AnycastvsDDoS-EvaluatingtheNovember2015RootDNSEvent.docx

Anycast vs. DDoS:Evaluating the November 2015 Root DNS Event相关知识介绍任播(Anycast)：多个服务器使用同一IP地址，网络将请求发送到任一服务器的传播方式。一般基于最近的原则。拒绝服务攻击(DoS,Deny of Service)：攻击者采用大量假冒的或者看起来来合法的请求淹没被攻击服务器，使得被攻击服务器疲于应对攻击流量而不能响应合法用户的请求的攻击。分布式拒绝服务攻击(DDoS,Distributed Deny of Service)：攻击者使用大量地址同时发起Dos攻击的攻击方式。DDoS主要在DoS的基础上使用以下三种技术来提升攻击的威胁：源地址欺骗(Spoofing):攻击者使用一台机器模拟多个地址放大(Amplification)：通过一些协议的漏洞增加消息的字节数僵尸网络（Botnet）：通过木马等手段控制普通用户的机器发起攻击采用僵尸网络的DDoS攻击甚至可以在不适用另两种技术的情况下造成超大规模的攻击。根据2016年最新的数据，50~540GB/s的攻击已经是可能的了。DDoS的防御较为困难，目前主要有以下三种方式：协议层面的防御：比如源地址确认（对应源地址欺骗）、应答率限制（对应放大）等。但在实际网络上的部署状况很不好。任播：当DDoS攻击到达时通过任播将攻击流量转给其他站点商业的DDoS防御服务：效果很好，但DNS服务并没有使用DNS服务架构：如下图所示。最下面的字母表示根服务器(Root Letters)，总共有13个根服务器由12个不同的组织完成不同的实现以提升鲁棒性，这些根服务器是共享元数据源的。每个根服务器下有许多站点(Sites)，每个站点提供相同的服务，当用户访问时，会通过BGP的任播找到离他最近的站点。每个站点内部有一些服务器(Servers)作为内部的负载均衡、容灾等考虑，这些服务器的多少与站点的大小有关。由于工业级的缓存以及DNS面向容灾设计的原因，即使根服务器下的站点因为攻击而崩溃，最终用户也可能直接从缓存读取而感知不到错误。文章工作在2015年11月30日和2015年12月1日发生了针对DNS根服务器的大规模DDoS攻击。文章分析了这次攻击的公共数据并且聚焦于对在压力下各站点间任播服务的评估。理论分析面对DDoS的攻击，一个站点一般有两种选择：吸收攻击流量保护其他的站点，代价是牺牲了自己以及自己服务的合法客户。将攻击流量通过任播转移到其他站点，这样做是因为不同的站点可能有不同的配置，因此也会有不同的容量，肯能接受的站点的容量大于攻击流量而成功抵御攻击。更加详细的策略可以用下图为例分析。s1、s2和s3表示三个不同的站点，其中容量10*s1=10*s2=s3表示。c表示请求服务的合法用户，c0、c1由s1负责，c2由s2负责，c3由s3负责。A0、A1表示DDoS攻击的巨大流量。H表示可以者个系统中可以访问服务的客户端数量。根据攻击流量的大小，最佳策略如下：如果A0+A1S1，那么这次攻击不会造成伤害，H=4如果A0+A1S1而且A0S1,A1S1，那么最佳策略是s1转发A0到s2，此时H=4如果A0S1而且A0+A1S3，那么最佳策略是s1转发A0和A1到s3，此时H=4如果A0s1且A0+A1s3但是A1s3，那么最佳策略是s1转发A1到s3,此时H=3如果A0S3，那么最佳策略是s1吸收所有的流量并且瘫痪，此时H=2虽然实际情况远比理论模型复杂，但我们可以从这个模型中总结出以下两点通常思路是：用向容量更大的站点转发流量应对小的攻击，当面对过于巨大的攻击时，吸收流量，牺牲自己已保全其他站点策略的制定取决于站点的容量、攻击流量的规模和攻击流量的位置。而实际环境下后两者是难以获得的，因此吸收流量可能成为一种有用的默认策略数据集的准备 作者选取了记录了这次攻击的三个数据集：由RIPE提供的检测网络性能的VP，这些VP定期测量DNS根服务器的数据由DNS服务官方提供的数据集RSSAC-002，包括根服务器的查询速率、分布情况等，但由于受到了DDoS攻击，这些数据可能是不完整的由BGPmon提供的路由变更的数据集合数据集分析结果这次攻击的规模到底有多大？如下的表格展示了由RSSAC-002提供的数据分析得出的结果。右侧的基线是正常情况下 服务器的负载，中部的是攻击流量-基线流量的变化值。作者根据分析计算出了规模的下界和上界以及中位数，并得出实际流量应该是在中位数到上界之间，约35~40GB/s。虽然现在已经有上百GB/s的攻击，但那是用放大技术产生的，不适用放大技术的情况下，这已经是非常巨大的攻击规模了。独立的根服务器受了多大的影响？如下两图展示了情况。左图是各根服务器的可用性情况，可以看到，当两次攻击来临时，大部分根服务器的