫持。

　　2012年2月16日，黑客組織匿名者（Anonymous）對(duì)外宣稱(chēng)，將在3月31日攻擊DNS的13個(gè)根服務(wù)器，以達(dá)到讓全球互聯(lián)網(wǎng)癱瘓的目的。

　　2013年8月25日CN域被攻擊事件。cn域dns受到DDoS攻擊而導(dǎo)致所有cn域名無(wú)法解析。

　　2014年1月21日全國(guó)DNS故障。迄今為止，大陸境內(nèi)發(fā)生的最為嚴(yán)重的DNS故障，所有通用頂級(jí)域（。com/。net/。org）遭到DNS污染。

　　2015年11月30日DNS根服務(wù)器攻擊事件。13個(gè)根服務(wù)器大都受到了攻擊，攻擊者對(duì)根服務(wù)器發(fā)起了針對(duì)兩個(gè)特定域名的數(shù)十億次無(wú)效查詢(xún)請(qǐng)求。

　　2016年12月14日土耳其國(guó)家域遭攻擊。黑客組織匿名者（Anonymous）宣布自己是40Gbps DDoS的網(wǎng)絡(luò)攻擊發(fā)起人，并表示該攻擊跟反ISIS行動(dòng)相關(guān)。

　　作為DNS行業(yè)從業(yè)人員，仿佛每年DNS系統(tǒng)不出點(diǎn)大事，心里就會(huì)產(chǎn)生隱約不安等著第二只靴子落地的感覺(jué)。

　　說(shuō)“意料之外”，則是在這次攻擊事件中，黑客們與時(shí)俱進(jìn)，采用了一些新手段新方法，使得“物聯(lián)網(wǎng)設(shè)備”安全性問(wèn)題以一種意外方式進(jìn)入普羅大眾視野。

　　然而，本文的重點(diǎn)并不在分析物聯(lián)網(wǎng)設(shè)備安全問(wèn)題，而是想回到DNS協(xié)議和服務(wù)的安全性本身。回顧上述種種安全事件，我們會(huì)發(fā)現(xiàn)，關(guān)于DNS安全，有幾個(gè)繞不過(guò)去的關(guān)鍵問(wèn)題：

　　1） 互聯(lián)網(wǎng)30年的發(fā)展日新月異，作為最核心最基礎(chǔ)的支撐服務(wù)之一，DNS在互聯(lián)網(wǎng)體系中的關(guān)鍵地位一直沒(méi)有變化；但針對(duì)抗攻擊問(wèn)題，除了在工程層面加大DNS節(jié)點(diǎn)數(shù)量和服務(wù)規(guī)模， DNS協(xié)議層面其實(shí)也沒(méi)有大的改進(jìn)。

　　2） DNS的基礎(chǔ)性和全局性，注定了對(duì)DNS的攻擊可以達(dá)到以點(diǎn)制面、擊一發(fā)而動(dòng)全身的效果，具有投資小、見(jiàn)效快的優(yōu)點(diǎn)，幾乎每次DNS運(yùn)行故障或攻擊得手，都能引發(fā)區(qū)域性、甚至全球性互聯(lián)網(wǎng)社群的哀鴻。通過(guò)攻擊DNS來(lái)曲線(xiàn)攻擊實(shí)際目標(biāo)也成為黑客們青睞的居家旅行必備良藥。

　　3） 摩爾定律、庫(kù)茨維爾定律和尼爾森定律使得發(fā)動(dòng)DDoS規(guī)模攻擊的成本越來(lái)越低，與DNS關(guān)鍵地位不相襯的是，在DDoS攻擊規(guī)模幾何級(jí)增長(zhǎng)的對(duì)比下，DNS系統(tǒng)算數(shù)級(jí)增長(zhǎng)的處理能力杯水車(chē)薪，任何一家DNS運(yùn)行機(jī)構(gòu)僅依靠自身的能力都力不從心

　　面對(duì)這些結(jié)構(gòu)性問(wèn)題，作為DNS行業(yè)的從業(yè)者，不可局限于單純依靠加大資源投入加強(qiáng)工程建設(shè)的解決思路，更需要從協(xié)議原理入手深入思考DNS的業(yè)務(wù)邏輯和軟件實(shí)現(xiàn)。事實(shí)上，DNS協(xié)議自身已包含了分布式抗攻擊的設(shè)計(jì)思路。DNS體系包括兩部分，權(quán)威服務(wù)系統(tǒng)和遞歸服務(wù)系統(tǒng)，權(quán)威服務(wù)系統(tǒng)負(fù)責(zé)源數(shù)據(jù)（域名到IP的映射）的管理，遞歸服務(wù)系統(tǒng)負(fù)責(zé)面向終端用戶(hù)提供查詢(xún)服務(wù)，遞歸服務(wù)系統(tǒng)從權(quán)威服務(wù)系統(tǒng)獲取數(shù)據(jù)并緩存在本地，因此，遞歸服務(wù)系統(tǒng)也叫作緩存服務(wù)系統(tǒng)。如此，權(quán)威服務(wù)系統(tǒng)并不需要向全球用戶(hù)提供域名查詢(xún)服務(wù)，大量的終端查詢(xún)應(yīng)該由本地的遞歸服務(wù)系統(tǒng)解決。DYN就是一家提供權(quán)威域名服務(wù)的公司。

