【51CTO.com 綜合消息】“5．19斷網(wǎng)事件”，網(wǎng)絡(luò)安全警鐘再響。5月19日晚21點(diǎn)左右，中國出現(xiàn)大范圍網(wǎng)絡(luò)故障。江蘇、河北、山西、廣西、浙江、天津、內(nèi)蒙古、黑龍江、廣東等省份均有網(wǎng)民反映上網(wǎng)遭遇故障，出現(xiàn)打不開網(wǎng)頁等問題。據(jù)工業(yè)和信息化部通信保障局發(fā)布的最新公告，確認(rèn)該事件原因是暴風(fēng)網(wǎng)站域名解析系統(tǒng)受到網(wǎng)絡(luò)攻擊出現(xiàn)故障，導(dǎo)致電信運(yùn)營企業(yè)的遞歸域名解析服務(wù)器收到大量異常請(qǐng)求而引發(fā)擁塞。   

在此事件發(fā)生的第一時(shí)間，綠盟科技作為網(wǎng)絡(luò)安全領(lǐng)域的領(lǐng)軍企業(yè)，伴隨客戶度過了驚心動(dòng)魄的兩小時(shí)，上演了一場與DNS DDoS搏斗的精險(xiǎn)實(shí)戰(zhàn)。

臨危受命

5月19日晚9點(diǎn)半左右，綠盟科技的安全專家小林正在回家的路上， 出于職業(yè)習(xí)慣，小林路過廣場旁邊的幾個(gè)網(wǎng)吧時(shí)，下意識(shí)地把視線掃了過去，現(xiàn)在應(yīng)該是網(wǎng)吧人滿為患的時(shí)候，但今晚有些異樣：有的網(wǎng)吧沒什么人，有人的網(wǎng)吧則是人聲鼎沸，群情激奮，大家在嚷著什么？！

突然，急促的手機(jī)鈴聲打斷了小林的思路，來電顯示：某電信工程師。小林急忙接通電話，局方工程師非常焦急地說：“我們的網(wǎng)絡(luò)出現(xiàn)重大故障，請(qǐng)馬上趕到電信機(jī)房”。小林急忙調(diào)轉(zhuǎn)方向趕過去，此時(shí)電信機(jī)房門口工作人員正焦急等待，小林一下車馬上與他們趕往運(yùn)維中心。

互聯(lián)網(wǎng)危機(jī)四伏

進(jìn)入運(yùn)維中心首先經(jīng)過客服中心，客服中心的電話此起彼伏，客服人員經(jīng)常重復(fù)的幾個(gè)詞就是“網(wǎng)頁訪問特別慢 ”、“郵件無法接收”、“無法上網(wǎng)”。進(jìn)入運(yùn)維中心，發(fā)現(xiàn)里面燈火通明，監(jiān)控中心網(wǎng)絡(luò)、系統(tǒng)、業(yè)務(wù)技術(shù)專家都在現(xiàn)場，運(yùn)維中心主任一臉嚴(yán)肅。人員到齊后，主任召集各條線的技術(shù)人員開了一個(gè)緊急會(huì)議，對(duì)當(dāng)前問題做了總結(jié)。網(wǎng)絡(luò)組技術(shù)人員反饋：網(wǎng)絡(luò)設(shè)備CPU利用率、數(shù)據(jù)流量沒有異常；系統(tǒng)組技術(shù)人員反饋：RADIUS服務(wù)器工作正常，寬帶客戶認(rèn)證授權(quán)正常；業(yè)務(wù)組人員反饋：城域網(wǎng)大面積出現(xiàn)寬帶用戶訪問網(wǎng)頁速度慢、無法上網(wǎng)現(xiàn)象。

小林一邊迅速記錄著網(wǎng)絡(luò)的現(xiàn)場數(shù)據(jù)信息，一邊與綠盟科技總部的技術(shù)支持中心聯(lián)系，此時(shí)綠盟科技的另兩位同事已經(jīng)趕到了運(yùn)維中心。

