DoS的攻击方式有很多种,最基本的DoS攻击就是利用合理的服务请求来占用过多的服务资源,从而使服务器无法处理合法用户的指令。
DDoS攻击手段是在传统的DoS攻击基础之上产生的一类攻击方式。单一的DoS攻击一般是采用一对一方式的,当被攻击目标CPU速度低、内存小或者网络带宽小等等各项性能指标不高,它的效果是明显的。随着计算机与网络技术的发展,计算机的处理能力迅速增长,内存大大增加,同时也出现了千兆级别的网络,这使得DoS攻击的困难程度加大了 - 目标对恶意攻击包的"消化能力"加强了不少,例如你的攻击软件每秒钟可以发送3,000个攻击包,但我的主机与网络带宽每秒钟可以处理10,000个攻击包,这样一来攻击就不会产生什么效果。
这时候分布式的拒绝服务攻击手段(DDoS)就应运而生了。你理解了DoS攻击的话,它的原理就很简单。如果说计算机与网络的处理能力加大了10倍,用一台攻击机来攻击不再能起作用的话,攻击者使用10台攻击机同时攻击呢?用100台呢?DDoS就是利用更多的傀儡机来发起进攻,以比从前更大的规模来进攻受害者。
高速广泛连接的网络给大家带来了方便,也为DDoS攻击创造了。
极为有利的条件。在低速网络时代时,黑客占领攻击用的傀儡机时,总是会优先考虑离目标网络距离近的机器,因为经过路由器的跳数少,效果好。而现在电信骨干节点之间的连接都是以G为级别的,大城市之间更可以达到2.5G的连接,这使得攻击可以从更远的地方或者其他城市发起,攻击者的傀儡机位置可以在分布在更大的范围,选择起来更灵活了。
DNSPod是国内一款免费DNS(域名系统)产品,为同时有电信、网通、教育网服务器的网站提供智能的解析,让电信用户访问电信的服务器,网通的用户访问网通的服务器,达到互联互通的效果。暴风影音也是DNSPod服务对象之一。
5月18日晚上22点左右,DNSPod主站及多个DNS服务器遭受超过10G流量的恶意攻击。有知情人士透露,18日当晚DNSPod耗尽了整个机房约三分之一的带宽资源,为了不影响机房其他用户,DNSPod电信主力DNS服务器被迫离线。
DNSPod于19日晚间发致歉信,称在遭遇恶意攻击后便被电信骨干网封掉IP,虽然DNSPod及时更换IP,但由于DNS协议限制,DNS更改IP最多需要72小时才能生效,造成很多用户的域名一直无法解析,记录一直停留在电信骨干封掉的老IP上。
就在DNSPod发布致歉信的近似时间里,另一轮高强度恶意攻击向DNSPod涌来,DNSPod服务完全中断,服务完全瘫痪,其下所有域名均无法访问,包括暴风影音网站。
由于大量暴风影音用户打开暴风影音网页或者使用其提供的在线视频服务,这些用户提交的访问申请无法找到正确的服务器,大量积累的不断访问申请导致各地电信网络负担成倍增加,网络出现堵塞。
5月19日晚21时左右开始,江苏、安徽、广西、海南、甘肃、浙江六省陆续出现大规模网络故障,很多互联网用户出现访问互联网速度变慢或者无法访问网站等情况。在零点以前,部分地区运营商将暴风影音服务器IP加入DNS缓存或者禁止其域名解析,网络情况陆续开始恢复。
疑为私服网站利用肉鸡攻击
5月20日下午,工业和信息化部通信保障局召集国家计算机应急处理协调中心、电信研究院、中国电信集团、暴风影音公司等就5月19日网络故障一事召开紧急会议。
根据工信部发布的公告,确认该事件原因是暴风网站域名解析系统受到网络攻击出现故障,导致电信运营企业的递归域名解析服务器收到大量异常请求而引发拥塞。
有知情人士透露,此次事故罪魁祸首是同样使用DNSPod服务的某私服网站。该网站在对Web服务器攻击不成功的情况下,动用大量“肉鸡”对DNSPod进行疯狂攻击。DNSPod在其致歉信中称,这是DNSPod建站以来遭受的最大规模攻击,DNSPod计划通过重新部署多台DNS服务器做负载均衡、大规模封杀包括私服发布站、私服等有争议,易引来攻击的域名等方法提高免费DNS用户的稳定性。
与此同时,工信部在紧急会议上要求各电信运营企业要做好用户解释工作。举一反三,消除隐患,防止类似情况发生。进一步加强网络安全的监测预警和信息通报工作,完善应急预案,确保网络安全运行。
暴风影音CEO冯鑫称将备份域名服务器,避免出现类似问题,在软件的互联网机制上增加安全考虑的调整,暴风技术将加班加点,在三天内完成这个工作。此外他表示,暴风影音将会和中国电信、中国联通等运营服务商,加强技术层面的沟通和合作,共建安全流畅的互联网环境。
中国电信则表示,今后将进一步做好网络监控工作,发现异常情况及时处理,尽量减少对用户的影响,保障用户享受到通畅的网络服务。
有互联网人士认为,此次攻击表现出互联网、尤其是DNS服务器的脆弱性。未来如果不在此方面进行加强,后果将不堪设想。