「匿名者」威脅在2012年3月31日癱瘓互聯網

當你讀到這篇文章，你不需要找算命先生也可以「預測」到互聯網不會在2012年3月31日癱瘓。我們的分析是「匿名者」黑客群組意圖以分散式阻斷服務(DDoS)攻擊DNS根服務器，造成互聯網癱瘓，是不會成功的。

背景

「匿名者」在2月以非常高姿態地發出一份恐嚇聲明（http://pastebin.com/NKbnh8q8），聲稱會於2012年3月31日採取所謂「全球停電(Blackout)行動」，癱瘓互聯網。他們聲稱，攻擊的目的是以抗議「禁止網路盜版法案」（SOPA）、華爾街、不負責任的領袖和銀行家。他們在聲明中表示，會將通過反射式DNS放大攻擊，以海量的交通沖擊DNS根服務器。

若攻擊成功可造成的影響

把DNS域名解析到IP地址，是互聯網服務 (如網頁，電子郵件和的其他)的基礎。 DNS根服務器，是所有DNS查詢的起點。如果所有的根DNS服務器無法提供服務，其後果是下一層的DNS (即 .com, .org, .net, .info 等全球性頂級域名(TLD)和國家代碼頂級域名（ccTLD)）的域名解析也將隨之失敗，這個雪球會滾下來牽連互聯網全面癱瘓。

根DNS服務器內置的防禦

由於DNS 根和頂級域名服務器對互聯網是十分重要，它的體系結構設計早已考慮到DDoS攻擊，過多的要求和系統故障。根DNS架構故意無組織化、多元化和有彈性，不會有一個共同的弱點和單點故障。這個基礎設施是每天都準備好應付這種攻擊。全球有13個根服務器及數百台服務器（http://root-servers.org/）。某些服務器後面甚至可能有多台實體機器支援。如果任何一個根服務器停頓，用戶將被引導到任何「最近」而可用的服務器取得服務。

安全研究員羅布 . 格雷厄姆 (Rob Graham) 在Errata Security 有一篇很好的文章，分析DNS根服務器體系結構和其他因素提供良好的緩解措施，以防禦DDoS攻擊。

http://erratasec.blogspot.com/2012/02/no-anonymous-cant-ddos-root-dns-servers.html

ISC (F-根服務器的營運機構，管理全球三分之一的根服務器），各電腦保安協調中心、聯網交換中心和世界各地的政府在這一事件上有做協調工作;然而，他們不希望引起媒體的關注，令某些人得益，所以低調地進行工作。

香港電腦保安事故協調中心平時在每個工作天都有透過Team Cymru 的DNS狀態摘要網站（http://www.cymru.com/monitoring/dnssumm）監察根及頂級域名服務器的狀態。以下是2012年3月31日的抓圖，在我們的角度來看，當日沒有和平日有甚麼不同。

毫無疑問，「匿名者」有能力和可能會非常有決心發動DDoS攻擊。然而，我們不認為他們會成功。我們的互聯網沒有癱瘓，正如預期完全沒有。