私服引起的血案-互联网安全思考

一张手指甲大小的纸牌，经过多米诺效应的传导，竟然可以推倒帝国大厦。这不是笑话或天方夜谭，前不久的互联网瘫痪事件就是最好的证明。不妨将事件的来龙去脉梳理一下，能否找到一些端倪，对今后的互联网安全找到一些可以改进的地方。

    事件回顾：

    私服之间的掐架本是江湖中的十分平常的事情，只不过在5月18日，攻击者发现直接攻击私服服务器效果不佳后将矛头指向了为竞争对手提供域名解析的DNS服务器。

    攻击别人的DNS服务器也就罢了，巧合的是这个DNS服务器相当有来头，他是国内知名的域名解析提供商DNSpod旗下1台服务器，还承担了其它很多域名的解析服务，其中就有暴风影音的域名。

    不得不提的是常州电信维护人员的“敏锐”和“效率”，他很快发现了安放在IDC的这台服务器流量出现异常，立马将该服务器的服务端口SHUTDOWN了，让害群之马自绝于网络，看似果敢坚毅，实则埋下重大隐患。

    等到5月19日，暴风影音的域名的缓存有效期超时后，号称装机量达到2.8亿的暴风影音客户端在后台查询自己的域名未果后果真如狂风暴雨般疯狂重联，后浪簇拥着前浪汹涌而来，一次又一次地肆虐着各大运营商脆弱的DNS，从而形成了吞噬互联网宇宙的洪流。会被载入中国互联网史册的DDOS攻击发生了，DNS瘫痪了，互联网失去了他黑色的眼睛。

    两个问题

    1） 为什么会有人选择DNSPOD?

    任何一个DNS，无论是美国的,还是CNNIC,他们都不能直接将一个完整的域名直接解析到具体的IP地址，NAME SERVER域名解析商就是干这样的事情。DNS POD属于这个行当中干得比较好的，它还能为一些商业用户提供智能解析功能，能够根据发起用户所在的用户解析出不同的目的地址，举个例子，联通的用户如果访问一个网站，他就向用户解析该网站设在联通的地址；如果电信用户访问，则返回该网站在电信的地址，对于商业网站，这显然能够提升用户感知度，这就是DNSPOD存在的理由。

    2） 为什么故障时间会历时那么长？

    为什么会历时那么长，因为事件确实是太离奇了。故障暴发后，工信部立即把几大运营商和暴风公司找过去痛扁了一顿。所有人都一脸无辜的样子，没有任何网络调整，没有发布过新的软件版本，更主要的没有一个真正牛X的全程全网的专家能够说清楚来龙去脉。抽丝拨茧，步步回溯，最终找到缘由，也可勉为其难地说尽力了。

    未来还会发生吗？

    事件虽然告一段落了，但恐怕没有人能彻底忘却，尤其是对于运营商而言，即使是没心没肺想钱想疯了，心里恐怕也在嘀咕，事情了结了吗？未来还会发生吗？

    没有人否认，DDOS攻击是目前网络上最难防范的攻击之一，相同的端口和业务种类，满山遍野毫无特征的用户，如果不研究，不分析，不投入，那未来一定还会有更大的瘫痪事件发生。

    抛开细枝末节的巧合，就事论事，探讨一下避免或尽量缩短业务故障历时的可能，有如下建议：

    1、公共软件的准入机制能不能加强一些？天下没有免费的午餐，当我们开心地用暴风看电影，屏幕上也在不停地刷新着一些看似可有可无的广告页面，甚至还可能干着其他一些我们毫无所知的勾当。谁对此负责？这次工信部出面找了暴风，是不是应该把这道关看得更严一点，避免还出现其他的暴雨、暴雷、暴电呢？

    2、运营商DNS前面的防火墙能不能再强大一些？在防火墙上增加一个针对IP地址的统计功能，设定一定的上限。诚然这可能增加防火墙的负荷、速度变慢、甚至多了一个故障点。但在那种极端情况下，是否也可作为一种应急的手段，缩短故障历时。

    3、 DNS能不能强化统计告警功能？当特定的网址出现持续解析失败时，能够提供告警功能，及时发出全网预警，通知维护人员紧急添加相关网站的临时解析记录。

    由于本人非互联网专业人士，以上思想系与集团网络部原CNNIC专家董晓荔、江苏移动网络部安全专家来晓阳交流所得，欢迎拍砖指教。