根域名服務器(root DNS Servers)會被DDoS打垮麼？

    域名服務做爲互聯網的基礎設施，它的重要性不言而喻。目前全球的十三個根域名服務器和成千上萬的受權域名服務器承擔着超過萬億次的DNS查詢，默默爲全世界的網民作域名解析服務。

    這樣重要的基礎設施，必然是全世界黑客的目標。

    2002年10月21日，全球的十三臺根域名服務遭受了持續將近一個小時的攻擊，這些攻擊形式多樣，主要集中爲：ICMP攻擊、TCP SYN攻擊、fragmented TCP攻擊和UDP攻擊。此次攻擊致使了一些跟域名服務器癱瘓。

    以後全世界的科學家們痛則思痛，對當時的根域名服務作了大量的防禦工做。

    2007年2月6日，黑客們又對根域名服務器發起了幾回瘋狂的攻擊，此時的ROOT DNS SERVERS已經很健壯了，對正常服務沒有形成什麼影響。

    根域名服務器採起了一些什麼樣的措施，使得DDoS攻擊不會形成根域名服務器的全線癱瘓呢？

緣由一：積極的反應

    今天在公司內網看到公司的清洗軟件前段時間抗住了對一個網頁高達6Gbps（每秒6Gbit）的攻擊，最後攻擊者看到沒有效果，只能灰溜溜夾尾巴收工，而咱們的這個頁面呢？用戶訪問感受不到任何異常（順便贊一下咱們優秀的工程師同窗們）。

    俗話說：「道高一尺，魔高一丈」，若是黑客真的優秀，就不會作黑客了。優秀的大型網站不缺乏優秀的工程師，因此也不缺乏優秀的防攻擊預案。當攻擊來的時候，檢測軟件會檢測到網絡異常，並採起相應的清洗策略，把異常的攻擊流量阻擋在正常服務器以外。這樣普通的用戶可能只會感受到一小段時間的訪問緩慢，當清洗開始後，就跟正常訪問無異了。

　　清洗的辦法，經常使用有：1）經過某種統計標準發現異常流量，限制某個IP的查詢次數，或者直接拒絕爲該IP服務；2）攻擊流量會有必定的規律，好比包大小是特定的（好比768字節），則將該大小的包blocked（固然要確保該包大小跟正常請求的包大小不同才能夠用這種策略）。

 

緣由二：十三臺根域名服務器的多樣性

     十三臺根域名服務器均可以解析根域名(.com, .net等)，並且這些根域名服務器由不一樣的組織管理。它們惟一相同的是解析根域名的功能，其它的，好比說硬件環境；使用的域名服務器軟件；安全策略等等都不同，由於攻擊都是有針對性的攻擊，因此這樣又無形中增長了攻擊者的攻擊難度。

 

緣由三：Anycast 

    Anycast可使一組提供DNS解析服務的主機經過一個對外的IP地址標識，這些主機能夠位於不一樣的地址。這樣當對某一個域名服務器的流量增長的時候，經過Anycast咱們能夠將攻擊流量分發到各主機上。如今的根域名服務器都採用了Anycast技術，好比f-root，它後面就有四五十臺主機在服務。

 

緣由四：fat pipes

    根域名服務器都位於全球的骨幹網上，而不是在邊緣網絡中（大家家的寬帶位於邊緣網絡中，大家小區的用戶都在雙十一購物狂歡節的時候一塊兒搶東西，就會以爲巨慢無比:-) ），因此想經過打大流量堵塞根域名服務器的網絡的黑客，你仍是早點洗洗睡吧。

 

緣由五：gTLD(generic Top-Level DNS Server) 域名服務器 和 緩存

    根域名服務器只服務根域名，根域名服務器下面還有gTLD服務器，好比爲全部.com後綴作域名解析的服務器。並且Local DNS會有緩存，在TTL期內不會對相同域名作重複請求。因此用發起DNS請求的方式攻擊根域名服務器的話，基本上是不可能的，由於層層的緩存足以使到達根域名服務器的流量微乎其微。

 

參考資料：

    1，http://en.wikipedia.org/wiki/Distributed_denial_of_service_attacks_on_root_nameservers

    2，http://en.wikipedia.org/wiki/Anycast