一石激起千层浪。5·19断网事件一时间备受关注。究其原因是因为这一桩断网事件是在许多个环节的共同作用下才最终产生,是谁推倒了多米诺骨牌倒下?
整个事件看似错综复杂,但实际上脉络清晰:最终归结点——DNS解析服务;关键因素——暗藏后门的免费软件;导火索——僵尸网络控制下的DDos攻击。
DNS解析服务有争议
DNS服务器解析在此事件中扮演了极其重要的角色。相关的一系列因素有DNS解析服务商,DNS解析软件以及域名系统的安全等。而该事件让我们不得不深思关于DNS的若干个问题。
1.DNS解析服务商如何保障安全?
在本次事件中DNSPod一直是被理解和被同情的角色。毕竟DNSPod提供的是免费的域名服务,要做到利用所拥有的ns1-ns6六台域名服务器为30万用户提供服务,每天20亿次的解析量已经很不容易了。一般来说,互联网上的免费服务是没有质量保证的,因此不可能要求其购买流量清洗服务或者在不同IDC部署冗余服务器等。甚至有人认为整个事件是在DNSPod被断网以后发生的,与DNSPod没有直接关系。但需要思考的是像域名解析这样的基础性服务,每天有20亿次的解析量,已经足够威胁到互联网公共安全,这样的服务作为免费服务是否合适,那么,对DNS服务商来说如何保障安全成为一个问题。
2.域名系统安全如何保障?
我国对于互联网上域名系统安全的关注已经有很多了,不过这些关注都集中在根域名服务器和顶级域名服务器上。这些年来一直在讨论的是:根域名服务器都在国外,使得我国互联网存在安全隐患。
在前信产部的协调下,我国引入了3个根域名服务器的镜像服务器,虽然不能改变受控于人的现状,但是至少改善了解析性能。
此外我国还加大了.cn顶级域名服务器安全的关注,并鼓励注册.cn域名。在根域名服务器方面做了许多,但需要注意的是,对于授权域名服务器一直没有足够重视。授权域名服务器有自设自用的,有的是免费提供,有的是域名注册商提供,也有的由SP提供。当前域名服务器没有准入制度,域名提供商也缺少有效监管。虽然这样的现状也是长期以来互联网上的既成事实,但是在互联网越来越成为信息基础设施的今天,是到了该改变的时候了。
3.域名解析软件是否应当有所标准化?
现在的DNS解析服务绝大多数采用的都是免费的域名解析软件BIND的不同版本。市场上成熟的商用域名解析软件据称只有Foundation提供。在这次事件中,少数安装了Foundation公司CND作为递归解析的域名服务器的发达省份都没有出问题,在此方面,可能我们需要对各种解析软件做出评估,选择安全性最好的软件。
4.域名解析协议/机制是否应当有一种强制更新机制?
一直以来我们在探讨域名解析体系的树形结构给网络带来的安全隐患,没有探讨域名迅速更新机制。当暴风影音公司得知因DNSPod主机被断网无法解析时,也联系了域名注册商/上级授权域名服务器,试图将解析服务器转向新的域名解析服务器。但是由于域名解析体系中的缓存机制,即使是将baofeng.com的解析服务器指向其他主机,由于大量域名服务器中对baofeng.com解析记录会缓存至少24小时,因此不能缓解大量请求涌向已经不在网络上的DNSPod的状况。域名解析协议是否应当有一种强制立刻更新机制,以便将解析权及时转向新的授权解析服务器值得我们思考。
5.提供递归解析服务的电信运营商是否应有所作为?
