2013年网络安全形势：暴风雨愈来愈猛烈

域名系统其实不堪一击

开放DNS服务器是引爆整个欧洲互联网的定时炸弹?在Spamhaus遭受攻击的事件中，攻击者借助现网数量庞大的开放DNS服务器，采用DNS反射攻击将攻击流量轻松放大100倍。攻击过程使用了约3万台开放DNS服务器，攻击者向这些开放DNS服务器发送对ripe.net域名的解析请求，并将源IP地址伪造成Spamhaus的IP地址，DNS请求数据的长度约为36字节，而响应数据的长度约为3000字节，经过DNS开放服务器反射将攻击流量轻松放大100倍。攻击者只需要控制一个能够产生3Gbps流量的僵尸网络就能够轻松实施300Gbps的大规模攻击。而攻击过程中，每个DNS服务器发出的流量只需要10Mbps，这样小的攻击流量很难被DNS业务监控系统监测到。事实上，开放DNS服务器在互联网上数目庞大，远不止3万台。互联网如果继续保持开放DNS服务器的无管理状态，利用开放DNS系统发起的DNS反射攻击事件就会越来越多，攻击规模也会越来越大。本次攻击事件让人们意识到：开放DNS服务器是互联网的定时炸弹，如果不加以治理，未来的某一天将会爆发更大规模的DDoS攻击。

中国互联网系统依然脆弱。.CN域名受攻击导致访问延迟或中断，部分网站的域名解析受到影响。攻击影响了超过800万个互联网用户在中国域名.CN注册的网站的访问，其中包括流行的社交网站新浪微博。大量新浪微博用户抓狂，因为出现了首页无法刷新、评论被全部清空等“症状”。独立情报分析专家艾德认为，此次网络攻击暴露出整个中国网络的脆弱性，“如果所有以.CN结尾的网站，因一个简单的拒绝服务攻击就被击垮的话，那么中国互联网系统比我们原先想象的更脆弱。很显然，中国网络安全有待完善和提高。”专家称，日益频发的域名系统安全事件，暴露出域名系统相关技术还不够成熟，需要持续提升完善。

保护域名安全任重道远

如果把一个网站比作一座房子，那么域名就是这座房子的门，而这扇门拥有许多功用，它是别人访问网站的必经之地，同时也是保护网站的重要所在，所以保护好域名的安全，相当于保护一个网站的安全。而DNS，相当于钥匙，在保护域名的安全中起着至关重要的作用。据域名工程中心发布的《2013年互联网根和顶级域名发展报告》显示，截至2013年8月12日，ICANN共收到了来自全球111个国家和机构的1822个新通用顶级域名申请。这也就意味着，在短时间内，像.com一样的千余个新通用顶级域名即将上线，并面向公众开放注册。随着越来越多的域名即将涌现，域名安全问题将因此受到更大的挑战。

强化国家域名系统基础设施的建设。据域名工程中心技术监测数据显示，国内的域名服务器总量为100万台左右，活跃域名服务器数量为7万台， 62%以上的权威域名服务器使用开源的Linux系统，微软Microsoft Windows操作系统所占比例在36%左右， 95%以上的域名服务器使用开源的ISC BIND域名解析软件。可以看出，从域名服务器操作系统到域名解析软件，几乎已被微软和国外的开源软件所垄断。开源软件预留“后门”的风险较小，但也方便黑客借助其软件漏洞进行网络攻击。CNNIC执行