美国黑客威胁3月31日使全球网络瘫痪？？？

近日，令世界网络行业闻风丧胆的著名黑客组织Anonymous公开表示，将会在2012年3月31日对全球13个DNS根服务器进行DDoS攻击，通过让根服务器过载的方法来瘫痪全球网络，籍此抗议美国SOPA/PIPA法案，以及对“为一己之力而置世界于饥饿的华尔街银行家资本家”进行抗议。

转播到腾讯微博

anonymous黑客组织

　　Anonymous已经列出了13个DNS根服务器的IP地址，表示要通过切断互联网，让人们无法使用域名解析服务使互联网瘫痪。Anonymous表示他们本意并不是要破坏互联网，只是想要暂时采取这种极端的方法来表达抗议。

　　面对不相信Anonymous可以切断互联网的观点，Anonymous表示他们拥有一个强大的DDoS工具来发起强力的DDoS攻击，让人们了解虽说互联网不能轻易攻破，但是他们完全有信心摧毁某些网站来引起人们对互联网安全的重视。

　　关于SOPA/PIPA法案

　　SOPA/PIPA法案是美国众议院及参议院提出的关于知识产权保护的两个重要法案。其中“SOPA”为《禁止网络盗版法》（Stop Online Piracy Act）的缩写，“PIPA”则是《保护知识产权法案》（Preventing Real Online Threats to Economic Crevativity and Theft of Intellectual Property Act of2011）的缩写。两个法案原意是要阻止有关美国外网站对版权的侵犯，但也引起了部分人的不满。

　　该法案的施行也会拥有全球性的影响，打个比方，华纳兄弟电影公司发现了在意大利某网站上有《黑暗骑士》的种子下载，他们就可以要求谷歌迅速在其搜索引擎中移除这个网站的所有内容，PayPal也会立即停止接受对该网站的一切支付行为，也就意味着此网站离关站不远了。

　　关于“Anonymous”

转播到腾讯微博

anonymous黑客组织

中国114DNS反应

　　Anonymous是一个活跃于网络，关注公民抗命和网络爆红活动的黑客组织。它在2003年诞生于图片论坛4chan。该组织最初由于对科学教网站的攻击而受到关注。在维基解密的泄密事件中，该组织由于支持维基解密，攻击维基解密的“敌人”而成为关注焦点。

　　2012年2月1日，因欧盟支持反仿冒贸易协定（ACTA），国际黑客组织Anonymous开始入侵欧盟多家网站，其中包括欧洲议会（European Parliament）的网站。近日继戏弄FBI（美国联邦调查局）后，该组织又已经攻破CIA（美国中央情报局）网站，Anonymous发布信息称，已窃取阿拉巴马州警方和政府服务器数据，攻击墨西哥参议院和内务部网站，并已暴露墨西哥矿业商会的邮件地址，目的是抗议阿拉巴马州去年制定的House Bill 56移民法。

著名黑客组织威胁将于 3 月 31 日攻击 13 个 DNS 根服务器从而让全球互联网瘫痪，以此抗议美国网络反盗版法案及华尔街银行家。由于该黑客组织曾攻破美国中央情报局、欧洲议会的网站，所以这个攻击威胁引起关注。4 月 1 号是愚人节，不排除这是黑客组织的一个恐怖玩笑，但作为互联网的从业者，114DNS 对此严阵以待。下面的章节主要提供给 ISP 及大中型企业的递归 DNS 维护人员及互联网企业的 NS 维护人员参考，个人用户仅需将 DNS 地址修改为 114.114.114.114 而无需关心下述内容。

从技术上而言，13 个 DNS 根节点如果被攻瘫，递归 DNS 服务器可以比较容易地绕过这个故障并正常完成 DNS 递归工作（从 IANA 能下载到相关的 Hint 文件），从而保证大众能正常上网。我们分析，国际著名的黑客组织不应该这么业余，黑客组织最有可能攻击的方法是以 BotNet 攻击 ISP 的递归 DNS 服务，间接导致 gTLD/ccTLD 节点过载的同时加速 ISP 的递归 DNS 服务瘫痪，达到黑客让全球互联网瘫痪的目的。

114DNS 将尽匹夫之责，协助国人继续上网！下面简单罗列黑客可能攻击的对象，并说明 114DNS 在每种情况下能达到的效果，然后再阐述如何使用 114DNS 应对各种攻击。

A、直接攻击 13 个 DNS 根节点

容易防护。114DNS 的应急根服务器，可以承载 DNS 根节点的绝大部分服务；

B、直接攻击 gTLD/ccTLD 节点

较难防护。114DNS 的应急 gTLD/ccTLD 根服务器，可以承载 gTLD/ccTLD 节点的主要服务，但极少量的服务会受到损伤；

C、直接攻击 ISP 的递归 DNS 服务器

很难防护。以随机域名直接攻击 ISP 的递归 DNS 服务，间接导致 gTLD/ccTLD 节点过载，反过来又加速ISP的递归DNS服务瘫痪。114DNS的智能应急备份中心，可以承载 ISP 递归 DNS 的大部分服务，但有少量的服务会受到损伤；

