关于 cn 域名根服务器宕机的想法

V2EX = way to explore

V2EX 是一个关于分享和探索的地方

现在注册

已注册用户请登录

DNS 参考资料

› List of DNS Record Types

› dig 使用说明

› djbdns

› DNS Parameters

› dnslib for Python

这是一个创建于 4088 天前的主题，其中的信息可能已经有所发展或是发生改变。

我是来扯淡的。
为什么 cn 不公布具体 ddos 攻击流量大小，只是说是经历过的最大的拒绝服务攻击。
其次攻击时间是在北京时间0点左右，如果是攻击者攻击的话为何要选在深夜？攻击者很明显想扰乱 cn 域名正常解析服务，而选在凌晨造成的效果应该是最低的。莫非攻击者不知道时差问题。
cn 域名根服务器超过7台，要想使它们全部瘫痪，绝对不是个人能做到的，即使是团队也很难办到。要知道这些服务器都拥有超过G口数十倍的带宽。而报道中只有类似于百年不遇，对攻击者表示谴责之类的语句，对攻击的详细情况却没有涉及。
为什么会这样？

攻击者

攻击

35 条回复 • 1970-01-01 08:00:00 +08:00

chairuosen

2013-08-26 18:16:34 +08:00

你是说，临时工升级系统搞砸了？

vibbow

2013-08-26 18:17:11 +08:00

拒绝服务并不是非得用流量来耗的。

比如说发现了某种漏洞，可以以较低的成本消耗服务器大量的CPU/内存，也算是拒绝服务攻击的。

nazor

2013-08-26 18:18:45 +08:00 via Android

@chairuosen 不敢说是什么情况，但应该不仅仅是攻击这么简单。

582033

2013-08-26 18:18:57 +08:00

我也认为有这种可能,什么样的DDOS连他们都撑不住？难道有春节时12306网的N倍不成？

nazor

2013-08-26 18:20:21 +08:00 via Android

@vibbow 不错，不过官方报道是说的流量攻击。

scusjs

2013-08-26 18:22:01 +08:00

@chairuosen 神解释，也是有关部门最合理的解释啊

nazor

2013-08-26 18:25:36 +08:00 via Android

@582033 上次那个超过 300Gbps 的攻击使欧美部分地区的网络都受到影响，这次攻击除了.cn 解析受影响，为什么没有别的影响？

vibbow

2013-08-26 18:41:14 +08:00

@nazor 官方报道哪里说是流量攻击了？
http://www.cnnic.net.cn/gywm/xwzx/xwzxtzgg/201308/t20130825_41322.htm

anheiyouxia

2013-08-26 18:53:59 +08:00

DNSPod奶罩的说法：

http://weibo.com/1639105155/A6moulNyC#_rnd1377514281916

关于这次.CN被攻击，我这边综合整理了下，攻击哪个域名、攻击方式、来源等，都差不多搞清楚了。老规矩，被打的是一个用了.CN域名的私服。不过某些业内公司的做法，实在让我心寒，你们NB去，我不掺和了。另外不得不说，政府真该重视这方面的问题了，因为，太脆弱了，脆弱得让我不敢相信（本微个人立场）

