域名根服務器遭兩次大規模攻擊：每秒500萬次

今日凌晨消息，多個域名系統根服務器在上周初遭到兩次攻擊，每次攻擊都持續了一兩個小時，這些根服務器最多時每秒收到的查詢請求高達500萬次。

當用戶在瀏覽器中輸入一個域名時，根服務器是判定返還哪個IP地址的最終權威參考。

第一次攻擊事件發生在11月30日，當時的攻擊持續了2小時40分鐘。第二次則發生在隨后一天，持續時間為將近一小時。構成互聯網DNS(域名服務器)根區的13個根服務器大都受到了攻擊，但也有少數未受影響。兩次攻擊都是自行開始和結束的，僅包含了對兩個未披露域名的數十億次無效查詢請求，每次攻擊涉及一個域名。目前還不清楚這些攻擊事件背后的操縱者或其根源。

盡管數據加載量大到了足以被監控互聯網根服務器的外部系統偵測到的程度，但這兩次攻擊事件幾乎并未對數十億名互聯網終端用戶帶來影響，部分原因是根服務器只有在一個大型中間DNS服務器未能提供IP地址轉換的情況下才會發揮職能，而另一部分原因則是數以百計的服務器都采用了穩健設計。

“我的結論是，這些事件對普通用戶來說幾乎可以說是‘并未發生’。”貝勒大學(BaylorUniversity)信息系統教授蘭達爾·沃恩(RandallVaughn)說道。“他們要么是根本沒注意到，要么是沒想到根服務器正在遭受攻擊。”

雖然對終端用戶幾乎沒有影響，但仍不可小覷這些攻擊事件，這是因為在一個小時或更多時間里對大多數根服務器發出每秒鐘500萬次查詢請求需要極其龐大的計算能力和帶寬。域名系統運營分析及研究中心(DomainNameSystemOperationsAnalysisandResearchCenter)總裁基思·米歇爾(KeithMitchell)稱，如此龐大的查詢請求最高相當于一個根服務器正常數據加載量的250倍以上。他指出，正常情況下應該在每秒鐘2萬次到5萬次之間。

更令人擔心的是，域名服務器收到的垃圾查詢請求采用了IPAnycast路由方式，而公共IP地址在分配給多個分散地域的服務器時采用的也是這種方法。由于這兩次攻擊針對的是Anycast根服務器的緣故，這意味著令這些攻擊成為可能的龐大資源同樣也具有地域分散性，而不是僅來自于少數地點的資源。

“這些攻擊事件值得關注，原因在于源地址是廣泛而均勻地分布的，而查詢域名則不是。”上周五公布的一份公告指出。“因此，這些事件并不是普通的DNS放大攻擊，原因是在這種攻擊中，DNS域名服務器(包括DNS根域名服務器)都是被用作反射點以攻擊第三方。”

對于這種攻擊，最合理的解釋是大量被感染的電腦或其他聯網設備組成了一個龐大的“僵尸網絡”，這可以解釋攻擊是如何發生的，但無法解釋攻擊發生的原因。同時，這種攻擊還再次引發了有關各個網絡應執行BCP38標準的呼聲，這是一種用于應對IP地址電子詐騙的互聯網工程任務組(InternetEngineeringTaskForcestandard)標準。很多網絡都已執行這個標準，但也有一些還沒有，從而令此類攻擊有可能發生。