揭秘史上最大规模的DDoS攻击

　　针对欧洲反垃圾邮件机构Spamhaus的网络攻击打破了互联网DDoS攻击的规模记录，这再次提醒企业和运营商的CTO、CIO们，网络安全是全球一体化系统，没有人能够独善其身。

　　3月 在欧洲， 人们经历了一次史上最大的DDoS攻击。攻击的最大流量曾经达到每秒300GBit。根据纽约时报和BBC的报道，这次攻击导致了全球互联网大堵塞。 GigaOM的专栏作者David Meyer为我们详细揭示了这次空前的DDoS的来龙去脉。

　　编译如下：

　　3月份DDoS攻击可能是有史以来最大的一次， 关于它的报道相当恐怖， 包括纽约时报和BBC都在讨论它导致的互联网堵塞。那么， 这次DDoS攻击究竟是怎么一回事呢？

　　什么是DDoS攻击

　　DDoS攻击(编者：分布式拒绝访问攻击)，这里的“分布式”，也就意味着通过大量的计算机向目标发起狂轰滥炸似的数据包，从而导致目标计算机的系统无法正常工作。一周前，韩国的一些银行和广播遭到的攻击就是DDoS攻击。

　　这次攻击的目标和手法

　　这次的DDoS的攻击目标，是Spamhaus，这是一家位于欧洲的反垃圾邮件机构。它维护着一个为垃圾邮件发送方提供服务的ISP的黑名单。其实，Spamhaus的系统是相当强悍的，它的服务器分布在全球的多个国家。不过，这次的DDoS攻击的规模还是足以让它的网络在3月18日彻底瘫痪。

　　这次DDoS攻击的规模，平均以约每秒75GBit的数据量攻击Spamhaus的服务器。根据Spamhaus的安全服务公司Cloudflare的一份解释报告：“攻击的最大来源是DNS反射攻击。此种攻击手段带来的攻击流量最大，约为100Gbps。我们预计利用开放式的DNS解析服务进行DDoS攻击将会越来越普遍。除非所有的DNS服务商通力合作来根除此类服务的漏洞。”(编者：开放式DNS服务，指的是，DNS服务器对任何IP来的请求都予以回应，而DNS服务器应该只对授权的客户进行回应，比如只对来自本域IP的DNS请求予以回应。)

　　DNS反射攻击的基本原理是，伪装成攻击目标的IP地址，向大量的开放DNS服务器请求一个大的DNS域文件。这样，这些DNS服务器就会向攻击目标的IP发送大量的DNS域文件。由于攻击者发送的请求包要远小于DNS域文件。攻击者相当于可以用他们控制的机器的小流量来放大攻击流量。

　　攻击者是谁？

　　由于Spamhaus从事的是反垃圾邮件服务，与Spamhaus结下梁子的垃圾邮件组织不少。不过，这次，人们普遍认为是荷兰的ISP服务商CyberBunker。它声称除了恐怖组织或者儿童色情的内容之外，啥都能做(比如说维基解密就是它的客户)。而CyberBunker的服务客户包括大量的垃圾邮件商。Spamhaus就把CyberBunker列为的垃圾邮件ISP黑名单的头一名。而一年半之前，Spamhaus把CybernBunker的互联网服务商A2B Internet也列入了黑名单。而A2B Internet则向荷兰警方举报称Spamhaus对它进行拒绝访问攻击。

　　这次对Spamhaus的攻击后，纽约时报找到了一个声称是攻击者之一的人叫Kamphuis。据Kamphuis所说，这次的攻击是CyberBunker伙同东欧和俄罗斯的黑帮对Spamhaus的报复行为：他说“没人授权Spamhaus来决定哪些邮件可以发送，哪些邮件不能发送，他们(Spamhaus)凭什么打着反垃圾邮件的名义来自行决定？”

　　不过，Spamhaus并没有公开认定CyberBunker就是罪魁祸首。而CyberBunker发表的一份声明则耐人寻味，它并没有否认发起了攻击，只是声明它和它的客户从未发送过垃圾邮件。

　　对全球互联网的影响

　　BBC在援引Spamhaus的CEO Steve Linford指出，攻击的最高峰值达到了300Gbps。这也使得这次攻击成为了史上最大的一次DDoS攻击。

　　英国著名的计算机安全专家， Surrey大学的教授Alan Woodward教授指出：“这次攻击比以前的攻击规模超过几个数量级。”

　　Alan Woodward教授指出：

　　Alan Woodward教授用了高速路做比喻。“这种攻击类似于挤占了高速路的匝道，但是对骨干路则不会有什么影响。”

　　要想估算出对整个互联网网速的影响其实很难，比如说，上周，在埃及的一条海底光缆被切断，造成了该地区的互联网网速变慢。而这些林林总总的因素加起来可能会产生一定的影响。

　　“我认为，这类攻击对互联网短期内不会造成什么影响，，不过，这件事是一个提醒。”Alan Woodward教授说：“如果在一个大范围内出现严重的攻击，那么确实可能会对很多用户造成影响。要想造成整个互联网的瘫痪不太可能，不过可能会造成某个局部的瘫痪。”

　　点评：

　　由于互联网的一些基础协议的缺陷，DDoS攻击是目前网络攻击中最难以防范的攻击。类似DNS反射攻击要想根除，需要DNS服务商杜绝开放式DNS服务，否则基本无解。在Cloudflare列出的全球最大的几个存在开放式DNS服务器的运营商里。

　　巴基斯坦电信名列榜首，而中国铁通和中国电信骨干网分别名列第三和第五。这也就意味着，可能会有越来越多的DNS反射式的DDoS攻击会出现在中国的互联网里，即使是在GFW墙内也无济于事。

　　企业的CTO和CIO们需要意识到这一点，制定针对DDoS的缓解策略。同时DNS服务商们也需要尽快检查DNS服务器，最好关闭开放式DNS服务。