anheiyouxia

2013-08-26 18:58:55 +08:00

结合上面的内容，感觉就是因为根服一些不合理的因素导致攻击效果被放大的~~~

nazor

2013-08-26 19:22:06 +08:00 via Android

@vibbow 最大规模。

alay9999

2013-08-26 19:26:39 +08:00

反正我也注册不上CN，反正我也不会注册CN。

就酱紫吧

zhttty

2013-08-26 20:20:57 +08:00

@alay9999 我只想说，cn域名是全球最没意思的域名之一...cn域名除了拿来商业赚钱，没其它什么价值了。

vibbow

2013-08-26 20:22:49 +08:00

@nazor DDOS != 流量攻击

Winny

2013-08-26 20:26:52 +08:00

既然说明了是“拒绝服务攻击”，那就不是简单的靠流量带宽

jasontse

2013-08-26 20:35:40 +08:00 via iPad

最搞笑的是官网连续SLA100%的时间继续在走

SharkIng

2013-08-26 23:32:21 +08:00

打击一个私服的单个.CN域名就能造成全面积瘫痪？这样太不堪一击了吧？？

vibbow

2013-08-26 23:55:57 +08:00

@SharkIng 哪里说是私服导致的了？

VYSE

2013-08-27 02:48:49 +08:00

@jasontse 所以不能回应此事，就当是其他DNS服务商的问题就好了

SharkIng

2013-08-27 03:48:02 +08:00

@vibbow 请仔细读本页的回复，或者，请看9楼

nazor

2013-08-27 08:15:46 +08:00

@SharkIng 应该不是这么简单的，据说采用了 dns 流量放大的技术。

jianghu52

2013-08-27 08:29:15 +08:00

虽然是7台根服务器，但是不表示就能承受7倍的攻击。要知道如果7太服务器都是满负荷的那种工作的话，一台挂了，其他六台没有冗余支撑的话，会挂的飞快的。

Keyes

2013-08-27 09:25:06 +08:00

@vibbow 奶罩微博说的，网上的报道已经变成新华社通稿，所有站内容都一样的

vibbow

2013-08-27 14:01:08 +08:00

@SharkIng
@Keyes
目前我个人不相信这个说法。
或许和上次一样，私服攻击只是诱因而已，真正的罪魁祸首实际上是暴风影音。
等最终的调查结果出来，替罪羊被抓到了再说吧。

Ansen

2013-08-27 14:25:14 +08:00

系统在升级
你懂的

Keyes

2013-08-27 16:36:16 +08:00

@vibbow 当年确实是暴风影音引起的，这次虽说奶罩也是这个意思，不过我也不是很相信，最后的结果相信会让我觉得1+1=3成立也说不准。但我比较在意的是新华社通稿和各大财经网站的利好消息通稿，这水看来并不是很浅

moro

2013-08-27 23:17:12 +08:00

长城升级，你们想多了。

fucker

2013-08-29 02:50:40 +08:00

DDOS，分布式拒绝服务攻击，一般指的是很多机器同事发送巨量请求/数据以消耗目标服务器CPU和内存/带宽的攻击方法。DOS，拒绝服务攻击，并不需要太多的机器，一般由某个系统漏洞触发。
很明显，cn根域名服务器在面对DDOS的时候，一般的情况也只是挠痒痒而已。有性趣的同学可以计算一下具体需要多少机器多少流量能够致使cn域名服务器带宽耗尽。我觉得这种可能性不大。而DOS呢，一般这样的服务器安全性都极强，解析域名只开53端口，而近期没有公开的53端口拒绝服务漏洞，当然也有可能的确存在某漏洞，且掌握在少数人手中，并未公开，那么这个可能性稍大。
我个人觉得，排除官方人员操作失误的情况，那么就是路由被打瘫了。路由在安全界最近也是比较火的一个话题，可以考虑一下这方面的因素。国外一些牛X黑阔手上的确掌握了一些路由的绝密级漏洞。我个人觉得这个可能性是最大的。

fucker

2013-08-29 02:56:15 +08:00

刚仔细看了下楼上的回复，我又猜测到一种可能性。如果是负载均衡系统出了故障，那么打掉一台服务器，其他的服务器也就跟着嗝屁了，这是必然的。那么DDOS的可能性也是比较大的，但是技术难度较高。

snip

2013-08-29 11:43:51 +08:00

@fucker 我觉得还是系统太脆弱了，比如12306.cn

csx163

2013-08-29 12:00:19 +08:00

那天很惨,,,好在是凌晨,是任何网站都不能正常打开哦,并不仅仅是cn的

fucker

2013-08-29 15:38:28 +08:00

@snip 12306本来就是开发的时候遗留的问题太多，我觉得像那样的部门有的是钱，服务器配置，带宽，分流都不会差，差的是那套程序的源代码。

nazor

2013-08-29 18:59:37 +08:00 via Android

@csx163 所有网站都不能访问？怎么会？

naizhao

2013-09-03 10:09:50 +08:00

看了下，大家的猜测都不对。

xiaket

2013-09-03 10:33:39 +08:00

@naizhao 奶罩大人给个稍详细点儿的分析呢~ 你微博上说得太少了哇~