應(yīng)急團(tuán)隊(duì)在響應(yīng)

與此同時(shí)，綠盟科技總部技術(shù)中心也是一片忙碌。在當(dāng)晚九點(diǎn)左右，總部就陸續(xù)接到華南、華北、華東等地分支機(jī)構(gòu)的匯報(bào)，稱運(yùn)營商互聯(lián)網(wǎng)出現(xiàn)故障，部分互聯(lián)網(wǎng)用戶的服務(wù)受到影響。鑒于此次網(wǎng)絡(luò)故障影響范圍廣，技術(shù)支持中心立即向應(yīng)急響應(yīng)團(tuán)隊(duì)經(jīng)理報(bào)告了情況，經(jīng)過對(duì)現(xiàn)有數(shù)據(jù)分析發(fā)現(xiàn)這是一起重大的互聯(lián)網(wǎng)安全事件，馬上通知全國各地分支機(jī)構(gòu)技術(shù)專家迅速組建應(yīng)急響應(yīng)團(tuán)隊(duì)，為各地隨時(shí)可能出現(xiàn)的安全問題進(jìn)行準(zhǔn)備。

重大轉(zhuǎn)機(jī)

運(yùn)維中心現(xiàn)場人員在分析本地城域網(wǎng)故障的同時(shí)，與集團(tuán)公司運(yùn)維部也進(jìn)行了匯報(bào)交流，反映了本地網(wǎng)遇到的問題，詢問骨干網(wǎng)是否出現(xiàn)異常。小林根據(jù)來自于總部技術(shù)支持中心的技術(shù)應(yīng)急信息以及現(xiàn)場情況對(duì)網(wǎng)絡(luò)故障進(jìn)行了初步分析。隨后對(duì)相關(guān)安全系統(tǒng)展開檢查，突然發(fā)現(xiàn)部署在DNS系統(tǒng)網(wǎng)絡(luò)出口的黑洞安全防護(hù)設(shè)備有異常告警，DNS系統(tǒng)的網(wǎng)絡(luò)流量出現(xiàn)激增。針對(duì)此異常情況，小林即時(shí)啟動(dòng)設(shè)備自帶的抓包功能進(jìn)行抓包，然后對(duì)獲得的數(shù)據(jù)包進(jìn)行分析，發(fā)現(xiàn)超過50%的DNS解析請(qǐng)求是針對(duì)某互聯(lián)網(wǎng)業(yè)務(wù)提供商的。隨后，運(yùn)維中心的現(xiàn)場人員對(duì)DNS系統(tǒng)進(jìn)行了核查，發(fā)現(xiàn)DNS服務(wù)器群處于超負(fù)荷運(yùn)行狀態(tài)，DNS查詢響應(yīng)延遲非常大。

小林迅速將這一發(fā)現(xiàn)與綠盟科技總部進(jìn)行了溝通，總部應(yīng)急團(tuán)隊(duì)與小林等局方現(xiàn)場技術(shù)人員緊急討論后，立即確定解決方案。隨后小林向運(yùn)營商局方人員介紹了故障原因及解決方案，局方人員與集團(tuán)公司再次進(jìn)行了緊急溝通，匯報(bào)了本地監(jiān)控發(fā)現(xiàn)的DNS服務(wù)的異常情況，并與某互聯(lián)網(wǎng)業(yè)務(wù)提供商求證該公司的系統(tǒng)是否出現(xiàn)異常情況，該公司負(fù)責(zé)人反饋系統(tǒng)服務(wù)出現(xiàn)異常，目前正忙于相關(guān)系統(tǒng)的升級(jí)搶修工作。

問題定位后，綠盟科技的技術(shù)專家與局方人員共同商討，即刻確定了應(yīng)急方案：一是在黑洞上開啟模式匹配策略，對(duì)指向該互聯(lián)網(wǎng)業(yè)務(wù)運(yùn)營提供商相關(guān)域名解析請(qǐng)求進(jìn)行過濾，減輕對(duì)DNS服務(wù)器的查詢壓力；二是在本地DNS服務(wù)器上針對(duì)該互聯(lián)網(wǎng)業(yè)務(wù)運(yùn)營提供商相關(guān)域名設(shè)置強(qiáng)解析策略，保障運(yùn)營商以最小的代價(jià)保證絕大部分的應(yīng)用正常開展。

