【51CTO.com 綜合消息】“5．19斷網事件”，網絡安全警鐘再響。5月19日晚21點左右，中國出現大范圍網絡故障。江蘇、河北、山西、廣西、浙江、天津、內蒙古、黑龍江、廣東等省份均有網民反映上網遭遇故障，出現打不開網頁等問題。據工業(yè)和信息化部通信保障局發(fā)布的最新公告，確認該事件原因是暴風網站域名解析系統受到網絡攻擊出現故障，導致電信運營企業(yè)的遞歸域名解析服務器收到大量異常請求而引發(fā)擁塞。   

在此事件發(fā)生的第一時間，綠盟科技作為網絡安全領域的領軍企業(yè)，伴隨客戶度過了驚心動魄的兩小時，上演了一場與DNS DDoS搏斗的精險實戰(zhàn)。

臨危受命

5月19日晚9點半左右，綠盟科技的安全專家小林正在回家的路上， 出于職業(yè)習慣，小林路過廣場旁邊的幾個網吧時，下意識地把視線掃了過去，現在應該是網吧人滿為患的時候，但今晚有些異樣：有的網吧沒什么人，有人的網吧則是人聲鼎沸，群情激奮，大家在嚷著什么？！

突然，急促的手機鈴聲打斷了小林的思路，來電顯示：某電信工程師。小林急忙接通電話，局方工程師非常焦急地說：“我們的網絡出現重大故障，請馬上趕到電信機房”。小林急忙調轉方向趕過去，此時電信機房門口工作人員正焦急等待，小林一下車馬上與他們趕往運維中心。

互聯網危機四伏

進入運維中心首先經過客服中心，客服中心的電話此起彼伏，客服人員經常重復的幾個詞就是“網頁訪問特別慢 ”、“郵件無法接收”、“無法上網”。進入運維中心，發(fā)現里面燈火通明，監(jiān)控中心網絡、系統、業(yè)務技術專家都在現場，運維中心主任一臉嚴肅。人員到齊后，主任召集各條線的技術人員開了一個緊急會議，對當前問題做了總結。網絡組技術人員反饋：網絡設備CPU利用率、數據流量沒有異常；系統組技術人員反饋：RADIUS服務器工作正常，寬帶客戶認證授權正常；業(yè)務組人員反饋：城域網大面積出現寬帶用戶訪問網頁速度慢、無法上網現象。

小林一邊迅速記錄著網絡的現場數據信息，一邊與綠盟科技總部的技術支持中心聯系，此時綠盟科技的另兩位同事已經趕到了運維中心。

應急團隊在響應

與此同時，綠盟科技總部技術中心也是一片忙碌。在當晚九點左右，總部就陸續(xù)接到華南、華北、華東等地分支機構的匯報，稱運營商互聯網出現故障，部分互聯網用戶的服務受到影響。鑒于此次網絡故障影響范圍廣，技術支持中心立即向應急響應團隊經理報告了情況，經過對現有數據分析發(fā)現這是一起重大的互聯網安全事件，馬上通知全國各地分支機構技術專家迅速組建應急響應團隊，為各地隨時可能出現的安全問題進行準備。

重大轉機

運維中心現場人員在分析本地城域網故障的同時，與集團公司運維部也進行了匯報交流，反映了本地網遇到的問題，詢問骨干網是否出現異常。小林根據來自于總部技術支持中心的技術應急信息以及現場情況對網絡故障進行了初步分析。隨后對相關安全系統展開檢查，突然發(fā)現部署在DNS系統網絡出口的黑洞安全防護設備有異常告警，DNS系統的網絡流量出現激增。針對此異常情況，小林即時啟動設備自帶的抓包功能進行抓包，然后對獲得的數據包進行分析，發(fā)現超過50%的DNS解析請求是針對某互聯網業(yè)務提供商的。隨后，運維中心的現場人員對DNS系統進行了核查，發(fā)現DNS服務器群處于超負荷運行狀態(tài)，DNS查詢響應延遲非常大。

小林迅速將這一發(fā)現與綠盟科技總部進行了溝通，總部應急團隊與小林等局方現場技術人員緊急討論后，立即確定解決方案。隨后小林向運營商局方人員介紹了故障原因及解決方案，局方人員與集團公司再次進行了緊急溝通，匯報了本地監(jiān)控發(fā)現的DNS服務的異常情況，并與某互聯網業(yè)務提供商求證該公司的系統是否出現異常情況，該公司負責人反饋系統服務出現異常，目前正忙于相關系統的升級搶修工作。

問題定位后，綠盟科技的技術專家與局方人員共同商討，即刻確定了應急方案：一是在黑洞上開啟模式匹配策略，對指向該互聯網業(yè)務運營提供商相關域名解析請求進行過濾，減輕對DNS服務器的查詢壓力；二是在本地DNS服務器上針對該互聯網業(yè)務運營提供商相關域名設置強解析策略，保障運營商以最小的代價保證絕大部分的應用正常開展。

平息危機

晚上11點，小林和局方運維人員迅速下發(fā)應急策略后，DNS系統網絡流量從150M飛速下降為10M，DNS查詢請求驟然下降70%，DNS系統快速恢復正常，隨后用戶的互聯網接入業(yè)務逐漸恢復。

小林等技術專家進行應急支持的同時，華北區(qū)域的應急響應人員在也在華北某電信運營商的機房里忙得熱火朝天——網絡故障分析、數據抓包、數據分析……，再將現場情況向綠盟科技總部進行反饋。總部技術專家分析發(fā)現華北電信運營商遇到了與小林所支持的南方電信運營商相同的DNS大流量攻擊問題，不過目前的DNS流量還只是處于快速增長階段，為了防止DNS系統可能出現的癱瘓，總部馬上與現場應急響應人員交流現狀和制訂應急處置方案，并經過與局方運維人員確認后立即啟動相應的防護策略。應急策略下發(fā)實施后，防止了該地區(qū)互聯網業(yè)務大面積中斷的發(fā)生。

華東、華南、華北、西北等地省電信運營商陸續(xù)與集團公司取得聯系，各省市電信運維部門采取緊急策略，對各地的DNS實施應急防護策略，隨后DNS服務逐漸恢復正常，互聯網業(yè)務漸漸恢復。5月20日凌晨全國互聯網基本恢復正常運轉。

后記

這次事件貌似由DNS的大量查詢請求所引起，對DNS服務器形成了一次飽和的DDoS攻擊，導致某些運營商的DNS癱瘓。事實上，DDoS攻擊廣泛存在于互聯網中，而針對DNS服務器的DDoS攻擊事件更是層出不窮，且形式越來越多樣化，主要包括以下幾種：利用緩沖期溢出；海量流量堵塞帶寬；偽造源IP發(fā)送海量DNS查詢；源端口53的UDP FLOOD（攻擊負載均衡設備）；真實協議棧大量查詢隨機域名引起迭代查詢。

針對這些廣泛存在的DDoS攻擊，綠盟科技專家指出，通過在運營商骨干網部署流量清洗系統，可以幫助運營商清洗網絡中的DOS流量， 利用抗DDoS安全產品的模式匹配、以及IP地址信譽機制等獨特的防護算法對形式多樣的DDoS攻擊進行安全防護，在運營商網絡受到攻擊時可以為運營商的DNS服務器提供有效和及時的安全保障。