根域名服务器(root DNS Servers)会被DDoS打垮么？

    域名服务做为互联网的基础设施，它的重要性不言而喻。目前全球的十三个根域名服务器和成千上万的受权域名服务器承担着超过万亿次的DNS查询，默默为全世界的网民作域名解析服务。

    这样重要的基础设施，必然是全世界黑客的目标。

    2002年10月21日，全球的十三台根域名服务遭受了持续将近一个小时的攻击，这些攻击形式多样，主要集中为：ICMP攻击、TCP SYN攻击、fragmented TCP攻击和UDP攻击。此次攻击致使了一些跟域名服务器瘫痪。

    以后全世界的科学家们痛则思痛，对当时的根域名服务作了大量的防御工做。

    2007年2月6日，黑客们又对根域名服务器发起了几回疯狂的攻击，此时的ROOT DNS SERVERS已经很健壮了，对正常服务没有形成什么影响。

    根域名服务器采起了一些什么样的措施，使得DDoS攻击不会形成根域名服务器的全线瘫痪呢？

缘由一：积极的反应

    今天在公司内网看到公司的清洗软件前段时间抗住了对一个网页高达6Gbps（每秒6Gbit）的攻击，最后攻击者看到没有效果，只能灰溜溜夹尾巴收工，而咱们的这个页面呢？用户访问感受不到任何异常（顺便赞一下咱们优秀的工程师同窗们）。

    俗话说：“道高一尺，魔高一丈”，若是黑客真的优秀，就不会作黑客了。优秀的大型网站不缺乏优秀的工程师，因此也不缺乏优秀的防攻击预案。当攻击来的时候，检测软件会检测到网络异常，并采起相应的清洗策略，把异常的攻击流量阻挡在正常服务器以外。这样普通的用户可能只会感受到一小段时间的访问缓慢，当清洗开始后，就跟正常访问无异了。

　　清洗的办法，经常使用有：1）经过某种统计标准发现异常流量，限制某个IP的查询次数，或者直接拒绝为该IP服务；2）攻击流量会有必定的规律，好比包大小是特定的（好比768字节），则将该大小的包blocked（固然要确保该包大小跟正常请求的包大小不同才能够用这种策略）。

 

缘由二：十三台根域名服务器的多样性

     十三台根域名服务器均可以解析根域名(.com, .net等)，并且这些根域名服务器由不一样的组织管理。它们惟一相同的是解析根域名的功能，其它的，好比说硬件环境；使用的域名服务器软件；安全策略等等都不同，由于攻击都是有针对性的攻击，因此这样又无形中增长了攻击者的攻击难度。

 

缘由三：Anycast 

    Anycast可使一组提供DNS解析服务的主机经过一个对外的IP地址标识，这些主机能够位于不一样的地址。这样当对某一个域名服务器的流量增长的时候，经过Anycast咱们能够将攻击流量分发到各主机上。如今的根域名服务器都采用了Anycast技术，好比f-root，它后面就有四五十台主机在服务。

 

缘由四：fat pipes

    根域名服务器都位于全球的骨干网上，而不是在边缘网络中（大家家的宽带位于边缘网络中，大家小区的用户都在双十一购物狂欢节的时候一块儿抢东西，就会以为巨慢无比:-) ），因此想经过打大流量堵塞根域名服务器的网络的黑客，你仍是早点洗洗睡吧。

 

缘由五：gTLD(generic Top-Level DNS Server) 域名服务器 和 缓存

    根域名服务器只服务根域名，根域名服务器下面还有gTLD服务器，好比为全部.com后缀作域名解析的服务器。并且Local DNS会有缓存，在TTL期内不会对相同域名作重复请求。因此用发起DNS请求的方式攻击根域名服务器的话，基本上是不可能的，由于层层的缓存足以使到达根域名服务器的流量微乎其微。

 

参考资料：

    1，http://en.wikipedia.org/wiki/Distributed_denial_of_service_attacks_on_root_nameservers

    2，http://en.wikipedia.org/wiki/Anycast