著名黑客組織威脅將于3月31日攻擊13個DNS根服務(wù)器從而讓全球互聯(lián)網(wǎng)癱瘓，以此抗議美國網(wǎng)絡(luò)反盜版法案及華爾街銀行家。由于該黑客組織曾攻破美國中央情報局、歐洲議會的網(wǎng)站，所以這個攻擊威脅引起關(guān)注。4月1號是愚人節(jié)，不排除這是黑客組織的一個恐怖玩笑，但作為互聯(lián)網(wǎng)的從業(yè)者，114DNS對此嚴(yán)陣以待。下面的章節(jié)主要提供給ISP及大中型企業(yè)的遞歸DNS維護(hù)人員及互聯(lián)網(wǎng)企業(yè)的NS維護(hù)人員參考，個人用戶僅需將DNS地址修改為114.114.114.114而無需關(guān)心下述內(nèi)容。

從技術(shù)上而言，13個DNS根節(jié)點如果被攻癱，遞歸DNS服務(wù)器可以比較容易地繞過這個故障并正常完成DNS遞歸工作（從IANA能下載到相關(guān)的Hint文件），從而保證大眾能正常上網(wǎng)。我們分析，國際著名的黑客組織不應(yīng)該這么業(yè)余，黑客組織最有可能攻擊的方法是以BotNet攻擊ISP的遞歸DNS服務(wù)，間接導(dǎo)致gTLD/ccTLD節(jié)點過載的同時加速ISP的遞歸DNS服務(wù)癱瘓，達(dá)到黑客讓全球互聯(lián)網(wǎng)癱瘓的目的。

114DNS將盡匹夫之責(zé)，協(xié)助國人繼續(xù)上網(wǎng)！下面簡單羅列黑客可能攻擊的對象，并說明114DNS在每種情況下能達(dá)到的效果，然后再闡述如何使用114DNS應(yīng)對各種攻擊。

直接攻擊13個DNS根節(jié)點容易防護(hù)。114DNS的應(yīng)急根服務(wù)器，可以承載DNS根節(jié)點的絕大部分服務(wù)；

直接攻擊gTLD/ccTLD節(jié)點較難防護(hù)。114DNS的應(yīng)急gTLD/ccTLD根服務(wù)器，可以承載gTLD/ccTLD節(jié)點的主要服務(wù)，但極少量的服務(wù)會受到損傷；

直接攻擊ISP的遞歸DNS服務(wù)器很難防護(hù)。以隨機域名直接攻擊ISP的遞歸DNS服務(wù)，間接導(dǎo)致gTLD/ccTLD節(jié)點過載，反過來又加速ISP的遞歸DNS服務(wù)癱瘓。114DNS的智能應(yīng)急備份中心，可以承載ISP遞歸DNS的大部分服務(wù)，但有少量的服務(wù)會受到損傷；

下面簡述如何使用114DNS的應(yīng)急DNS服務(wù)對付3月31日潛在的DNS故障。

準(zhǔn)備工作

在遞歸DNS服務(wù)器上備份原有的hint文件（例如named.root），編輯一個新文件114dns_0331.hint內(nèi)容為如下12行：

.518400INNSA-ROOT.114DNS.NET.

.518400INNSB-ROOT.114DNS.NET.

.518400INNSC-ROOT.114DNS.NET.

.518400INNSD-ROOT.114DNS.NET.

.518400INNSE-ROOT.114DNS.NET.

.518400INNSF-ROOT.114DNS.NET.

A-ROOT.114DNS.NET.3600000INA114.114.118.201

B-ROOT.114DNS.NET.3600000INA114.114.118.202

C-ROOT.114DNS.NET.3600000INA114.114.118.203

D-ROOT.114DNS.NET.3600000INA114.114.118.204

E-ROOT.114DNS.NET.3600000INA114.114.118.205

F-ROOT.114DNS.NET.3600000INA114.114.118.206。

應(yīng)急方案一

操作：以114dns_0331.hint覆蓋原有hint文件并重載named。

效果：能有效應(yīng)對前述A、B兩種攻擊，絕大部份網(wǎng)絡(luò)資源可訪問如往常，個人用戶訪問這些網(wǎng)絡(luò)資源的速度如往常，極少量的網(wǎng)絡(luò)資源不可訪問。

