一個域名引起的血案……

歡迎你們前往騰訊雲+社區，獲取更多騰訊海量技術實踐乾貨哦~

本文由騰訊遊戲雲 發表於雲+社區專欄

你在沙發上看世界盃，黑客在作什麼？

深夜，當電視機屏幕上那個小小的足球牽動着億萬人的心絃時，猜一猜黑客在作什麼？

黑客也沒閒着。

6月29日凌晨，無數球迷正放下小龍蝦、握緊啤酒杯，屏氣凝神觀看三獅軍團英格蘭鏖戰歐洲紅魔比利時。

就在這時，爲成千上萬用戶提供域名解析服務的騰訊雲DNSPOD業務正在遭受超大流量DDoS攻擊，所幸，騰訊雲新一代高防系統成功防護。

首先咱們須要明白的是，域名解析是個什麼鬼？

域名解析，簡單來講，就是將某個著名地標轉換成實際地址，例如，提及「大褲衩」，域名解析以後就是「北京市朝陽區東三環中路32號」。再舉個栗子，好比網民們要訪問騰訊網看新聞，只要記住www.qq.com並在瀏覽器中輕輕鍵入這個地址，而後域名解析就會把www.qq.com轉換成騰訊網的服務器的IP地址。很明顯，www.qq.com比一堆數字組合成的IP地址好記不少，網友負責記住「qq.com」，域名解析負責來處理「qq.com」背後的一長串IP地址。

一旦域名解析系統出問題，大量的網絡請求就會不知道本身的歸宿，整個網絡世界就會陷入混亂。

2016年10月21日，美國域名解析服務商DYN遭受高達800G的大流量DDoS攻擊，致使半個美國斷網，包括Amazon, Twitter, Github, Spotify, Netflix, Etsy, Reddit在內的一大批知名站點都跪了，都跪了，跪了，了。

而本次針對騰訊雲DNSPOD系統的攻擊，峯值達到了560G，是16年那次引起半個美國斷網的攻擊峯值的7成，攻擊整整持續了近6個小時。依託於騰訊雲新一代高防系統的高達上T的強大防禦能力，整個防禦過程波瀾不驚。

誰該爲此次事件負責？

本次攻擊，黑客綜合使用了包括DNS反射，ICMP大包攻擊，UDP分片攻擊，ICMP分片攻擊，SYN小包攻擊等在內的多種攻擊手法，而捕獲的攻擊流量來源多達148個國家，也就是全球超過2/3的國家的IP參與了本次攻擊，94%的IP來自中國之外的國家，簡直就是發生在cyber空間的世界大戰。

更爲有趣的是，對捕獲的攻擊源的屬性進行分析後發現，94%的攻擊源以後竟然是臺路由器！！！

是的，你沒有看錯，是路由器。

經過分析，發現本次攻擊是由臭名昭著的"Hajime "僵屍網絡發起。具體說來，部分搭載了某東歐國家的出產的普遍用於中小企業網絡的路由器操做系統「Mikrotik RouterOS」，由於遠程執行漏洞或者弱口令的緣故，成爲了"Hajime "僵屍網絡的一部分。在今年3月，radware就曾報道，捕獲到1起該僵屍網絡發起的DDoS攻擊。

黑客的當心思

本次攻擊，黑客的主要目的就是經過構造大量攻擊流量，形成機房網絡擁塞，達到讓正經常使用戶沒法訪問的目的。其中的DNS反射手法，放大效率高達50倍，看似簡單粗暴，其實黑客也動了很多當心思。

本次攻擊中，幾乎全部的DNS反射攻擊報文，都是針對db.org這個域名的應答報文。全球可用的域名數以億計，爲什麼黑客對這個域名如此鍾愛？

在db.org的主頁上，能夠看到這個域名開價2萬5千歐元。而根據360 Netlab的數據，在全部被濫用於DDoS反射攻擊的域名裏，db.org這個域名排名第四。並且，近期的活躍程度在持續增長，估計不久的未來，成爲第一也不必定。估計那時候，這個域名的售價，或許就不止2萬5千歐元了。

後記

正在騰訊雲新一代高防解決方案團隊分析數據的時候，收到一個客戶的求助電話。他的一臺服務器被人黑了對外發起DDoS攻擊，而以前都是被人黑了種挖礦木馬的。就是這樣一通電話，讓騰訊雲新一代高防解決方案團隊發現了一個驚天祕密。

比特幣自今年年初以來，長期處於下跌通道。大量本來被用來挖礦的肉雞，由於挖礦變得無利可圖，開始跨界流動到DDoS攻擊者手中，成爲發起攻擊的利器。騰訊雲新一代高防解決方案團隊願意爲廣大互聯網企業提供高性能，大帶寬，高可靠性的抗DDoS服務，共同對抗DDoS攻擊這一網絡安全毒瘤。

問答

怎麼換域名？

相關閱讀

實時語音趣味變聲，大叔變聲「妙音娘子」Get一下

你的nginx訪問過慢？增長個模塊吧！

給你的CVM安裝一個面板吧！

此文已由做者受權騰訊雲+社區發佈，原文連接：https://cloud.tencent.com/developer/article/1165485?fromSource=waitui

歡迎你們前往騰訊雲+社區或關注雲加社區微信公衆號（QcloudCommunity），第一時間獲取更多海量技術實踐乾貨哦~

海量技術實踐經驗，盡在雲加社區！