一石击起千层浪 断网背后隐藏的网络安全四宗罪

　　2009年5月19日21时，由于几家网游私服之间的恶性竞争，其中一家以网络攻击的手段向为对方解释域名的DNS服务器DNSPod发动DDOS(分布式拒绝服务)攻击。其本意只想让DNSPod当机，让对手的网游玩家不能访问其游戏服务器。可未曾想到，就是这样的一次网络攻击行为，却再一次验证了蝴蝶效应的理论，最终演变成造成广西、江苏、海南、安徽、甘肃和浙江电信宽带用户网络断网的严重网络安全事件。从而让原本很平常的一天，注定会在网络安全史上写上重重的一笔。

　　这次断网事件的发生，其中带有许多的偶然因素，但是，几个相互有关联的偶然因素同时在一件事中出现时，就会发展成必然因素。

　　在这次断网事件的最初阶段，作为网游私服竞争工具的网络攻击者，可能认为对DNSPod服务器进行DDOS攻击是一件很平常的攻击事件，平常得就像网络之中每天都在发生着的各种DOS(拒绝服务攻击)和DDOS攻击，以及针对WAN主干路由器的路由协议进行的攻击事件。

　　但是，他们选择的是同时为数10万家网站提供域名解释的DNSPod服务器。DNSPod不仅为其攻击的竞争对手提供域名解释任务，还为当前用户数量庞大的暴风影音提供域名解释服务器。

　　于是，当攻击者操控着大量的肉鸡，向DNSPod服务器实施攻击流量超过10G的DDOS攻击时，DNSPod服务器如他们之愿成功当机了。我们都知道DNS服务器就是将www.abcd.com这样的域名解释成1.1.1.1这样的这样的IP地址，从而可以让用户只需输入容易记住的网站域名就可以正常连接它。一旦像DNSPod这样的DNS服务器不能工作了，就不能再为依靠它进行域名解释的所有网站和服务器提供相应的功能了，用户也就不能再通过域名的方式访问相应的网站或服务器了，当然也包括攻击者竞争对手的网游私服服务器和暴风影音的服务器了。

　　原本，这次攻击事件发生到此时就可以宣告结束了，但是，这些攻击者却严重地低估了对DNS服务器实施攻击的后果。

　　从DNS服务的工作机制可以知道，域名服务器通常会设置域名转发等分流功能，这样，当DNS服务器在收到用户提交的域名解释请求时，它首先会在自己的高速缓存中进行查找，如果没有，就进行递归查询，如果仍然没有这条域名解释信息，那么，它就会将它向相邻的DNS服务器进行转发，以便能够让其它DNS服务器完成这条域名解释请求。

　　而在DNSPod服务器服务的名单中，恰巧有号称有2亿多用户的暴风影音。更要紧的是，暴风影音为了自身的经济利益，在没有通知用户的前提下，私自在暴风影音主程序安装包中集成了一个可以自动连接其广告服务器的Stromlive.exe。暴风影音公司集成Stromlive.exe的目的，主要是用来从其后台广告服务器中下载广告到用户的桌面显示，以便能够得到更多的广告收入，另外，它也完成对暴风影音软件进行自动升级更新的任务。

　　也正是由于Stromlive.exe被设定用来完成这两个任务，于是，它每隔很短的时间，就自动向暴风影音的服务器发出连接请求。在其发出连接请求的开始阶段，就会进行相应的域名查询任务，以便能够与其后台服务器建立正确的连接。

　　于是，当DNSPod服务器当机后，Stromlive.exe进行自动连接请求时的域名不能被正常解释，它就会立即将域名解释请求转发至电信相应的DNS服务器上试图依靠它们进行域名解释。

　　这样一来，有2亿多用户的暴风影音，其自带的Stromlive.exe就有可能会同时不断地向电信服务器发送域名解释请求。由于电信服务器本来负荷就高，再加突然增加这么多的域名解释请求流量，也就不可能一时就反应过来。

　　但是，Stromlive.exe程序可不依。电信服务器不能及时响应，Stromlive.exe仍然不断重复地发送域名解释请求给它。并且，流量如此之大的Stromlive.exe域名解释请求，远比此次事件最初阶段攻击者针对DNSPod服务器实施的DDOS攻击流量还要大。

　　于是，电信服务器也就在这样的域名解释洪流下很快被淹没而当机了。因而，上述这些偶然因素也就相互关联叠加之后变成了必然因素，这次攻击事件也由此演变成一次间接的DNS域名解释攻击，从而也就造成了上述6省宽带用户大面积断网的安全事件。

