网络，是可以瘫痪的？！是的，就在不久前的年10月21日，黑客利用网络摄像机等设备袭击了一些知名的国际网站，造成了“半个美国”的网络瘫痪事件！

这些黑客袭击了位于美国新罕布什尔州的一家名为Dyn的互联网站交换中心（Dyn为互联网站提供基础设施服务，客户包括推特、Paypal、Spotify等知名公司。）发生在当天的断断续续的黑客攻击位置来源非常广，导致新闻博客Mashable、CNN、纽约时报、华尔街日报、评论网站Yelp以及亚马逊等网站用户无法登陆。

Dyn遭受恶意软件侵袭后，导致数十家网站宕机，两个半小时后之后，才开始陆续恢复。据了解，造成此次大规模网络宕机事件的原因可能是大量的物联网设备——包括联网的摄像头和数字录像机遭到黑客劫持而被利用。

据调查，在这起导致美国大面积网络瘫痪的事件中，黑客们使用了一种被称作“物联网破坏者”的Mirai病毒来进行肉鸡搜索。更为致命的是，Mirai病毒的源代码在9月的时候被开发者公布，致使大量黑客对这个病毒进行了升级，其传染性、危害性比前代更高。

Mirai病毒是一种通过互联网搜索物联网设备的一种病毒，当它扫描到一个物联网设备（比如网络摄像头、智能开关等）后就尝试使用默认密码进行登陆（Mirai病毒自带60个通用密码），一旦登陆成功，这台物联网设备就进入“肉鸡”名单，开始被黑客操控攻击其他网络设备。

不过，根据国外网站KerbsonSecurity的调查，导致大规模断网事件的原因绝非我们想象的那么简单，其背后暴露出的便是物联网设备的重大安全隐患。目前，万物互联已成为趋势，如何更好地守护安全是物联网时代下的难题。

事实上，类似这样的网络瘫痪事件，人类并非是头一回遇到，也肯定不会是最后一次……

本期《雨言》，来回顾一下潜伏在我们身边的——网络瘫痪！?

戳下方绿色伞标，收听音频：

延伸阅读……

年12月24日，阿里云计算发表声明称：12月20日-21日，部署在阿里云上的一家知名游戏公司，遭遇了全球互联网史上最大的一次DDoS攻击。阿里云还称，第一波DDoS攻击从12月20日19点左右开始，一直持续到21日凌晨，第二天黑客又再次组织大规模攻击，共持续了14个小时，攻击峰值流量达到每秒.8G。

年，凯文·米特尼克因被发现使用一台大学里的电脑擅自进入今日互联网的前身ARPA网，并通过该网进入了美国五角大楼的电脑，而被判在加州的青年管教所管教6个月。

年，凯文·米特尼克被执法当局逮捕，原因是：DEC指控他从公司网络上盗取了价值万美元的软件，并造成了万美元损失。

年，来自俄罗斯的黑客“弗拉季米尔·列宁”在互联网上上演了精彩的偷天换日，他是历史上第一个通过入侵银行电脑系统来获利的黑客，年，他侵入美国花旗银行并盗走一千万元，之后，他把账户里的钱转移至美国、芬兰、荷兰、德国、爱尔兰等地。

年，梅利莎病毒使世界上多家公司的电脑系统崩溃，该病毒造成的损失接近4亿美金，它是首个具有全球破坏力的病毒，该病毒的编写者戴维·史密斯在编写此病毒时仅30岁。戴维·史密斯被判处5年徒刑。

年，年仅15岁，绰号黑手党男孩的黑客在年2月6日到2月14日情人节期间成功侵入包括雅虎、eBay和Amazon在内的大型网站服务器，他成功阻止服务器向用户提供服务，他于当年被捕。

年，中美撞机事件发生后，中美黑客之间发生的网络大战愈演愈烈。自4月4日以来，美国黑客组织PoizonBox不断袭击中国网站。对此，我国的网络安全人员积极防备美方黑客的攻击。中国一些黑客组织则在“五一”期间打响了“黑客反击战”。

年，英国著名黑客加里·麦金农伦被指控侵入美国军方90多个电脑系统，造成约万美元损失，美方称此案为史上“最大规模入侵军方网络事件”。年英法院裁定准许美方引渡麦金农。

