域名系統其實不堪一擊

開放DNS服務器是引爆整個歐洲互聯網的定時炸彈?在Spamhaus遭受攻擊的事件中，攻擊者借助現網數量龐大的開放DNS服務器，采用DNS反射攻擊將攻擊流量輕松放大100倍。攻擊過程使用了約3萬臺開放DNS服務器，攻擊者向這些開放DNS服務器發送對ripe.net域名的解析請求，并將源IP地址偽造成Spamhaus的IP地址，DNS請求數據的長度約為36字節，而響應數據的長度約為3000字節，經過DNS開放服務器反射將攻擊流量輕松放大100倍。攻擊者只需要控制一個能夠產生3Gbps流量的僵尸網絡就能夠輕松實施300Gbps的大規模攻擊。而攻擊過程中，每個DNS服務器發出的流量只需要10Mbps，這樣小的攻擊流量很難被DNS業務監控系統監測到。事實上，開放DNS服務器在互聯網上數目龐大，遠不止3萬臺。互聯網如果繼續保持開放DNS服務器的無管理狀態，利用開放DNS系統發起的DNS反射攻擊事件就會越來越多，攻擊規模也會越來越大。本次攻擊事件讓人們意識到：開放DNS服務器是互聯網的定時炸彈，如果不加以治理，未來的某一天將會爆發更大規模的DDoS攻擊。

中國互聯網系統依然脆弱。.CN域名受攻擊導致訪問延遲或中斷，部分網站的域名解析受到影響。攻擊影響了超過800萬個互聯網用戶在中國域名.CN注冊的網站的訪問，其中包括流行的社交網站新浪微博。大量新浪微博用戶抓狂，因為出現了首頁無法刷新、評論被全部清空等“癥狀”。獨立情報分析專家艾德認為，此次網絡攻擊暴露出整個中國網絡的脆弱性，“如果所有以.CN結尾的網站，因一個簡單的拒絕服務攻擊就被擊垮的話，那么中國互聯網系統比我們原先想象的更脆弱。很顯然，中國網絡安全有待完善和提高。”專家稱，日益頻發的域名系統安全事件，暴露出域名系統相關技術還不夠成熟，需要持續提升完善。

保護域名安全任重道遠

如果把一個網站比作一座房子，那么域名就是這座房子的門，而這扇門擁有許多功用，它是別人訪問網站的必經之地，同時也是保護網站的重要所在，所以保護好域名的安全，相當于保護一個網站的安全。而DNS，相當于鑰匙，在保護域名的安全中起著至關重要的作用。據域名工程中心發布的《2013年互聯網根和頂級域名發展報告》顯示，截至2013年8月12日，ICANN共收到了來自全球111個國家和機構的1822個新通用頂級域名申請。這也就意味著，在短時間內，像.com一樣的千余個新通用頂級域名即將上線，并面向公眾開放注冊。隨著越來越多的域名即將涌現，域名安全問題將因此受到更大的挑戰。

強化國家域名系統基礎設施的建設。據域名工程中心技術監測數據顯示，國內的域名服務器總量為100萬臺左右，活躍域名服務器數量為7萬臺， 62%以上的權威域名服務器使用開源的Linux系統，微軟Microsoft Windows操作系統所占比例在36%左右， 95%以上的域名服務器使用開源的ISC BIND域名解析軟件。可以看出，從域名服務器操作系統到域名解析軟件，幾乎已被微軟和國外的開源軟件所壟斷。開源軟件預留“后門”的風險較小，但也方便黑客借助其軟件漏洞進行網絡攻擊。CNNIC執行