https://feige301.com/zh-cn/categories/incident-analysis/Recent content in Incident Analysis on 飞鸽跳转Hugozh-CNTue, 16 Dec 2025 04:41:27 +0800https://feige301.com/zh-cn/posts/2025/dyn-ddos-attack-postmortem-dns-high-availability.htmlTue, 16 Dec 2025 04:41:27 +0800https://feige301.com/zh-cn/posts/2025/dyn-ddos-attack-postmortem-dns-high-availability.html<p>互联网让我们每天都在享受着网络带来的便利，但很少有人会去思考支撑这一切的底层逻辑。域名系统（DNS）就是这套底层逻辑中至关重要的一环，它就像互联网的“电话本”，负责将我们易于记忆的域名（如<code>example.com</code>）翻译成机器可识别的IP地址（如<code>192.0.2.1</code>）。没有它，互联网将寸步难行。</p> <p>然而，当这个“电话本”本身遭到毁灭性打击时，会发生什么？2016年10月21日，全球互联网经历了一场史无前例的震荡，一家名为Dyn的域名解析服务提供商遭遇了大规模分布式拒绝服务（DDoS）攻击，导致Twitter、Netflix、Spotify、Amazon等众多知名网站在全球范围内陷入瘫痪。这次事件，如同一次响亮的警钟，再次敲醒了我们对DNS系统高可用性与分布式架构重要性的认知。</p> <p>对于网站管理员、运维人员和开发者而言，这次事件不仅仅是新闻，更是血淋淋的教训。它揭示了即使是看似坚不可摧的互联网巨头，也可能因为核心基础设施的脆弱性而瞬间崩溃。这不禁引出一个核心痛点：在日益复杂的网络环境中，如何确保我们的网站在面对DDoS攻击、区域性网络封锁、ISP劫持、域名污染等挑战时，依然能够稳定、高效地触达用户？答案，或许就藏在对分布式解析架构的深入理解与应用之中。</p> <h3 id="一-dns的基石作用与潜在风险"> 一、 DNS的基石作用与潜在风险 <a class="anchor" href="#%e4%b8%80-dns%e7%9a%84%e5%9f%ba%e7%9f%b3%e4%bd%9c%e7%94%a8%e4%b8%8e%e6%bd%9c%e5%9c%a8%e9%a3%8e%e9%99%a9">#</a> </h3> <p>在深入复盘Dyn攻击之前，我们有必要先简单回顾一下DNS的工作原理。当我们输入一个域名时，计算机会首先查询本地缓存，如果找不到，就会向递归DNS服务器（通常由ISP提供或公共DNS如Google DNS）发起查询。递归DNS服务器会层层向上，从根域名服务器、顶级域名服务器，最终找到负责该域名的权威DNS服务器，获取对应的IP地址，并将结果返回给用户。</p> <p><strong>权威DNS服务器</strong>，顾名思义，是某个域名“真正的主人”，它存储着该域名的所有解析记录。而Dyn，就是全球最大的权威DNS服务提供商之一，为大量顶级网站提供服务。这意味着，一旦Dyn的权威DNS服务器出现问题，这些网站的域名就无法被解析成IP地址，用户自然也就无法访问。</p> <p>这种中心化的依赖性，正是DNS系统面临的最大潜在风险之一。如果一个关键的权威DNS服务提供商成为攻击目标，其影响将是灾难性的。</p> <h3 id="二-2016年dyn-ddos攻击一场由物联网僵尸网络主导的浩劫"> 二、 2016年Dyn DDoS攻击：一场由物联网僵尸网络主导的浩劫 <a class="anchor" href="#%e4%ba%8c-2016%e5%b9%b4dyn-ddos%e6%94%bb%e5%87%bb%e4%b8%80%e5%9c%ba%e7%94%b1%e7%89%a9%e8%81%94%e7%bd%91%e5%83%b5%e5%b0%b8%e7%bd%91%e7%bb%9c%e4%b8%bb%e5%af%bc%e7%9a%84%e6%b5%a9%e5%8a%ab">#</a> </h3> <p>2016年10月21日，北京时间下午7点左右，针对Dyn的攻击悄然开始。这是一次精心策划、规模空前的分布式拒绝服务（DDoS）攻击，其核心武器是一个名为“Mirai”的僵尸网络。</p> <h4 id="1-mirai僵尸网络物联网设备的黑化军团"> 1. Mirai僵尸网络：物联网设备的“黑化”军团 <a class="anchor" href="#1-mirai%e5%83%b5%e5%b0%b8%e7%bd%91%e7%bb%9c%e7%89%a9%e8%81%94%e7%bd%91%e8%ae%be%e5%a4%87%e7%9a%84%e9%bb%91%e5%8c%96%e5%86%9b%e5%9b%a2">#</a> </h4> <p>Mirai（日语意为“未来”）是一种恶意软件，专门感染易受攻击的物联网（IoT）设备，如网络摄像头、数字录像机（DVR）、路由器等。