从根服务器遭受攻击看我国互联网基础设施建设

摘要：2015年11月30日到12月1日期间，连续两次在全球范围发生针对DNS域名系统根服务器的大规模DDoS攻击，导致部分根服务器不能响应正常的根区查询请求。针对互联网核心基础设施域名根服务器的攻击在历史上有很多次，但是这次攻击以其规模之大，持续多次，独特的攻击模式引起了相关专家和社群的广泛讨论，对互联网基础设施的安全性和稳定性提出了更高要求。针对此次根服务器遭受攻击事件，下一代互联网关键技术和评测工程中心提出适合我国网络基础设施建设的几点建议，以应对未来互联网基础设施安全隐患。

11月30日，由RIPE NCC欧洲网络中心的Atlas测量平台首先报道根服务器遭受DDoS拒绝服务攻击，如图A所示，B,C,E,G,H等根服务器无法响应应答。12月1日K根也遭到攻击(图B)，大部分镜像节点无法提供正常服务。区别以往针对根服务器的网络攻击，这次攻击流量达到了惊人的500万qps（即每秒500万次访问请求），而且攻击源的IP地址几乎是在IPv4地址空间随机分布，不像是典型拒绝服务所采用的DNS放大攻击（DNS amplifier attack）.

图A 根服务器状态监控图-13个根服务器

‌图B 根服务器状态监控图-K根

作为互联网核心基础设施，DNS根服务器自2002年以来逐步采用Anycast任播技术在全球部署镜像节点，任播技术让用户就近访问根服务器节点，达到了减少延迟，分担负载的作用（如图C所示）。尤其是当一个节点发生故障时，该技术能将流量路由到其他的根服务器镜像节点，避免因为一个节点失效而让服务访问中断。图C  anycast任播镜像示意

然而随着互联网规模增大，DDoS拒绝服务攻击的规模和危害性也随之放大，当一个节点遭受到巨量的恶意流量的攻击，流量重定向到其他节点反而会摧毁其他的节点的服务，导致全局的问题。因此现在根服务器运营者的做法都倾向于“保守治疗”，即让部分失效节点保持超过99%丢包率，而不终止服务，目的是为了保障其他节点的正常运行。

这样的缺点很显然，就是这些失效节点覆盖地区得不到有效正常的服务。比如一些国家和地区由于各种原因根服务器镜像数量少，当遇到这样的全球性大规模网络攻击，如果没有有效的应急手段就很可能被“放弃治疗”，该地区成为互联网灾区，遭受被抛弃和隔离的命运。因此在现在的根服务器运行模型中，看似是针对全球基础设施根服务器的攻击会转变成对特定国家和地区的攻击。

根服务器是互联网的核心基础设施，是互联网的神经中枢，如何缓解针对根服务器的DDoS攻击，尤其是缓解局部服务失效是一个刻不容缓的的问题。针对这一问题，现在国际上主流的解决思路有三类：1）推广普及BCP38源地址验证机制 ; 2）部署更多的根服务器；3）建设局部的应急机制。

因为互联网设计的缺陷，伪造源地址使得无法反向追溯DDoS攻击源头。但BCP38方案是要求网络运营商对自己网络发出流量进行源地址验证，对源地址不属于自己的数据包进行拦截丢弃（如图D）。这种方法相当于自查，从源头断绝伪造地址的可能性。然而该方案迟迟不被运营商接受是因为没有足够的激励机制。鉴于我国互联网生态圈已经自成系统，逐步摆脱对国外服务的依赖，为了减少国内产生的DDOS攻击流量，我国应该首先在国内运营商网络中部署该机制，实现整体部署，整体受益，为全球互联网做出表率和贡献。
‌图D BCP38 源地址验证

第二种思路是从全局系统容量的角度，通过增加系统处理容量是当前缓解攻击的好办法。从现在的IANA根服务器系统有12个运营者，运行着13个根服务器集群（超过500个镜像节点）。这次遭到攻击影响的主要是镜像较少的几个运营者（如B,E,G,H），说明增加镜像对缓解攻击有一定的效果。

‌图E 全球根服务器镜像分布

然而自棱镜门事件之后，国与国、网络与网络之间的信任遭到严重的损害。而这个信任却对互联网互联互通至关重要，是很多技术最初得以推行的基础。就根服务器系统而言，由于根服务器镜像的部署会带来该国家和地区对外部基础设施的依赖，而且存在一定的信息泄露
的危险。而这些问题会在斯诺登事件的背景下被放大。于是也就不难理解为何欧美地区根服务器运营者和镜像特别集中，而中国（4个）、俄罗斯（5个）等国家镜像部署较少（如图E）。因此为了在这些地区增加根服务器数量，补上根服务器系统短板，通过增加该地区根服务器运营者也是在当前互联网运营和治理背景下切实可行的道路。

区别第二个的全局的解决思路，第三个方案是从局部服务连续性的角度，通过采用根区缓存备份和服务应急切换的方法，在局部地区部署根区文件缓存服务器。当监控到根服务器异常就可以引导查询流量访问应急备份根。该方案比较灵活，可以在不同层次的网络部署，包括家庭网络范围，企业网络范围，和国家级的运营商范围部署。然而局部应急机制仍然要依赖外部网络基础设施，只能在局部应对一时的攻击，不能长期和全局上主动提高系统容量，为全球互联网基础设施做贡献。第二个方案和第三个方案也可以结合实施，同时照顾到全局的需要和局部部署的灵活性，也目前最适合我国网络基础设施建设特点的一个方案。

目前由下一代互联网关键技术与评测工程中心发起的Yeti雪人计划（yeti-dns.org）就是针对根服务器数量扩展的限制的运营试验网, 目前现在该试验网已经有15家国际机构加入，如图F所示。

图F Yeti雪人项目： IPv6根服务器运营试验床

随着国家“互联网+”战略的深入，互联网将进入到我们更细微工作与生活中，自然对互联网基础设施也提出更高要求。不久的将来会有更大规模的网络，更多智能设备和终端，更多的互联网资源需要管理和运行，IPv6,IoT,SDN/NFV,新命名和标识新技术将得以规模应用和实现。届时网络恶意攻击规模也会更大，比现在更复杂，危害性也会更强。构建网络大国、网络强国亟需提高本国互联网基础设施重要性的意识，构建安全可靠可控的基础设施，也需要以开放的心态积极参与全球互联网基础设施建设，有信心对外输出技术，输出影响力。

[via@宋林健]