烈火建站学院(liehuo.net)讯 6月2日，5月19日我国部分省份互联网瘫痪的网络攻击案件告破，4名对域名解析服务器实施攻击的犯罪嫌疑人被抓获，目前已被刑事拘留。通过网上报警平台的现状可以看出市场前景比较广阔，有利于我们进行参考和投资。
此次5.19网络堵塞事件再次敲响了互联网安全警钟，暴露出诸多网络安全问题，包括域名系统的脆弱性、网游黑色产业链等。但尤其值得注意的是，一起常见的域名服务器攻击，为何最终导致了互联网的大面积故障？本报记者对此进行了相关调查。
事件回放
5月19日的网络故障事件颇有点一波三折的意味。
19日22时，工业和信息化部接到电信运营企业报告，自21时起，江苏、河北、山西、广西、浙江等省陆续出现互联网网络故障，部分互联网用户的服务受到影响。截至20日凌晨1时20分，受影响地区的互联网服务基本恢复正常。当天工业和信息化部组织专家分析故障原因后，认为是由于baofeng.com的域名解析系统受到网络攻击出现故障，导致电信运营企业的递归域名解析服务器收到大量异常请求而引发拥塞，造成用户不能正常上网。这个官方结论将暴风影音视频播放软件推上风口浪尖。
但随即暴风影音表示自己也是受害者。暴风影音使用的域名解析服务器由一个名为dnspod的域名服务商所有，正是dnspod遭到攻击，才连累了暴风影音。于是dnspod又被推至前台。
实际上，在5月19日晚，dnspod的站长吴洪声就已在网上发布致全国用户的道歉信，道出互联网故障背后的原因。
真正的攻击发生在5月18日晚上22点左右，dnspod主站及其多个域名解析服务器遭受超过10g流量的恶意攻击。域名解析有一段时间的缓存期，因此dnspod被攻击后对用户上网的影响过了一天才开始显现。
在20日给记者的电子邮件回复中，吴洪声猜测攻击可能来自互联网上经营游戏私服广告发布站之间的利益斗争，因为有不少游戏私服广告也在使用dnspod的域名解析服务，此前dnspod也遭受过类似的攻击。
最后的事实也证明，正是私服广告之间的恶意攻击，转而攻击对方使用的域名解析服务器，这导致使用相同服务器的其他客户如暴风影音也都受到影响，更进一步造成网络的局部甚至大面积堵塞。#p#副标题#e#
脆弱的互联网入口
吴洪声向记者解释了域名解析服务器被攻击后导致网络故障的过程。以访问baofeng.com为例，用户的计算机需要该的ip地址，因此会先向电信服务商的域名服务器发起一个请求。如果电信服务商的域名服务器已经有这个域名的缓存，那么会直接返回给用户。没有的话就向这个域名的授权服务器（dnspod）发起一个请求，并获得返回的信息，再返回给用户，同时自己也缓存一份。当dnspod被攻击后，电信服务商的域名服务器还在不断地向dnspod发起请求，但dnspod已经瘫痪，所以造成这些请求的队列阻塞，如果新的请求持续发生，最终连电信服务商的域名服务器也会瘫痪。dnspod作为国内最大的免费智能域名服务系统，每天处理的域名解析请求量达到了20亿次。吴洪声说。不堪重负，也为了防止事态升级，最后托管dnspod服务器的电信机房索性将其ip封禁。
域名被认为是互联网的入口，域名解析无时无刻不在发生。人们通过输入网址访问，从而免记枯燥的ip地址数字。域名解析的功能则是将网址转换成计算机网络真正需要的ip地址，实现正常通信。
因为域名服务的隐蔽性，所以没有太多人注意到这个关键服务的安全性。吴洪声说。据记者另外了解，部分电信运营商目前还在使用老旧的服务器为一个地区的用户提供域名解析服务，这样的服务器只需要一、二百m的流量就可以完全打垮。可以确认的是，攻击的手法是分布式拒绝服务方式。吴洪声说。分布式拒绝服务攻击指的是控制大量的傀儡计算机，利用合理的服务请求来占用过多的服务资源，从而使正常用户无法使用甚至服务器崩溃。这是目前互联网攻击经常采用而难以防范的攻击手段。