平息危機(jī)

晚上11點(diǎn)，小林和局方運(yùn)維人員迅速下發(fā)應(yīng)急策略后，DNS系統(tǒng)網(wǎng)絡(luò)流量從150M飛速下降為10M，DNS查詢請(qǐng)求驟然下降70%，DNS系統(tǒng)快速恢復(fù)正常，隨后用戶的互聯(lián)網(wǎng)接入業(yè)務(wù)逐漸恢復(fù)。

小林等技術(shù)專家進(jìn)行應(yīng)急支持的同時(shí)，華北區(qū)域的應(yīng)急響應(yīng)人員在也在華北某電信運(yùn)營商的機(jī)房里忙得熱火朝天——網(wǎng)絡(luò)故障分析、數(shù)據(jù)抓包、數(shù)據(jù)分析……，再將現(xiàn)場情況向綠盟科技總部進(jìn)行反饋。總部技術(shù)專家分析發(fā)現(xiàn)華北電信運(yùn)營商遇到了與小林所支持的南方電信運(yùn)營商相同的DNS大流量攻擊問題，不過目前的DNS流量還只是處于快速增長階段，為了防止DNS系統(tǒng)可能出現(xiàn)的癱瘓，總部馬上與現(xiàn)場應(yīng)急響應(yīng)人員交流現(xiàn)狀和制訂應(yīng)急處置方案，并經(jīng)過與局方運(yùn)維人員確認(rèn)后立即啟動(dòng)相應(yīng)的防護(hù)策略。應(yīng)急策略下發(fā)實(shí)施后，防止了該地區(qū)互聯(lián)網(wǎng)業(yè)務(wù)大面積中斷的發(fā)生。

華東、華南、華北、西北等地省電信運(yùn)營商陸續(xù)與集團(tuán)公司取得聯(lián)系，各省市電信運(yùn)維部門采取緊急策略，對(duì)各地的DNS實(shí)施應(yīng)急防護(hù)策略，隨后DNS服務(wù)逐漸恢復(fù)正常，互聯(lián)網(wǎng)業(yè)務(wù)漸漸恢復(fù)。5月20日凌晨全國互聯(lián)網(wǎng)基本恢復(fù)正常運(yùn)轉(zhuǎn)。

后記

這次事件貌似由DNS的大量查詢請(qǐng)求所引起，對(duì)DNS服務(wù)器形成了一次飽和的DDoS攻擊，導(dǎo)致某些運(yùn)營商的DNS癱瘓。事實(shí)上，DDoS攻擊廣泛存在于互聯(lián)網(wǎng)中，而針對(duì)DNS服務(wù)器的DDoS攻擊事件更是層出不窮，且形式越來越多樣化，主要包括以下幾種：利用緩沖期溢出；海量流量堵塞帶寬；偽造源IP發(fā)送海量DNS查詢；源端口53的UDP FLOOD（攻擊負(fù)載均衡設(shè)備）；真實(shí)協(xié)議棧大量查詢隨機(jī)域名引起迭代查詢。

針對(duì)這些廣泛存在的DDoS攻擊，綠盟科技專家指出，通過在運(yùn)營商骨干網(wǎng)部署流量清洗系統(tǒng)，可以幫助運(yùn)營商清洗網(wǎng)絡(luò)中的DOS流量， 利用抗DDoS安全產(chǎn)品的模式匹配、以及IP地址信譽(yù)機(jī)制等獨(dú)特的防護(hù)算法對(duì)形式多樣的DDoS攻擊進(jìn)行安全防護(hù)，在運(yùn)營商網(wǎng)絡(luò)受到攻擊時(shí)可以為運(yùn)營商的DNS服務(wù)器提供有效和及時(shí)的安全保障。