菜鸟贴:IP地址与DNS之殇

10月21日,美国发生了史上最为严重的DDos攻击事件,导致用户无法访问Twitter、CNN、Spotify、Github、Reddit、Airbnb、PayPal、Netflix、Yelp、亚马逊云等大量知名网站和应用。

这并非是Twitter等网站直接受到了攻击,也并非美国的骨干网堵塞,而是这些网站都使用了一家叫Dyn的DNS服务商,后者遭受了DDos攻击,波及其客户。

DNS是什么?

每一台接入互联网的设备,包括网站的服务器,我们用的电脑、手机,将来的智能电冰箱等,都需要有一个唯一的IP地址,这样才能连网并进行信息交换。根据IP协议和二进制换算,IP地址由4段数字组成,每一段最大不能超过255,比如 222.33.44.5。后来连网的设备越来越多,IP地址不够用,有的设备在连网的时候,才分配一个地址给它,断网后就将地址分配给别的设备,这叫动态IP。另外,多数的家庭和办公室,都是先组建自己的局域网,然后再通过同一个路由接入互联网。从外部来看,IP都是同一个,局域网内的各个设备,再分别设置由192或者10或者172开头的内网预留IP地址。再后来,干脆搞了个IPV6,将IP地址扩展成6段表述,而且改成为十六进制,号称数量足够为地球上每一粒沙子配备一个IPV6地址。

理论上,我们只需要知道各个网站的IP地址,就能访问了。但IPV4一串数字实在太难记了,IPV6更是超出人类极限。于是有了易记的域名,类如xueqiu.com。用户敲下这网址后,互联网上有专门的服务,帮你把这转换成对应的IP地址。提供域名和IP地址转换的,就是DNS解释服务商。大家平时上网,并不会感觉到他们的存在,一旦出事,都是大灾难。正如这次的DNS服务商Dyn被DDos攻击,导致其承担的Twitter等域名解释工作瘫痪,影响半个美国用户的访问这些网站。2009年的“5·19事件”,更为严重,半个中国的互联网瘫痪。起因是一家DNS服务商DNSPod遭受攻击,导致暴风影音的域名无法解释,由于暴风影音客户端装机量太大,而且同时向本地电信网络发出DNS解释请求,直接导致电信的DNS解释瘫痪,用户所有需要通过域名进行的服务,都被中断,沿海省市,几乎无一幸免。

DNS与IP地址对应关系谁来决定?

首先,是域名的所有者(管理者),在自己的DNS服务商里,设置好对应关系。然后DNS服务商,将这个信息,广播到全世界所有的DNS服务器,让它们更新信息。全世界无数的DNS服务器,如果信息不一致,以谁的为准?13台根服务器(背后是几百台机器),是全球最高层级的DNS服务器,然后是各个国家(及其授权)的域名解释结构,再下一级是商业域名服务商。理论上所有的域名解释,都需要通过最高层级的跟服务器或者由其指定。那也就意味着,如果这13台根服务器被攻击,全世界的网络都可能会瘫痪。

我们电脑等设备连接互联网时,也可以指定由哪个DNS服务器进行解释,但绝大多数人并不会做此操作,那么路由或者你的网络接入商会自动帮你分配。如果你的路由或者接入商那里被做了手脚,就有可能将A站错误地解释到B站去,这就是DNS劫持,这方法经常被网络接入商用来谋利。另外,一些服务器,被安放在主要的互联网出口,伪装成DNS服务器,然后对预设的网址,作出错误解释,这是DNS污染,被用来屏蔽特定的网站和内容......(此处3000字被屏蔽) (艾美谷 梁剑)

相关:菜鸟贴:DDoS攻击的原理和防范

·  已收录至专栏  ·
梁剑的原创专栏
106篇文章, 91821人关注
进入专栏