原理：114DNS具有6個應(yīng)急root服務(wù)單元和18個應(yīng)急gTLD/ccTLD服務(wù)單元，可按攻擊的不同情況，無損接續(xù)現(xiàn)有的13個DNS根節(jié)點及200多個gTLD/ccTLD服務(wù)節(jié)點中部分節(jié)點或全部節(jié)點的工作，從而讓ISP及企業(yè)的遞歸DNS服務(wù)器能正常完成DNS遞歸工作。

應(yīng)急方案二

操作：修改/etc/named.conf文件，增加如下配置，然后重載named。

zone"."{

typeforward;

forwarders{114.114.114.114;114.114.115.115;};

};

效果：能有效應(yīng)對前述A、B、C三種攻擊，大部分網(wǎng)絡(luò)資源可以正常訪問，但是個人用戶訪問這些網(wǎng)絡(luò)資源的速度可能下降，小部分的網(wǎng)絡(luò)資源不可訪問。

原理：114DNS具有28個遞歸點，對相同域名的解析請求，能根據(jù)DNS請求包的IP源地址的不同而給出不同的應(yīng)答，從而讓互聯(lián)網(wǎng)公司的CDN能正常工作。

DNS應(yīng)急可引發(fā)的后果及規(guī)避方法

DNS應(yīng)急處理不當(dāng)可引發(fā)如下后果：

（1）DNS應(yīng)急備份中心所在地區(qū)的網(wǎng)絡(luò)被堵塞，它又反過來影響DNS應(yīng)急備份中心提供正常服務(wù)；（2）大中型互聯(lián)網(wǎng)公司的CDN調(diào)度嚴(yán)重受損，造成大部分網(wǎng)絡(luò)資源無法訪問。如果DNS應(yīng)急備份中心僅在同一個地點做DNS遞歸，則大部分CDN公司的域名都被解析到該地（或鄰近該地）的IP地址段，導(dǎo)致該地骨干網(wǎng)流量暴漲、CDN公司的服務(wù)器過載，而其他地區(qū)卻沒有流量。因而DNS應(yīng)急備份系統(tǒng)的基本要求，就是在多個地區(qū)具備輔助DNS遞歸點、備份中心能按DNS請求的源IP進(jìn)行不同的應(yīng)答。114DNS目前在國內(nèi)有28個DNS遞歸點，但是國內(nèi)大型互聯(lián)網(wǎng)公司的分區(qū)高于28個，因而會對其CDN調(diào)度造成一定的損傷，但可以肯定的是：僅有1個遞歸點的DNS應(yīng)急備份方案是不可用的。

其他說明

上述DNS應(yīng)急方案的有效性，僅在BIND9上測試過；

由于一些不可控的原因，114DNS暫時僅能保證在AS4134、AS4837及其信任聯(lián)盟范圍內(nèi)的遞歸DNS應(yīng)急有效；

114DNS會盡最大的努力嘗試讓國內(nèi)互聯(lián)網(wǎng)正常運轉(zhuǎn)，但DNS乃互聯(lián)網(wǎng)基石，該基石如受損我們無法確保每個互聯(lián)網(wǎng)企業(yè)和個人用戶不受絲毫影響；

無論是方案一還是方案二，114DNS都有嚴(yán)格的限流策略，事先發(fā)郵件到dnsadmin#114dns.com（#換成@）注明你的遞歸DNS服務(wù)器的服務(wù)IP地址、遞歸用IP地址、單位、姓名和聯(lián)系電話，可確保DNS應(yīng)急功能正常。

114DNS已投入大量的精力應(yīng)對3月31日潛在的DNS故障，相關(guān)的應(yīng)急方案已被基礎(chǔ)電信運營商所采納。由于內(nèi)存資源的限制，114DNS無法將全球幾億個域名的NS記錄都注入到114DNS的應(yīng)急單元，信風(fēng)已通過程序自動將排名在前300萬的域名的NS記錄注入到114DNS的應(yīng)急單元。為保證3月31的DNS應(yīng)急行之有效，信風(fēng)將對部分訪問量較大的站點做人工測試，必要時會與其NS維護(hù)人員做EMAIL或電話勾通。互聯(lián)網(wǎng)企業(yè)也可直接發(fā)郵件到dnsadmin#114dns.com，注明企業(yè)的所有域名（域名本身而非DNS記錄）以確保它們都被注入到114DNS的應(yīng)急單元。歡迎DNS業(yè)內(nèi)的同行專家提出更好的建議，共同渡過3月31日這一潛在的網(wǎng)絡(luò)難關(guān)。