　　现在，虽然实施这次网络攻击事件的原凶已经被抓获，但是，这次发生的造成我国6个省市电信宽带用户大面积断网事件，也同时将当前网络安全现状的四宗罪完全暴露出来。

　　第一宗罪：黑客网络攻击黑色产业链现在是多么严重

　　从这次6省宽带用户大面积断网事件再一次清晰地表露出，一条完整的从发布攻击任务到实施最终攻击活动的黑客网络攻击产业链。

　　在这条黑客网络攻击产业链中，一些网络企业或常规企业，出于对竞争对手进行打击的目的，不惜花重金聘请专业黑客对竞争对手进行相应的网络攻击，从而成为这条产业链中的资金提供者和指使者。

　　而黑客，由于手中掌握有大量肉鸡和攻击工具，而成为这些企业对竞争对手实施打击的最佳攻击工具。

　　黑客们也同时从接授这样的攻击任务中得到继续扩大攻击能力的资金，以及获得满足其生存所必需的金钱。

　　这样，一些企业提供资金发布攻击任务，黑客接受任务实施攻击，然后收钱，一条完整的产业链就此形成。

　　但是，黑客的江湖中也同样充满着竞争，他们都知道，只有自己掌握的肉鸡比别人多，掌握的网络攻击工具的攻击速度和效率比别人高，他才可能接收到更多的攻击任务，从而也就获得更多的金钱。而黑客想要不断地加强他们的攻击能力，同样离不开大量资金的支持。

　　如果黑客自己不知道编写收集肉鸡的工具，就只能向其他黑客购买肉鸡收集工具和网络攻击工具，或者直接向其他黑客购买肉鸡，来满足他们实施相应等级攻击活动的需求。而这些都是需要大量金钱来购买的。

　　实际上，就算黑客自己能够编写肉鸡获取工具和网络攻击工具，由于安全防范技术层出不穷，旧的攻击方法未必会一直有效，因此，他们必需不断地重新开发新的肉鸡抓取工具和网络攻击工具，才能满足攻击时时有效的需求。同样，完成这些工作也需要大量的资金支持的。

　　本来，对进行恶意攻击的黑客是不受人们欢迎的，但是，由于一些企业越来越喜欢使用网络攻击这种恶性竞争的方式来打击竞争对手，也就直接为黑客提供了发展其自身必要的资金。

　　这也是为什么现在网络攻击事件层出不穷，攻击手段花样繁多，对网络攻击进行防范越来越困难的主要原因之一。

　　因此，如果能够通过法律和技术的手段严厉打击某些企业的恶性竞争，就能够减少对黑客的资金支持，也就让他们断了奶，他们的生存和发展也就会受到沉重的打击，网络攻击活动也就会大大减少。另外，如果能够加强安全防范宣传，提高普通网络计算机防范自己成为肉鸡的能力，也就可以大大减少肉鸡的数量，这样也就让黑客没有了攻击工具。没有攻击工具的黑客就算再有技术，也是巧妇难为无米之炊了。

　　第二宗罪：目前的网络产业仍然缺少有效的管制

　　这次断网事件缘起几家网游私服之间的恶性竞争。对于这样的恶性竞争，实际上在目前的互联网海洋中每天都在发生，只不过这次由于一些偶然的因素造成了更加恶劣的后果，才让这几家网游私服之间的事暴露出来。

　　这也就是说，我国现在的互联网产业还缺少更加有效的管制，才造成存在这么多没有官方认可的网游私服的存在。

　　这些私服由于不受官方的管制，他们往往为了自身的经济利益，会使用一些不正当的竞争手段来打击竞争对手，更何况是在我国如日中天的网游产业呢!

　　并且，不是所有的私服都具有攻击对手的能力，他们往往都是通过聘请职业黑客来向对手进行攻击的。

　　于是，一家私服攻击了另外几个竞争对手，这些竞争对手才尝到后果后，反来聘请更多的黑客向其它竞争对手发动更多的攻击。

　　如此一来二往，网络中就充满着大量的攻击活动，而这些攻击活动，不知哪一天会造成像2009年5月19日一样的全国大面积断网事件。

　　因此，建立健全的互联网经营法规，加大非法网络企业的打击力度，建立有效的监督机制，才能从源头上解决此次断网事件再次发生的机率。