国家首届网络信息安全宣传周才刚刚过去， 12月10日就爆发了国内今年规模最大的针对运营商DNS网络的恶性DDoS攻击事件。攻击正在发生，后续可能有很多变化，先来分析一下，截至目前发生的事情。

　　攻击背景：

从12月10日凌晨开始，现网监控到攻击流量突增的情况，到上午11点开始，攻击开始活跃，多个省份不断出现网页访问缓慢，甚至无法打开等故障现象。下图是某省运营商的流量监控截图，从图中可看出正常访问流量都在百兆以内，高峰时竟然出现了高达6G的攻击混合流量，对DNS网络的冲击可想而知。

捕获到的攻击样本如下图所示：

被攻击域名1


 

被攻击域名2

经过分析样本发现，12月10日的攻击主要是针对多个域名(包括arkhamnetwork.org、arkhamnetwork.com、getfastinstagramfollowers.net)的随机查询攻击;11日凌晨攻击出现变种，出现针对其他域名的攻击，攻击源主要来自各省内。攻击者不仅在短暂的时间内发起了峰值大于6G bps的查询请求(全国范围内大于100G的攻击)，而且连续的变换二级域名，造成各省的DNS递归服务器延迟增大，核心解析业务受到严重影响。

　　攻击过程介绍：

如下图是DNS的结构图，这次攻击发起的方式有两种可能：一是攻击者控制了大量被攻击省内的肉鸡;二是利用攻击工具模拟被攻击省份的内网IP。向DNS的递归节点发起随机域名Flood，由于二级域名随机，且在递归服务器的缓存中并不存在，递归服务器需要不断的迭代去查询最终的结果，从而能进一步加剧了递归服务器的负载，造成服务器性能耗尽。

DNS结构图

攻击者调用大量肉鸡发起针对多个域名的随机查询攻击，由于本地DNS服务器上没有相应的记录，需要向外递归查询，极大的消耗了服务器性能。

DNS攻击发起时过程图

　　攻击防护：

本次攻击仍在继续，攻击的动机不明确，所以暂时不能从根源处彻底解决问题。网络的运维人员只能见招拆招，灵活应对。

在防护工具的选择上，建议用具备专业DDoS防护能力的专业设备。因为基础的网络安全设备(FW、IPS等)不具备精准识别此类攻击的能力，而且他们在攻击过程中，本身就是脆弱的，极易成为第一块倒下的多米诺骨牌;其次设备的处理性能要高，本次攻击从目前监测到的数据看，峰值流量已经接近10G，要求防护设备具备高性能的特点。

在具体部署中，建议旁路部署，借助灵活的路由策略可实现清洗能力的共享。清洗能力可轻松覆盖全省，不留死角。

最后，在应急响应支持团队的支持中，要联系应急支持服务经验丰富的团队，以免造成大面积断网。

绿盟科技攻防团队在监控到攻击发生后，立即启动应急处理流程，截至目前，协助处理的各省的DDoS攻击现象均已得到有效控制。

(责任编辑：安博涛)