年，俄罗斯黑客成功劫持WindowsUpdate下载服务器。

年，一个全球性的黑客组织，利用ATM欺诈程序在一夜之间从世界49个城市的银行中盗走了万美元。最关键的是，目前FBI还没破案，甚至据说连一个嫌疑人还没找到。

年，7月7日，韩国总统府、国会、国情院和国防部等国家机关，以及金融界、媒体和防火墙企业网站遭到黑客的攻击。9日韩国国家情报院和国民银行网站无法被访问。韩国国会、国防部、外交通商部等机构的网站一度无法打开。这是韩国遭遇的有史以来最强的一次黑客攻击。

年1月21日，中国国内通用顶级域的根服务器忽然出现异常，导致中国众多知名网站出现大面积DNS解析故障，这一次事故影响到了国内绝大多数DNS服务器，近三分之二的DNS服务器瘫痪，时间持续数小时之久。事故发生期间，超过85%的用户遭遇了DNS故障，导致网速变慢和打不开网站的情况，部分地区用户甚至出现断网现象。

年11月22日，美国索尼影视娱乐公司受到自称“和平卫士”的黑客组织黑客攻击，导致公司系统被迫关闭。这是安全声誉欠佳的索尼继一连串针对其PlayStation(PS)网络的攻击后，受到的又一次沉重打击。此次攻击造成包括索尼员工信息、公司计划、产品情况、索尼高层往来邮件、名人电子邮件在内的内部敏感详细信息泄露，还有索尼影视未发布的几部影片都被公布到网上供网民下载。但最为恐怖的一点是，黑客此次使用到了一种可以删除服务器数据的超级病毒，这一病毒的爆发甚至将可以瘫痪掉整个索尼公司网络。

?部分图文内容选自：人民网/环球网/搜狐网/澎湃新闻/网易/天涯/人才网

?本期《雨言》音频节目尾歌：《WhenIwasyounger》-LizLawrence

以下文字，摘选自C中国通信网?

作者：域名工程中心总工程师王伟博士

文章的重点并不在分析物联网设备安全问题，而是想回到DNS协议和服务的安全性本身。回顾上述种种安全事件，我们会发现，关于DNS安全，有几个绕不过去的关键问题：

1）互联网30年的发展日新月异，作为最核心最基础的支撑服务之一，DNS在互联网体系中的关键地位一直没有变化；但针对抗攻击问题，除了在工程层面加大DNS节点数量和服务规模，DNS协议层面其实也没有大的改进。

2）DNS的基础性和全局性，注定了对DNS的攻击可以达到以点制面、击一发而动全身的效果，具有投资小、见效快的优点，几乎每次DNS运行故障或攻击得手，都能引发区域性、甚至全球性互联网社群的哀鸿。通过攻击DNS来曲线攻击实际目标也成为黑客们青睐的居家旅行必备良药。

3）摩尔定律、库茨维尔定律和尼尔森定律使得发动DDoS规模攻击的成本越来越低，与DNS关键地位不相衬的是，在DDoS攻击规模几何级增长的对比下，DNS系统算数级增长的处理能力杯水车薪，任何一家DNS运行机构仅依靠自身的能力都力不从心。

面对这些结构性问题，作为DNS行业的从业者，不可局限于单纯依靠加大资源投入加强工程建设的解决思路，更需要从协议原理入手深入思考DNS的业务逻辑和软件实现。事实上，DNS协议自身已包含了分布式抗攻击的设计思路。DNS体系包括两部分，权威服务系统和递归服务系统，权威服务系统负责源数据（域名到IP的映射）的管理，递归服务系统负责面向终端用户提供查询服务，递归服务系统从权威服务系统获取数据并缓存在本地，因此，递归服务系统也叫作缓存服务系统。如此，权威服务系统并不需要向全球用户提供域名查询服务，大量的终端查询应该由本地的递归服务系统解决。DYN就是一家提供权威域名服务的公司。

粗一看，这就是一个DNS版本的CDN（内容分发网络ContentDeliveryNetwork），实现了源站和服务站的分离，理论上，在这种模型架构下，来自终端（PC、手机、物联网设备）的访问流量不应到达权威服务器，DDoS攻击流量也应该在本地电信运营商的递归服务层面被消解掉，无法造成全网影响。但在细节设计上，DNS相较CDN有几点差异，使得这种看上去很完美的可能性无法达成：

1）不屏蔽权威源站

转载请注明:http://www.vogkx.com//mjccjc/1080188.html