运营商防范黑客攻击DNS根服务器

近日著名黑客组织匿名者（Anonymous）对外宣称，将在2012年3月31日攻击DNS的13个根服务器，以达到让全球互联网瘫痪的目的。Anonymous已经列出了13个DNS根服务器的IP地址，并表示已经编制出一款强大的DDoS攻击工具，届时将通过DDoS攻击，使13个DNS根服务器失效，以达到切断互联网的目的。

DNS作为保证互联网运行的最基本的协议之一，通过提供IP地址和域名转换服务，几乎承担着绝大部分的互联网应用，如WWW、E-mail以及即时通信等。Anonymous的攻击一旦成功，那么整个DNS系统将瘫痪，互联网也将面临崩溃的危险，这将会给网站和用户带来无法估量的损失。

DNS根服务器是DNS树型域名空间的“根”，负责TLD的解析，对于域名解析起着极其关键的作用。在过去的几年中，黑客和其他组织通过各种方式对根服务器进行过破坏，也成功使某些根服务器的服务受到过短暂影响。那么此次匿名者的攻击可以成功吗？

作为国内第一家商用DNS解决方案提供商，北京泰策一直引领着国内的DNS技术发展并关注着DNS行业的动态，其DNS专家表示，若想实现DDoS攻击，有两点必须可少：海量的僵尸网络和精准确定的目标站点。迄今为止，全球共有13台DNS根服务器，分布在4个国家的9个机构里，在全球共设有289个站点。其中，绝大多数站点都是Global的，在某一根节点的多个Global站点间，采用的是全局负载均衡（GSLB：Gobal Server Load Balance）技术。若想造成互联网的瘫痪，意味着需要同时造成13个根节点的全部Global站点瘫痪，这对于发动攻击所需要的僵尸网络的规模要求非常高，所以若想完全攻击成功，难度很大。但这决不意味着可以掉以轻心。一方面，匿名者的攻击在局部范围内造成一定影响还是有可能的，尤其是中国境内目前已经有10个根节点的站点（北京3个、香港4个、台湾3个），这更需要国内相关部门的密切关注。另一方面，不排除国内的黑客或不法分子乘机浑水摸鱼，对重要目标，如国内电信运营商的DNS，发起攻击的可能。

同时，三大电信运营商对此次事件已经严阵以待，制定了多种应急预案，并进行了安全演练。相关的安全措施包括在本地的DNS递归域名服务器中加载由根节点发布的root.zone，暂时跳过根节点并正常完成DNS递归工作，或者是将本地的DNS递归域名服务器指向一灾备站点，由该站点完成递归工作，还包括在必要时直接在本地对域名进行强制解析。另外，在有条件的地方，还部署了专用的DNS安全防护设备，以过滤针对DNS服务器的DDoS攻击。

随着物联网、三网融合、新顶级域开放，域名规模将进一步扩大，DNS的管理和安全将面临更多的挑战。来自CNNIC的监测数据显示，目前我国57%的域名解析服务都处于有风险的状态，来自外部的大规模的攻击事件频繁发生，严重威胁了域名体系的稳定性。近年来，与DNS相关的安全事件频发，如519暴风影音大规模断网事件、百度域名劫持事件等。安全意识的缺乏、防护手段的有限、安全威胁种类的不断变化和增多，使DNS在发挥它基础核心作用的同时，也不断暴露在各种攻击之下。