文档介绍:
(英国,伦敦)
LIANA (美国,弗吉尼亚州)
MWIDE Project(日本,东京)
在根域名服务器中虽然没有每个域名的详细信息,但储存了负责每个域(如COM、NET、ORG等)的解析的域名服务器的地址信息,犹如通过北京电信你问不到广州市某单位的电话号码,但是北京电信可以告知你去查020224。世界上全部互联网访问者的阅读器的将域名转化为IP地址的恳求(阅读器必需知道数字化的IP地址才能访问网站)理论上都要经过根服务器的指引后去该域名的权威域名服务器(authoritative name server, )上得到对应的IP地址,当然现实中供应接入服务的ISP的缓存域名服务器上可能已经有了这个对应关系(域名到IP地址)的缓存。
根域名服务器是架构因特网所必需的基础设施。在国外,很多计算机科学家将根域名服务器称作“真理”(TRUTH),足见其重要性。但是攻击整个因特网最有力、最干脆,也是最致命的方法唯恐就是攻击根域名服务器了。早在1997年7月,这些域名服务器之间自动传递了一份新的关于因特网地址安排的总清单,然而这份清单事实上是空白的。这一人为失误导致了因特网出现最严峻的局部服务中断,造成数天之内网面无法访问,电子邮件也无法发送。
在2002年的10月21日美国东部时间下午4:45起先,这13台服务器又遭遇到了有史以来最为严峻的也是规模最为浩大的一次网络攻击。此次受到的攻击是DDoS攻击,超过常规数量30至40倍的数据猛烈地向这些服务器袭来并导致其中的9台不能正常运行。7台丢失了对网络通信的处理实力,另外两台也紧随其后陷于瘫痪。
10月21日的这次攻击对于一般用户来说可能根本感觉不到受到了什么影响。假如仅从今次事务的“后果”来分析,或许有人认为“不会全部的根域名服务器都受到攻击,因此可以放心”,或者“根域名服务器产生故障也与自己没有关系”,还为时尚早。但他们并不清晰其根本缘由是:
并不是全部的根域名服务器全部受到了影响
* 攻击在短时间内便告结束
* 攻击比较单纯,因此易于实行相应措施
由于目前对于DDoS攻击还没有什么特殊有效的解决方案,设想一下假如攻击
的时间再延长,攻击再略微困难一点,或者再多有一台服务器瘫痪,全球互联网将会有相当一部分网页阅读以及e-mail服务会彻底中断。
而且,我们更应当清晰地相识到虽然此次事故发生的缘由不在于根域名服务器本身,而在于因特网上存在许多脆弱的机器,这些脆弱的机器植入DDoS客户端程序(如特洛伊木马),然后同时向作为攻击的根域名服务器发送信息包,从而干扰服务器的服务甚至干脆导致其彻底崩溃。但是这些巨型服务器的漏洞是确定存在的,即使现在没有被发觉,以后也确定会被发觉。而一旦被恶意攻击者发觉并被胜利利用的话,将会使整个互联网处于瘫痪之中。
不久前,网通集团宣布,已与美国威瑞信(VeriSign)公司达成协议,将开通根域名中国镜像服务器, 网站时,域名解析将不再由设置在境外的域名服务器供应服务,