下载掌阅APP,畅读海量书库
立即打开
2016年10月21日,互联网通信出现异常后,技术人员最初猜测是海底光缆、陆地光缆或网络中心机房出现了物理层面的故障。然而,当技术人员对这些硬件设施逐一排查后,却未发现任何异常,于是排查的范围逐渐缩小到互联网的关键基础设施——域名解析系统(DNS)。技术人员发现,虽然使用域名无法访问相关网站,但如果直接使用IP地址,在某些情况下却可以访问网站,这说明网络物理线路是通畅的,而负责将域名解析为IP地址的DNS服务出现了故障。DNS服务可以理解为互联网的“电话簿”,当网民在浏览器中输入网址时,DNS必须先在数据库中查询网址对应的IP地址,才能引导网民访问该网站。如果没有DNS服务,用户只能通过记住复杂的IP 地址(如192.168.0.1)访问网站,而无法直接输入易记的域名。因此,DNS服务的运行稳定性直接关系到互联网的正常使用。
达因(Dyn)是知名数据库公司甲骨文旗下一家负责管理DNS服务的公司。推特、网飞、亚马逊等多家知名网站都依赖达因公司的DNS服务以确保正常运行。2016年10月21日凌晨,达因公司的服务器收到的DNS服务请求开始异常增多,疑似遭受分布式拒绝服务攻击(DDoS)。DDoS攻击是一种极具破坏力的网络攻击形式,攻击者通常利用多个受恶意软件感染的计算机,同时向目标服务器发送大量虚假请求,干扰服务器处理真实用户请求,最终导致服务器崩溃。DDoS攻击巧妙利用了UDP、TCP等互联网底层协议缺乏有效身份验证机制的设计缺陷,通过批量伪造源地址来扰乱正常网络通信,防范难度较大。对于中小规模的DDoS攻击,可以通过流量过滤、流量清洗、负载均衡等防护措施减轻其影响。
流量过滤 是通过在网络边缘部署防火墙,监测和控制网络流量,根据预设规则和算法自动识别并阻止恶意流量,例如异常的请求频率或来源IP地址的黑名单等。流量过滤是防御DDoS攻击的第一道防线,能够有效阻止已知的攻击模式,在攻击初期及时阻断恶意流量,保持正常用户的访问体验,降低攻击造成的损失。2018年,代码托管网站GitHub遭遇DDoS攻击,通过实施流量过滤防御策略,有效管理大量传入请求,仅用20分钟就恢复了网站的正常运行。
流量清洗 是通过将数据流量导入专门的清洗中心,对流量进行深度分析和过滤,分离正常流量与恶意流量。正常流量被转发给用户,而恶意流量则被记录并丢弃。相比流量过滤,流量清洗是一种更为精细的防御手段,通常需要借助复杂的算法,精确识别流量模式和异常行为,有效防止恶意流量绕过过滤规则,可以应对中等规模以上的DDoS攻击。2018年,美国云服务商阿卡迈(Akamai)曾使用流量清洗技术,协助某大型游戏公司成功抵御一场峰值流量达500Gbps的DDoS攻击。
负载均衡 是通过实时分析请求服务的流量,在多个服务器上合理分散流量,减少单一服务器的负载,避免因单点故障导致的服务中断,提高系统可用性和可靠性。这是应对大规模DDoS攻击的关键手段之一。大型云服务平台通常提供负载均衡服务,以保障大型网站在遭受流量突增时仍能保持正常运行。例如,亚马逊云平台(AWS)通过负载均衡技术协助网飞和爱彼迎等网站处理高峰期的用户请求,确保服务的高可用性和流畅性。
达因公司在发现流量异常后,迅速启动了一系列DDoS攻击反制措施。然而,面对这场规模空前的网络攻击,达因公司很快意识到,这并非一次普通的攻击事件。传统的防护手段几乎无效,攻击的规模、持续时间和复杂性远远超出了以往的经验。
一是流量峰值超大 。根据达因公司的监测,此次攻击的最大峰值流量达到了1.2 Tbps(相当于奥运会级别大型体育赛事的网络直播流量),这是当时有记录以来最大规模的DDoS攻击。如此庞大的数据流量瞬间淹没了达因公司的服务器,表明攻击者可调用的资源规模非常庞大,且有能力在短时间内策动成千上万的设备同时发起攻击。这种“大规模调用资源、一击致命”的攻击模式,不仅导致达因公司的DNS服务陷入全面瘫痪,还使依赖其服务的众多大型网站(如推特、网飞和亚马逊等)在北美地区内无法访问。
二是持续时间长 。通常情况下,攻击者会在DDoS流量达到顶峰后暂停攻击,以规避反向溯源的风险。然而,此次攻击的持续时间远远超出常规,长达数小时,仅在美国就造成了85%的互联网用户在攻击期间无法访问相关服务。此次攻击不仅是一次“洪峰式”的打击,还表现为一种“持久战”的形态,其攻击节奏与持续性均让防御者措手不及。美国网络安全和基础设施安全局(CISA)和其他专业机构对此次攻击流量进行了溯源分析,结果显示攻击流量来自大量分散且毫无规律的IP地址,大幅增加了追踪攻击源的难度。这表明攻击者使用了极为先进的手段来隐藏身份。这种匿名性让攻击者有恃无恐,不断加大攻击强度并延长攻击时间,从而对互联网服务的整体稳定性造成了巨大冲击。
三是攻击方式多样 。此次攻击并非简单的一蹴而就,而是采用了“分阶段、上强度”的策略。攻击者先通过大流量攻击制造混乱,再利用UDP洪水攻击、DNS查询洪水攻击等不同的攻击手法进一步干扰服务。持续且多变的攻击方式迫使达因公司防御系统不停切换防御策略,进一步加重了服务器的负担,不仅使防御资源迅速耗尽,也拖延了系统恢复时间。正是由于攻击者多变且复杂的手法,才使得达因公司在此次事件中的应对显得尤为艰难。