dns瘫痪

如果你有持续关注FreeBuf的“安全快讯”栏目就会发现，DDoS攻击每天都在发生，真正能够震惊全球人民的此类攻击并不多见，不过昨天晚上到今天早晨据说“半个美国互联网”都瘫痪了，就是因为DDoS攻击——Twitter、GitHub、Spotify、Airbnb、Etsy等大量站点都受到影响。

SecurityWeek最早发起报道称，Twitter.com在全球部分区域已经无法访问：“到截稿为止，Twitter.com已经下线了大约2个小时。”GitHub方面则很早就已经通知用户，其上游DNS提供商遭遇严重问题。

DNS服务遭遇攻击

到底是什么样的DDoS攻击能至此种威力？DNS服务提供商Dyn公司的Managed DNS基建据说遭遇了一波非常严重的DDoS攻击（所谓的Managed DNS，实际上也就是购买服务方的DNS服务）。Dyn方面已经确认，攻击者针对其DNS服务的DDoS攻击是从世界标准时间昨天11:10开始发起的，也就是北京时间昨日19:10。目前Dyn方面仍在进行攻击缓解工作。

这样一来，很多DNS查询就无法完成了，用户也就无法通过域名访问Twitter、GitHub等站点。受波及的站点还包括PayPal、BBC、华尔街日报、Xbox官网、CNN、HBO Now、星巴克、纽约时报、The Verge、金融时报…可不就是大半个互联网上不去了吗？

SecurityAffairs报道称，本次攻击对亚洲和欧洲用户并未造成影响。不过有部分Reddit和HackerNews用户报告称，英国和爱尔兰部分网站也受到了影响。还有亚特兰大西部似乎亦有波及。

Dyn的声明如下：

“服务已经在13:20（北京时间昨天21:20）恢复。本次攻击主要影响到了美国东部，以及这一区域的Managed DNS用户。我们的工程师正在针对该问题进行缓解工作。

从世界标准时间10月21日 11:10起，针对Dyn Managed DNS基础建设的DDoS攻击就开始了，我们在持续监控和处理中。部分用户可能会遭遇DNS查询延迟，而且在此期间波及范围还会扩大。”

看样子，要让web世界瘫痪，最好的方法果然还是瞄准DNS服务啊。

红色部分区域用户表示他们无法访问网站，图片来自downdetector.com

本次攻击或部分源自IoT僵尸网络

来自NETWORK WORLD的追踪报道，在攻击发生的2个半小时之后，新一波DDoS攻击卷土重来（大约是北京时间今天凌晨，美国东部时间中午11:52），CNBC方面表示似乎后续又有了第三波攻击。Twitter等站点再度出现大面积无法访问的情况。

Network Outage Analyst分析师Nick Kephart说，首波攻击针对的是Dyn位于芝加哥、华盛顿和纽约的数据中心，因此主要影响到了美国东海岸的DNS查询；第二波攻击则波及了Dyn全球20个数据中心——这个阶段的攻击需要相对周密的计划，也要求每个区域都有足够的bots可以用来发起攻击。

互联网骨干服务Level 3 Communications表示，针对IoT设备的僵尸网络或许是发起本次DDoS攻击的重要来源。部分流量就是来自，最近一阵非常火热、被Mirai恶意程序感染的僵尸网络——而Mirai预计已经感染了超过50万台设备。

这家公司的首席安全官表示，被Mirai感染的设备中，约有10%参与了本次DDoS攻击。不过也不止是Mirai，应该还有其他僵尸网络也共同参与了此次攻击。

Dyn表示，这是一次有组织有预谋的网络攻击行为，来自超过千万IP来源（tens of millions of IP addresses at the same time）。千万IP，意味着至少0.4%的IPv4地址参与了攻击。如果的确主要是物联网设备，那么扣除保留地址、服务器地址等，参与本次DDoS的物联网设备可能达到了一个惊人的比例。

未来随着物联网的进一步普及，家用智能设备大约都可以参与攻击，规模也只会越来越大，想必这次的攻击还只是个开始。

目前此事已经成为美国媒体和社交网络之上的热议话题，来看看他们都是怎么说的：

据说还有第三波攻击！

怀疑我大天朝？

嗯！宿敌啊！

这位说，其实是美国人自己干的！

听说GitHub和Twitter都挂了，出去散个步…

川普总是躺枪！

大众媒体正在向群众普及，啥是DDoS攻击…

* FreeBuf官方报道，作者：欧阳洋葱，转载请注明来自FreeBuf.com