国家计算机网络应急技术处理协调中心（简称国家互联网应急中心，cncertcc）运行部负责人孙蔚敏女士告诉记者，如果解析系统出现安全问题，轻则可能导致某个或某些域名不能正常访问，如某些域名被指向黑客指定的ip地址，重则导致大量计算机用户无法正常使用互联网，如某个运营商的域名服务器遭受拒绝服务攻击而瘫痪，导致当地用户无法上网。
孙蔚敏介绍说，域名系统的安全问题与多方面的因素有关，首先是域名服务器使用的软件本身可能存在安全漏洞，其次域名服务器的性能和带宽冗余度不足以满足突发的大量请求，再者是因为外部的恶意攻击而出现异常。
这是dnspod建站以来遭受的最大规模攻击。对于此次攻击，吴洪声说，这么大的攻击流量，不管是谁提供域名服务，都会瘫痪。他指出，之前几天国内较大的域名服务商新网也曾同样被攻击并且一度中止服务。
相关文章：网友搞怪新词：暴风长老, 请收了神通吧!_#p#副标题#e#
不同寻常的一次互联网安全事件
但谁也没有想到，一次普通的域名系统攻击最终会酿成如此大面积的互联网堵塞。
在6月1日，被认为是5.19网络堵塞事件主角之一的暴风影音宣布暂停软件下载。成为主角的原因是，来自电信部门的数据表明，在导致网络堵塞的大量域名解析请求中，暴风影音播放软件的流量占到40%，是堵塞事件最重要的推动力。
与以往不同的是，5月19日的互联网异常事件虽然是一起大范围的域名系统安全事件，但却不是由针对域名系统的直接攻击而导致的，而是由于某种热门互联网软件的故障而间接引发的。孙蔚敏说，dnspod遭受攻击，服务发生异常，使用dnspod的一些用户，特别是大量安装暴风影音软件的用户仍频繁提交域名解析请求，大量的解析请求失败后不断累积，最终构成了对网络的压力。
被一些网民诟病的是，暴风影音虽然是一款视频播放软件，但它同时也会在后台和其官方产生一些网络连接，但普通用户并不知情。吴洪声向记者介绍，dnspod主要服务对象是中小，但也有不少大也在用，比如verycd.com，其拥有的电驴下载软件也拥有着巨大的用户数。这些软件都会不断的向网络发起请求（比如软件的广告、自动更新），所以都有可能造成这个情况。
对此，孙蔚敏认为，这次事件暴露了我国互联网发展到新阶段后所面临的一类新的安全问题。即拥有大规模用户群的互联网应用包括、网游、聊天通讯软件等，其自身的安全问题可能会直接影响到互联网基础设施的安全运行，进而导致互联网的严重故障、影响更广泛的互联网用户。
互联网发展到今天，已经构成一个错综复杂而又非常脆弱信息系统，任何一个局部的安全事件如果不能及时处置，都有可能迅速发展成为严重的大规模安全事件。
孙蔚敏说，对此，互联网增值服务提供商需要首先确保所提供的网络服务系统和应用软件的可靠性，特别是那些市场占有率高、应用广泛的服务和软件提供商，要防止成为定时炸弹。为互联网增值服务提供商提供高速公路的基础电信运营商则应该进一步完善包括域名体系在内的网络基础设施监控手段，及时发现问题。
同时，不管是政府部门还是企业，涉及互联网网络服务产业链条，都应该共同抵制网络攻击，共同打击互联网黑色产业链。
从现在开始，我们将大规模封杀包括私服发布站、私服等有争议，易引来攻击的域名。吴洪声说。
在这次互联网堵塞事件发生后两周也就是6月1日起，工业与信息化部发布的《木马和僵尸网络监测与处置机制》、《互联网网络安全信息通报实施办法》开始实施，目的是为了净化公共互联网环境，维护我国公共互联网安全。
木马是指由攻击者安装在受害者计算机上秘密运行并用于窃取信息及远程控制的程序。僵尸网络是指由攻击者通过控制服务器控制的受害计算机群。对域名系统发起的分布式拒绝服务攻击就是由僵尸网络发起。
据国家计算机网络应急技术处理协调中心（简称cncert）抽样监测统计，2008年我国境内感染木马控制端的ip地址为438,386个，感染木马被控端的ip地址为565,605个，感染僵尸网络控制端的ip地址为1,825个，感染僵尸网络被控制端的ip地址为1,237,043个。2008年cncert共发现各种僵尸网络被用来发动拒绝服务攻击3395次、发送垃圾邮件106次、实施信息窃取操作373次。可见我国感染木马和僵尸网络恶意代码的数量之大，面临的网络安全问题之严重。