下面简述如何使用 114DNS 的应急 DNS 服务对付 3 月 31 日潜在的DNS故障。

准备工作

在递归DNS服务器上备份原有的 hint 文件（例如named.root），编辑一个新文件114dns_0331.hint 内容为如下12行：

.	518400 IN NS A-ROOT.114DNS.NET.
.	518400 IN NS B-ROOT.114DNS.NET.
.	518400 IN NS C-ROOT.114DNS.NET.
.	518400 IN NS D-ROOT.114DNS.NET.
.	518400 IN NS E-ROOT.114DNS.NET.
.	518400 IN NS F-ROOT.114DNS.NET.
A-ROOT.114DNS.NET. 3600000 IN A 114.114.118.201
B-ROOT.114DNS.NET. 3600000 IN A 114.114.118.202
C-ROOT.114DNS.NET. 3600000 IN A 114.114.118.203
D-ROOT.114DNS.NET. 3600000 IN A 114.114.118.204
E-ROOT.114DNS.NET. 3600000 IN A 114.114.118.205
F-ROOT.114DNS.NET. 3600000 IN A 114.114.118.206

应急方案一

操作：以 114dns_0331.hint 覆盖原有 hint 文件并重载 named。

效果：能有效应对前述 A、B 两种攻击，绝大部份网络资源可访问如往常，个人用户访问这些网络资源的速度如往常，极少量的网络资源不可访问。

原理：114DNS 具有 6 个应急 root 服务单元和 18 个应急 gTLD/ccTLD 服务单元，可按攻击的不同情况，无损接续现有的 13 个 DNS 根节点及 200 多个 gTLD/ccTLD 服务节点中部分节点或全部节点的工作，从而让 ISP 及企业的递归 DNS 服务器能正常完成 DNS 递归工作。

应急方案二

操作：修改 /etc/named.conf 文件，增加如下配置，然后重载 named。

zone "." {
	type forward;
	forwarders { 114.114.114.114;114.114.115.115; };
};

效果：能有效应对前述 A、B、C 三种攻击，大部分网络资源可以正常访问，但是个人用户访问这些网络资源的速度可能下降，小部分的网络资源不可访问。

原理：114DNS具有28个递归点，对相同域名的解析请求，能根据DNS请求包的IP源地址的不同而给出不同的应答，从而让互联网公司的 CDN 能正常工作。

DNS应急可引发的后果及规避方法

DNS应急处理不当可引发如下后果：（1）DNS应急备份中心所在地区的网络被堵塞，它又反过来影响DNS应急备份中心提供正常服务；（2）大中型互联网公司的CDN调度严重受损，造成大部分网络资源无法访问。如果DNS应急备份中心仅在同一个地点做DNS递归，则大部分CDN公司的域名都被解析到该地（或邻近该地）的IP地址段，导致该地骨干网流量暴涨、CDN公司的服务器过载，而其他地区却没有流量。因而DNS应急备份系统的基本要求，就是在多个地区具备辅助DNS递归点、备份中心能按DNS请求的源IP进行不同的应答。114DNS目前在国内有28个DNS递归点，但是国内大型互联网公司的分区高于28个，因而会对其CDN调度造成一定的损伤，但可以肯定的是：仅有1个递归点的DNS应急备份方案是不可用的。

其他说明

1. 上述DNS应急方案的有效性，仅在BIND 9上测试过；

2. 由于一些不可控的原因，114DNS暂时仅能保证在AS4134、AS4837及其信任联盟范围内的递归DNS应急有效；

3. 114DNS会尽最大的努力尝试让国内互联网正常运转，但DNS乃互联网基石，该基石如受损我们无法确保每个互联网企业和个人用户不受丝毫影响；

4. 无论是方案一还是方案二，114DNS都有严格的限流策略，事先发邮件到dnsadmin#114dns.com（#换成@）注明你的递归DNS服务器的服务IP地址、递归用IP地址、单位、姓名和联系电话，可确保DNS应急功能正常。

114DNS已投入大量的精力应对3月31日潜在的DNS故障，相关的应急方案已被基础电信运营商所采纳。由于内存资源的限制，114DNS无法将全球几亿个域名的NS记录都注入到114DNS的应急单元，信风已通过程序自动将排名在前300万的域名的NS记录注入到114DNS的应急单元。为保证3月31的DNS应急行之有效，信风将对部分访问量较大的站点做人工测试，必要时会与其NS维护人员做EMAIL或电话勾通。互联网企业也可直接发邮件到dnsadmin#114dns.com，注明企业的所有域名（域名本身而非DNS记录）以确保它们都被注入到114DNS的应急单元。欢迎DNS业内的同行专家提出更好的建议，共同渡过3月31日这一潜在的网络难关。

注：本文来自网络新闻