多省DNS遭遇递归攻击泰策专家深入解读

　　12月10日上午开始，多地的互联网用户感觉到用户体验下降，包括网页打开速度变慢了，有时甚至还经常出现网页打开异常的现象，这是因为多地运营商的DNS系统正在遭受攻击凯时游戏官方网站。

　　这是一场典型的DNS递归攻击凯时游戏官方网站，攻击流量大、持续时间长凯时游戏官方网站，涉及范围广凯时游戏官方网站，几乎全国的省级运营商的DNS服务器凯时游戏官方网站凯时游戏官方网站，都遭受了这种流量的攻击凯时游戏官方网站，有的省份QPS（每秒请求数）甚至达到了三四百万凯时游戏官方网站，这大大超出了DNS服务器正常的处理能力。此次攻击的直接结果就是解析时延的加大和解析结果的不正常，对用户业务产生了严重影响凯时游戏官方网站。为此各省运营商都投入了大量的精力进行应对，启动了多个应急方案来面对这场来自于国外黑客组织的恶意行动。

　　黑客组织为什么要发起此类攻击呢？这要从递归攻击的特征说起了凯时游戏官方网站，对此，国内领先的DNS解决方案供应商泰策的专家进行了专业的解读。所谓递归攻击凯时游戏官方网站，有时也被称为NXDomain攻击凯时游戏官方网站，即通过构造大量不存在的域名（NXDomain），迅速地耗尽域名服务器的递归资源凯时游戏官方网站，从而使得DNS服务器的可用性降低或完全丧失。由于域名服务器的缓存应答能力现在一般都很高，而递归能力却相对较低，通过发起递归攻击，较传统的流量型DNSDDoS攻击而言，具有操作成本较低（所需傀儡机数量较少，占用带宽较少）凯时游戏官方网站，攻击效果好的特征凯时游戏官方网站凯时游戏官方网站，所以递归攻击经常成为黑客进行DNS攻击的手段。泰策专家表示凯时游戏官方网站，递归攻击的来源一般有三种：一种是专门针对DNS服务器的；第二种是攻击特定域名，一般是出于商业竞争或政治目的等凯时游戏官方网站，围绕要攻击的域名构造大量的攻击流量凯时游戏官方网站，使得该授权域名服务器不能提供域名解析服务，如本次攻击涉及到的域名之一Arkhamnetwork的服务器和网站在12月10日下午（北京时间）就已经出现了宕机的现象；第三种是僵尸网络发出的大量请求导致凯时游戏官方网站凯时游戏官方网站。据泰策DNS团队分析凯时游戏官方网站，此次攻击来源范围广泛凯时游戏官方网站，攻击的特征为后缀不变前缀随机的攻击流量凯时游戏官方网站凯时游戏官方网站，如等，此类攻击构造难度较低，但攻击效果明显。

　　泰策专家表示，递归攻击的危害体现在诸多方面凯时游戏官方网站，如电信运营商凯时游戏官方网站、域名持有者、网络用户等。对网络用户来说，最直接的表现就是可以明显感受到网络的异常，如网页打开变慢、邮件无法收发等凯时游戏官方网站凯时游戏官方网站。从技术领域来讲凯时游戏官方网站，泰策专家告诉我们，与缓存应答能力动辄十几万QPS、几十万QPS相比凯时游戏官方网站，DNS服务器的递归处理能力相对差很多凯时游戏官方网站。而本次递归攻击规模非常大凯时游戏官方网站凯时游戏官方网站，很多省份的QPS达到了百万级，DNS解析速度和成功率的降低是必然的结果，也就不可避免的导致用户体验的急剧下降。

　　那么凯时游戏官方网站，有什么办法能有效应对这种攻击呢？对此，泰策专家也给出了自己的建议凯时游戏官方网站。递归攻击是DDoS攻击的一种，可以采用多种防护手段来进行防护凯时游戏官方网站凯时游戏官方网站，比较典型的策略有动态特定域请求限制，即每隔一段时间对域名解析服务器发起的递归请求进行TOPN排名，生成相对稳定的二级、三级域，并设定其并发请求数或递归数的阈值。当收到攻击查询时凯时游戏官方网站，将请求内容与动态生成地限制列表中的二级、三级域进行匹配凯时游戏官方网站，结合预设阀值凯时游戏官方网站，自动进行限制凯时游戏官方网站，从而将递归攻击类请求过滤分离凯时游戏官方网站。同时，泰策专家也表示，本次递归攻击只是诸多DNS安全事件中的一个，随着攻击手段的不断变化、攻击频率的不断提高，DNS的安全防护手段也需不断升级。对此，泰策也会协同各大运营商，不断提升DNS安全防护手段的有效性和功能性，在未来的DNS安全大战中，和运营商一起共建坚固的安全防护壁垒凯时游戏官方网站。