注册 登录  
 加关注
   显示下一条  |  关闭
温馨提示!由于新浪微博认证机制调整,您的新浪微博帐号绑定已过期,请重新绑定!立即重新绑定新浪微博》  |  关闭

移动Labs

http://labs.chinamobile.com/

 
 
 

日志

 
 
关于我

移动Labs(labs.chinamobile.com):中国移动研究院主办的通信行业汇聚门户,专注于移动通信和互联网领域,核心会员是中移动广大员工及ICT行业用户。提供资讯、博客、讨论组、专业报告、视频、电子日报等信息及知识服务,以及研究院主办的每周线下活动“无限论坛”。

网易考拉推荐

钱辉兵:私服引起的互联网安全血案  

2009-08-05 18:39:41|  分类: 默认分类 |  标签: |举报 |字号 订阅

  下载LOFTER 我的照片书  |

独家供稿:移动labs网站

一张手指甲大小的纸牌,经过多米诺效应的传导,竟然可以推倒帝国大厦。这不是笑话或天方夜谭,前不久的互联网瘫痪事件就是最好的证明。不妨将事件的来龙去脉梳理一下,能否找到一些端倪,对今后的互联网安全找到一些可以改进的地方。

事件回顾:

      私服之间的掐架本是江湖之中的平常事,只不过在5月18日,攻击者发现直接攻击私服服务器效果不佳后将矛头指向了为竞争对手提供域名解析的DNS服务器。

      攻击别人的DNS服务器也就罢了,巧合的是这个DNS服务器有来头,,他是国内知名的域名解析提供商DNSpod旗下1台服务器,还承担了其它很多域名的解析服务,其中就有暴风影音的域名。

      不得不提的是常州电信维护人员的敏锐和效率,他很快发现了安放在IDC的这台服务器流量出现异常,立马将该服务器的服务端口SHUTDOWN了,让害群之马自绝于网络,看似果敢坚毅,实则埋下重大隐患。

等到5月19日,暴风影音的域名的缓存有效期超时后,号称装机量达到2.8亿的暴风影音客户端在后台查询自己的域名未果后不停的重试,这就形成了吞噬一切的洪流,一次又一次地疯狂冲击各大运营商脆弱的DNS,后浪簇拥着前浪汹涌而来,会被载入中国互联网史册的DDOS攻击发生了,DNS瘫痪了,互联网失去了他黑色的眼睛。

两个问题

1)          为什么会有人选择DNSPOD?

      任何一个DNS,无论是美国的,还是CNNIC,他们都不能直接将一个完整的域名直接解析到具体的IP地址,NAME SERVER域名解析商就是干这样的事情。DNS POD属于这个行当中干得比较好的,它还能为一些商业用户提供智能解析功能,能够根据发起用户所在的用户解析出不同的目的地址,举个例子,联通的用户如果访问一个网站,他就向用户解析该网站设在联通的地址;如果电信用户访问,则返回该网站在电信的地址,对于商业网站,这显然能够提升用户感知度,这就是DNSPOD存在的理由。

2)          为什么故障时间会历时那么长?

为什么会历时那么长,因为事件确实是太离奇了。故障暴发后,工信部立即把几大运营商和暴风公司找过去痛扁了一顿。所有人都一脸无辜的样子,没有任何网络调整,没有发布过新的软件版本,更主要的没有一个真正牛X的全程全网的专家能够说清楚来龙去脉。抽丝拨茧,步步回溯,最终找到缘由,也可勉为其难地说尽力了。

未来还会发生吗?

事件虽然告一段落了,但恐怕没有人能彻底忘却,尤其是对于运营商而言,即使是没心没肺想钱想疯了,心里恐怕也在嘀咕,事情了结了吗?未来还会发生吗?

没有人否认,DDOS攻击是目前网络上最难防范的攻击之一,相同的端口和业务种类,满山遍野毫无特征的用户,如果不研究,不分析,不投入,那未来一定还会有更大的瘫痪事件发生。

抛开细枝末节的巧合,就事论事,探讨一下避免或尽量缩短业务故障历时的可能,有如下建议:

1、         公共软件的准入机制能不能加强一些?天下没有免费的午餐,当我们开心地用暴风看电影,屏幕上也在不停地刷新着一些看似可有可无的广告页面,甚至还可能干着其他一些我们毫无所知的勾当。谁对此负责?这次工信部出面找了暴风,是不是应该把这道把严一点,避免还出现其他的暴雨、暴雷、暴电呢?

2、         运营商DNS前面的防火墙能不能再强大一些?在防火墙上增加一个针对IP地址的统计功能,设定一定的上限。诚然这可能增加防火墙的负荷、速度变慢、甚至多了一个故障点。但在那种极端情况下,是否也可作为一种应急的手段,缩短故障历时。

3、         DNS能不能强化统计告警功能?当特定的网址出现持续解析失败时,能够提供告警功能,发出全网预警,通知维护人员紧急添加相关网站的临时解析记录。      由于本人非互联网专业人士,以上思想系与集团网络部原CNNIC专家董晓荔、江苏移动网络部安全专家来晓阳交流所得,欢迎拍砖指教。

钱辉兵发在官网的原文http://labs.chinamobile.com/community/my_blog/5461/23878

  更多精彩内容请查看:移动labs   更多移动人博客

  推荐博文:赖敏:让TDCDMA EV/DO!

  推荐博文:史正军:密集分销之后,渠道将往何处演变?

中国移动专业智囊团评选活动                    移动TD最新情报

             家有Ophone初长成                                      运营商们最佳的3G计费选择

移动M-Market如何PK苹果                     研究院最新招

                 5月中移动最热话题TOP13              征集TD发展金点子和“感动TD”纪实 

  评论这张
 
阅读(642)| 评论(0)
推荐 转载

历史上的今天

评论

<#--最新日志,群博日志--> <#--推荐日志--> <#--引用记录--> <#--博主推荐--> <#--随机阅读--> <#--首页推荐--> <#--历史上的今天--> <#--被推荐日志--> <#--上一篇,下一篇--> <#-- 热度 --> <#-- 网易新闻广告 --> <#--右边模块结构--> <#--评论模块结构--> <#--引用模块结构--> <#--博主发起的投票-->
 
 
 
 
 
 
 
 
 
 
 
 
 
 

页脚

网易公司版权所有 ©1997-2017