「匿名者」威脅在2012年3月31日癱瘓互聯網
當你讀到這篇文章,你不需要找算命先生也可以「預測」到互聯網不會在2012年3月31日癱瘓。我們的分析是「匿名者」黑客群組意圖以分散式阻斷服務(DDoS)攻擊DNS根服務器,造成互聯網癱瘓,是不會成功的。
背景
「匿名者」在2月以非常高姿態地發出一份恐嚇聲明(http://pastebin.com/NKbnh8q8),聲稱會於2012年3月31日採取所謂「全球停電(Blackout)行動」,癱瘓互聯網。他們聲稱,攻擊的目的是以抗議「禁止網路盜版法案」(SOPA)、華爾街、不負責任的領袖和銀行家。他們在聲明中表示,會將通過反射式DNS放大攻擊,以海量的交通沖擊DNS根服務器。
若攻擊成功可造成的影響
把DNS域名解析到IP地址,是互聯網服務 (如網頁,電子郵件和的其他)的基礎。 DNS根服務器,是所有DNS查詢的起點。如果所有的根DNS服務器無法提供服務,其後果是下一層的DNS (即 .com, .org, .net, .info 等全球性頂級域名(TLD)和國家代碼頂級域名(ccTLD))的域名解析也將隨之失敗,這個雪球會滾下來牽連互聯網全面癱瘓。
根DNS服務器內置的防禦
由於DNS 根和頂級域名服務器對互聯網是十分重要,它的體系結構設計早已考慮到DDoS攻擊,過多的要求和系統故障。根DNS架構故意無組織化、多元化和有彈性,不會有一個共同的弱點和單點故障。這個基礎設施是每天都準備好應付這種攻擊。全球有13個根服務器及數百台服務器(http://root-servers.org/)。某些服務器後面甚至可能有多台實體機器支援。如果任何一個根服務器停頓,用戶將被引導到任何「最近」而可用的服務器取得服務。
安全研究員羅布 . 格雷厄姆 (Rob Graham) 在Errata Security 有一篇很好的文章,分析DNS根服務器體系結構和其他因素提供良好的緩解措施,以防禦DDoS攻擊。
http://erratasec.blogspot.com/2012/02/no-anonymous-cant-ddos-root-dns-servers.html
ISC (F-根服務器的營運機構,管理全球三分之一的根服務器),各電腦保安協調中心、聯網交換中心和世界各地的政府在這一事件上有做協調工作;然而,他們不希望引起媒體的關注,令某些人得益,所以低調地進行工作。
香港電腦保安事故協調中心平時在每個工作天都有透過Team Cymru 的DNS狀態摘要網站(http://www.cymru.com/monitoring/dnssumm)監察根及頂級域名服務器的狀態。以下是2012年3月31日的抓圖,在我們的角度來看,當日沒有和平日有甚麼不同。
毫無疑問,「匿名者」有能力和可能會非常有決心發動DDoS攻擊。然而,我們不認為他們會成功。我們的互聯網沒有癱瘓,正如預期完全沒有。
分享至