这些设备通常使用默认的、弱密码，或者存在未修补的漏洞，使得Mirai能够轻松入侵。一旦设备被感染，它就成为了Mirai僵尸网络的一部分，听从攻击者的指令，随时准备发起大规模攻击。</p> <p><strong>技术原理剖析：</strong></p> <ul> <li><strong>扫描与感染：</strong> Mirai通过扫描互联网上开放的Telnet端口（23），尝试使用一个包含数十个常见默认用户名和密码的字典进行暴力破解。一旦成功登录，它就会下载并执行恶意载荷，将设备转化为“僵尸”。</li> <li><strong>指令与控制（C2）：</strong> 被感染的设备会连接到一个或多个C2服务器，等待攻击指令。这些C2服务器是攻击者与僵尸网络之间的通信枢纽。</li> <li><strong>DDoS攻击能力：</strong> Mirai僵尸网络能够生成多种类型的DDoS攻击流量，包括SYN Flood、UDP Flood、HTTP Flood等。其最可怕之处在于，它利用了全球数百万台物联网设备，汇聚成一股难以想象的巨大流量洪流。单个设备的带宽可能微不足道，但当数百万设备同时发起攻击时，其产生的流量足以压垮任何目标。</li> </ul> <h4 id="2-攻击过程与技术细节"> 2. 攻击过程与技术细节 <a class="anchor" href="#2-%e6%94%bb%e5%87%bb%e8%bf%87%e7%a8%8b%e4%b8%8e%e6%8a%80%e6%9c%af%e7%bb%86%e8%8a%82">#</a> </h4> <p>针对Dyn的DDoS攻击主要分为三波，持续了数小时，并主要集中在Dyn的DNS基础设施上。</p> <ul> <li><strong>攻击目标：</strong> 攻击者并非直接攻击Twitter或Netflix的服务器，而是精准地瞄准了Dyn的权威DNS服务器。</li> <li><strong>攻击手法：</strong> Mirai僵尸网络向Dyn的DNS服务器发送了海量的DNS查询请求（UDP Flood），这些请求看起来是合法的，但数量之大，远远超出了Dyn的处理能力。想象一下，一个电话总机突然在同一时间收到了数亿个电话请求，即使每个请求本身是合法的，总机也无法及时响应，最终导致瘫痪。</li> <li><strong>资源耗尽：</strong> 大量的查询请求迅速耗尽了Dyn DNS服务器的带宽、CPU和内存资源。服务器忙于处理这些虚假请求，导致无法响应正常的、合法的DNS查询。</li> <li><strong>递归解析器受影响：</strong> 当全球各地的递归DNS服务器（如ISP的DNS服务器、Google DNS等）尝试向Dyn查询域名时，它们无法获得响应，或者响应超时。由于递归解析器通常有缓存机制和重试策略，当它们持续无法从权威服务器获取解析结果时，最终会导致用户端的域名解析失败。</li> </ul> <h4 id="3-攻击影响全球互联网的半身不遂"> 3. 攻击影响：全球互联网的“半身不遂” <a class="anchor" href="#3-%e6%94%bb%e5%87%bb%e5%bd%b1%e5%93%8d%e5%85%a8%e7%90%83%e4%ba%92%e8%81%94%e7%bd%91%e7%9a%84%e5%8d%8a%e8%ba%ab%e4%b8%8d%e9%81%82">#</a> </h4> <p>Dyn的瘫痪直接导致了大量依赖其DNS服务的网站无法访问。受影响的网站名单几乎涵盖了当时互联网的半壁江山：</p> <ul> <li><strong>社交媒体：</strong> Twitter、Reddit</li> <li><strong>流媒体：</strong> Netflix、Spotify、HBO Now</li> <li><strong>电商与金融：</strong> Amazon、PayPal、Etsy</li> <li><strong>新闻与媒体：</strong> CNN、The New York Times</li> <li><strong>游戏：</strong> PlayStation Network、Xbox Live</li> <li><strong>其他：</strong> GitHub、SoundCloud、Heroku、PagerDuty等</li> </ul> <p>这些服务的长时间中断，给企业带来了巨大的经济损失，用户体验遭受严重打击，也引发了公众对互联网基础设施安全性的广泛担忧。</p>