　　粗一看，這就是一個(gè)DNS版本的CDN（內(nèi)容分發(fā)網(wǎng)絡(luò) Content Delivery Network），實(shí)現(xiàn)了源站和服務(wù)站的分離，理論上，在這種模型架構(gòu)下，來(lái)自終端（PC、手機(jī)、物聯(lián)網(wǎng)設(shè)備）的訪問(wèn)流量不應(yīng)到達(dá)權(quán)威服務(wù)器，DDoS攻擊流量也應(yīng)該在本地電信運(yùn)營(yíng)商的遞歸服務(wù)層面被消解掉，無(wú)法造成全網(wǎng)影響。但在細(xì)節(jié)設(shè)計(jì)上，DNS相較CDN有幾點(diǎn)差異，使得這種看上去很完美的可能性無(wú)法達(dá)成：

　　1） 不屏蔽權(quán)威源站地址：CDN服務(wù)提供屏蔽源站地址功能，終端用戶(hù)無(wú)法得知源站的真實(shí)IP地址，也就無(wú)從發(fā)起針對(duì)源站IP地址的攻擊，攻擊流量只能分布式地到達(dá)各CDN節(jié)點(diǎn)，由CDN的處理能力以及流量清洗等抗攻擊手段應(yīng)對(duì)。但DNS權(quán)威服務(wù)系統(tǒng)的IP地址對(duì)全網(wǎng)公開(kāi)，除遞歸服務(wù)器外，所有互聯(lián)網(wǎng)用戶(hù)都可以公開(kāi)獲知此IP地址，因此也就無(wú)法將DNS訪問(wèn)流量限制在遞歸服務(wù)器層面。

　　2） 公開(kāi)單向的數(shù)據(jù)同步通道：CDN站點(diǎn)和源站的數(shù)據(jù)同步是雙向的，即，CDN站點(diǎn)可以pull數(shù)據(jù)，源站也可以push數(shù)據(jù)，這進(jìn)一步加強(qiáng)了源站的私密性，源站可以關(guān)閉入向端口而只是向給定目標(biāo)發(fā)起主動(dòng)同步連接。而DNS權(quán)威和遞歸之間的數(shù)據(jù)同步，是單向的，全球任意遞歸服務(wù)器都可以來(lái)pull數(shù)據(jù)，權(quán)威服務(wù)系統(tǒng)時(shí)刻處在對(duì)全網(wǎng)的開(kāi)放狀態(tài)。

　　3） 過(guò)期數(shù)據(jù)的處理機(jī)制：CDN服務(wù)模型中，如某個(gè)網(wǎng)頁(yè)或圖片過(guò)期后沒(méi)有及時(shí)從源站取得更新數(shù)據(jù)，舊的數(shù)據(jù)會(huì)仍然得以保留并提供給用戶(hù)，也就是“可用性”>“精確性”。但在DNS協(xié)議中，如果某條緩存數(shù)據(jù)到達(dá)定期更新時(shí)間，但此時(shí)遞歸服務(wù)系統(tǒng)無(wú)法訪問(wèn)權(quán)威服務(wù)系統(tǒng)（包括DDoS攻擊狀態(tài)下的擁塞原因）獲取該數(shù)據(jù)的最新?tīng)顟B(tài)，舊數(shù)據(jù)依然會(huì)被刪除，用戶(hù)請(qǐng)求失敗。這個(gè)機(jī)制放大了權(quán)威服務(wù)遭受攻擊時(shí)對(duì)遞歸服務(wù)器的負(fù)面影響，因?yàn)楹芏嗨�謂“舊數(shù)據(jù)”與“新數(shù)據(jù)”并無(wú)內(nèi)容差別，并不影響用戶(hù)的訪問(wèn)體驗(yàn)。

　　上述種種技術(shù)缺陷，破壞了DNS原有“集成數(shù)據(jù)管理、分散訪問(wèn)流量”的設(shè)計(jì)初衷，使得權(quán)威域名服務(wù)系統(tǒng)猶如黑夜中為黑客指路的明燈，不斷吸引各類(lèi)非法數(shù)據(jù)請(qǐng)求和攻擊流量。要徹底改變這種狀況，則有必要加強(qiáng)對(duì)現(xiàn)有DNS協(xié)議及工程架構(gòu)的研究，加快對(duì)權(quán)威、遞歸及權(quán)威遞歸間數(shù)據(jù)同步機(jī)制的優(yōu)化和改進(jìn)。具體建議如下：

