威脅國家頂級域名 流量攻擊劍指網上中國

　　近日，中國互聯網絡信息中心管理運行的國家.cn頂級域名系統遭受大規模DOS攻擊（拒絕服務攻擊）。據工信部通信保障局介紹，此次攻擊系利用僵尸網絡向.cn頂級域名系統持續發起大量針對某游戲私服網站域名的查詢請求，峰值流量較平常激增近1000倍，造成.cn頂級域名系統的互聯網出口帶寬短期內嚴重擁塞。

　　遭遇驚魂一夜

　　較早發布.cn頂級域名系統遭受大規模DOS攻擊是一家域名解析服務商DNSPod的創始人吳洪聲。他通過新浪實名認證的微博于8月25日零時32分稱：根據DNSPod的監控，目前cn的根域授權DNS全線故障，所有cn域名均無法解析。

　　“.cn”域名由中國互聯網絡信息中心（CNNIC）負責管理，面向普通個人開放申請。受影響較大的包括新浪微博客戶端，和一批以“.cn”為域名的網站。新浪微博緊接著向客戶發出影響服務提醒。

　　此次攻擊隨后被CNNIC證實。據該中心新浪認證的實名微博稱，8月25日凌晨零時許，國家域名解析節點受到拒絕服務攻擊，經中心處置，至2時許服務器恢復正常。但凌晨4時許，國家域名解析節點再次受到有史以來最大規模的拒絕服務攻擊。針對這次攻擊的影響，CNNIC副主任齊麟隨后表示，事件并沒有描述的那么嚴重，攻擊造成部分用戶在讀取.cn域名解析日志時會有些緩慢。對整個互聯網普通網民訪問網站并沒有大規模影響。

　　攻擊手段傳統

　　域名可以被通俗地稱為互聯網網站的地址號牌，.cn域名就是以.cn為結尾的域名。.cn域名是中國國家注冊的頂級域名。目前全球以.cn結尾的網站有800多萬個，其中包括我國各級政府機構網站。

　　360安全專家石曉虹表示，黑客攻擊者的手法并不新鮮，就是單純的流量攻擊。他認為，兩個原因導致這類攻擊越來越多：首先是工具化自動化越來越明顯；其次是帶寬越來越充足，攻擊者甚至通過直接租用服務器來進行流量攻擊。石曉虹分析稱，不法分子針對.cn域名所進行的主要是UDP流量洪水攻擊、DNS解析請求拒絕服務攻擊，有可能還混有DNS放大攻擊，最終的目的就是讓網絡的帶寬超出服務的帶寬，讓業務請求的數量超出設計的閾值，從而達到DNS解析服務崩潰的目的。

　　難除攻擊隱患

　　攻擊事件發生后，工信部于當天上午組織相關單位和專家緊急召開會議，研判事件性質，部署處置工作。工信部要求中國互聯網絡信息中心、國家計算機網絡應急技術處理協調中心以及各基礎電信企業繼續加強監測和信息報送，采取帶寬擴容、攻擊流量清洗等綜合措施，確保.cn頂級域名系統正常運行，保證互聯網用戶正常上網。同時，組織相關單位進一步查明原因、評估影響、消除隱患。

　　如何防范這種大規模攻擊呢？對此，石曉虹認為，可以通過3個手段來進行防御。第一，充足的帶寬和性能很強的DNS服務器；第二，需要進行安全設備的部署，如流量清洗等，再組織運營商間進行聯動，發現偽造源地址的包或者對來自一個點的大規模攻擊進行阻斷；第三，流量攻擊發起的成本越來越低，通過技術定位辦案的很少，所以在這方面需要加強，定位一起立案一起，嚴懲網絡犯罪。

　　對于大量的中小網站、中小企業而言，花費重金購買網站防護帶寬是不現實的。由于流量攻擊的門檻越來越低，已經形成了專門的黑色產業鏈。雇主可以購買攻擊服務，而且服務還分檔次，包括按攻擊事件分、按流量分或者是打癱瘓為止等多個套餐，價格也會不一樣。一般來說，同行競爭是導致網站被攻擊的最大原因，但被攻擊后很難定位到攻擊者也是這類事件屢見不鮮的重要原因。（文 心）

　　名詞解釋

　　1. DNS

　　DNS是計算機域名系統或域名解析服務器(Domain Name System 或Domain Name Service) 的縮寫，它是由解析器以及域名服務器組成的。域名服務器是指保存有該網絡中所有主機的域名和對應IP地址，并具有將域名轉換為IP地址功能的服務器。DNS是因特網的一項核心服務，它作為可以將域名和IP地址相互映射的一個分布式數據庫，能夠使人更方便地訪問互聯網，而不用去記住能夠被機器直接讀取的IP數串。

　　2. DOS攻擊

　　DOS是Denial of Service的簡稱，意思為拒絕服務攻擊，即攻擊者想辦法讓目標機器停止提供服務，是黑客常用的攻擊手段之一。其實對網絡帶寬進行的消耗性攻擊只是拒絕服務攻擊的一小部分，只要能夠對目標造成麻煩，使某些服務被暫停甚至主機死機，都屬于拒絕服務攻擊。拒絕服務攻擊問題一直得不到合理的解決，究其原因是因為這是由網絡協議本身的安全缺陷造成的，從而拒絕服務攻擊也就成為了攻擊者的終極手法。攻擊者進行拒絕服務攻擊，實際上是要達到兩種效果：一是迫使服務器的緩沖區滿負荷，不接收新的請求；二是使用IP欺騙，迫使服務器把合法用戶的連接復位，影響合法用戶的連接。

　點擊更多新聞進入新聞中心　兩岸新聞　臺灣新聞