在本次事件中提供递归服务的典型运营商一直在喊冤,声称递归域名解析服务是免费的,服务器在暴风影音软件滥用解析资源的4~5倍峰值流量的冲击下瘫痪也是正常的,况且也及时通过封堵baofeng.com域名等手段迅速恢复了域名解析服务。但是,这些解析请求毕竟不是暴风影音公司发出的,运营商的用户下载安装暴风影音软件发送解析请求应当被视作运营商用户的自主行为。用户已经为接入互联网付费了,因此享受递归解析服务也是理所当然的。
此外,也并不是所有省市运营商的域名服务器都因流量而瘫痪(分布式部署较好以及使用了商用CNS软件的DNS服务器没有瘫痪)。一般来说运营商面对异常流量的服务请求时,应当通过流量监控、拥塞控制等机制限制/拒绝异常的请求而不是被冲击瘫痪。
免费软件有后台
事件的最大关键点在于暴风影音后台隐藏的机关。虽然本次事件最后矛头指向发起DDoS攻击的黑客,暴风影音也一再宣称其也是受害者,也遭到了一些经济损失。但是无论如何暴风影音在此次事件中扮演了一个非常关键且不光彩的角色。
首先暴风影音公司拥有超过1亿的用户,同时在线用户超过千万,不应该把域名解析这一关键服务依托给一个缺乏足够能力的DNS服务提供商。如果暴风影音的授权域名提供者有足够的冗余并且具备流量清洗能力,如果暴风影音授权服务器部署在不同的IDC机房,本此事件可能不会发生。
其次,暴风影音软件设计被认为是有问题的,在域名解析得不到应答的情况下,暴风影音软件会持续每分钟发送近百个域名请求,5月19日晚正是对baofeng.com海量的域名请求将运营商的递归服务器压垮了。
此外,暴风影音的“流氓化”备受指责。暴风影音软件在被用户安装时,会强制随机启动一项名为stormliv.exe的进程,只要用户安装了暴风影音,即使开机没有运行该软件,也会自动运行stormliv.exe进程并不断连接暴风影音的网站,下载广告或升级,在关闭暴风影音主程序后,该进程也不会终止。
这一软件特性是许多免费软件所共有的。免费软件的赢利在于广告,为了抓住终端用户,一些类似暴风的软件与用户依依不舍。为此,国家相关部门也出了类似的行业自律的规范。
事实上,因为缺少行业规范,仅靠行业自律基本上起不到作用,一些免费软件商依然如故。这也提醒相关部门在规范制定上有所改变。
黑客产业链威胁大
本次事件最初起因是黑客攻击,利用的手段是挟持"肉鸡",其中,我们不得不面对的问题是黑客产业链的形成。
现在的黑客变得越来越经济化,也越来越让人头疼。众所周知,互联网发展初期所谓黑客是一些计算机高手,黑客行为多数为炫耀技术,而当前绝大多数黑客没有高超的技术(本次事件涉案人员仅具备小学/中专文化),黑客行为多数是以经济利益为目的。本次事件由于影响恶劣,因此攻击者很快被抓获。但是总体来看网络犯罪分子作案风险小(在全世界范围内网络犯罪的破案率极低),回报高(月收入几万甚至更高)。
随着黑客越来越猖狂,并且有利可图,已经出现完整的“黑客产业链。”目前互联网灰色产业链规模庞大(据国家计算机网络应急中心估算,目前“黑客产业”的年产值已超过2.38亿元,造成的损失则高达76亿元),分工明确(包括完善的流水性作业程序:制造木马-传播木马-盗窃账户信息-第三方平台销赃-洗钱等环节),明码标价(每个“肉鸡”几毛到一元,每G的攻击流量是几万,木马几千)。黑客正是灰色产业链中的的重要环节。只要灰色产业链还存在,黑客将源源不断。
打击黑客,最好的手段是提高其攻击成本。我们总是说“犯罪一分钱,打击犯罪一块钱。”说明利益是多么不对等,要打击犯罪,就要加大法律规范,对已经犯罪的造成巨大影响的黑客要加大惩治力度,以警醒后来人。
幸好,5·19网络瘫痪事件发生在晚9点而不是上班时间,此外最初发起攻击的黑客已经被抓获,暴风影音公司声称“召回”软件,推出更绿色、更透明、更多选择权的“暴风门”特别版。整个事件似乎已经画上了完美的句号,但是前文所述的灰色产业链,域名解析提供商的职责、监管问题,软件提供商对互联网资源的权利和对互联网安全的责任,域名解析系统、协议的优化,电信运营商递归服务器的优化等问题短时间内不可能有根本性改变,未来域名系统安全乃至互联网公共安全仍不乐观。
(作者单位为工业和信息化部电信传输研究所)
来源:《中国教育网络》2009年7月刊
特别声明:本站注明稿件来源为其他媒体的文/图等稿件均为转载稿,本站转载出于非商业性的教育和科研之目的,并不意味着赞同其观点或证实其内容的真实性。如转载稿涉及版权等问题,请作者在两周内速来电或来函联系。