　　1） 域名全行業(yè)需要提高對(duì)DNS基礎(chǔ)性和重要性的認(rèn)識(shí)，包括根運(yùn)行機(jī)構(gòu)、頂級(jí)域名注冊(cè)管理機(jī)構(gòu)、頂級(jí)域名后臺(tái)托管機(jī)構(gòu)、權(quán)威域名云服務(wù)機(jī)構(gòu)、遞歸域名服務(wù)機(jī)構(gòu)、電信運(yùn)營(yíng)商等在內(nèi)的各環(huán)節(jié)需要加深溝通和協(xié)作，發(fā)揮行業(yè)整體協(xié)調(diào)力量。

　　2） 考慮到DNS牽一發(fā)動(dòng)全身的全局重要作用，有必要將頂級(jí)域名服務(wù)系統(tǒng)、重要權(quán)威域名服務(wù)系統(tǒng)、主要遞歸服務(wù)系統(tǒng)納入我國(guó)現(xiàn)有的互聯(lián)網(wǎng)應(yīng)急協(xié)調(diào)處理機(jī)制中去。

　　3） 有必要在重要權(quán)威服務(wù)系統(tǒng)和主要遞歸服務(wù)系統(tǒng)之間建設(shè)獨(dú)立的通信通道，保障大多數(shù)合法域名訪問(wèn)業(yè)務(wù)的順暢和攻擊應(yīng)急狀況下的應(yīng)急通道暢通。事實(shí)上，在前幾年就有國(guó)內(nèi)研究人員提出過(guò)借鑒電信信令網(wǎng)思路，建設(shè)“關(guān)鍵信息基礎(chǔ)設(shè)施虛擬專(zhuān)網(wǎng)”的建議。

　　4） 發(fā)揮電信運(yùn)營(yíng)商、小區(qū)寬帶等在最后一公里為用戶(hù)提供遞歸服務(wù)的機(jī)構(gòu)作用，在遞歸服務(wù)層面建立數(shù)據(jù)備份和應(yīng)急緩存替換機(jī)制。無(wú)論權(quán)威是否遭受攻擊，終端用戶(hù)的合法訪問(wèn)實(shí)際是由遞歸來(lái)進(jìn)行響應(yīng)的。

　　5） 高性能的專(zhuān)有域名服務(wù)設(shè)備也將有利于提升域名服務(wù)的處理能力和應(yīng)急調(diào)度能力。近年來(lái)我國(guó)已出現(xiàn)了一批有別于LInux服務(wù)器+開(kāi)源DNS軟件的專(zhuān)業(yè)域名設(shè)備品牌（也許你還想了解《[ZDNS專(zhuān)用設(shè)備]與時(shí)俱“新”，你不可不知的域名解析之變》），除了通過(guò)專(zhuān)用設(shè)備提高了域名查詢(xún)性能外，更增加了數(shù)據(jù)災(zāi)備，調(diào)度切換等功能，有助于提高安全管理的效率。

　　DNS協(xié)議和服務(wù)，是互聯(lián)網(wǎng)的經(jīng)典協(xié)議和服務(wù)，傳統(tǒng)上，美國(guó)、歐洲等互聯(lián)網(wǎng)先發(fā)國(guó)家的技術(shù)專(zhuān)家做出了大量貢獻(xiàn)，使之成為互聯(lián)網(wǎng)的關(guān)鍵基礎(chǔ)設(shè)施。伴隨著我國(guó)改革開(kāi)放后的整體高速發(fā)展，中國(guó)已成為互聯(lián)網(wǎng)網(wǎng)民最多、規(guī)模最大的國(guó)家，且與發(fā)達(dá)國(guó)家同步演進(jìn)到移動(dòng)互聯(lián)網(wǎng)、物聯(lián)網(wǎng)、工業(yè)互聯(lián)網(wǎng)階段，甚至在某些領(lǐng)域取得領(lǐng)先。網(wǎng)絡(luò)規(guī)模和業(yè)務(wù)應(yīng)用的領(lǐng)先，必然帶來(lái)對(duì)DNS的新的需求和改進(jìn)驅(qū)動(dòng)，希望中國(guó)互聯(lián)網(wǎng)社群加大研究和國(guó)際交流，希望我國(guó)的技術(shù)專(zhuān)家對(duì)全球DNS安全性和穩(wěn)定性做出新時(shí)代的貢獻(xiàn)。