本周是安全行业的艰难一周，据报道，从Facebook到苹果，都有大的攻击和妥协。因此，我们很高兴在本周结束时带来一些好消息：web的开放解析程序（最大的DDoS攻击源之一）即将关闭。可悲的事态去年10月，我们写了一篇关于DDoS放大攻击的博文。这种类型的攻击构成了CloudFlare看到的最大的DDoS攻击，有时超过每秒100千兆位（100Gbps）。这些攻击使用尚未得到适当保护的DNS解析程序来"放大"攻击者的资源。他们可以用一个50字节以上的数据来进行攻击。该问题源于配置错误的DNS解析程序软件（如BIND），该软件被设置为响应来自任何IP地址的查询。由于DNS请求通常通过UDP发送，与TCP不同，UDP不需要握手，攻击者可以将受害者的IP地址伪装为数据包中的源地址，配置错误的DNS解析程序会很乐意向受害者发送响应。关闭打开的分解器虽然CloudFlare的网络非常擅长吸收这些大型攻击，但web的长期解决方案是供应商清理其网络上运行的开放解析器。我们想帮助解决这个问题，所以我们在上一篇博文的结尾处提到了一些名字和耻辱，列出了开放解析器数量最多的网络。好消息是它奏效了：几乎四个月后，我们的测试显示，互联网上开放的解析器数量下降了30%以上。下表显示了各个网络在解决问题方面取得的进展。ASN公司网络2012年10月30日2013年2月22日%改变21844飞机-AS-ThePlanet.com网站互联网服务，In29252216-24%3462海因特数据通信事业部27392213-19%36351软层-软层技术公司。1075781-27%9394中国铁路网1052774-26%4713OCN NTT通信公司1044722-31%45595巴基斯坦电信公司1030716-30%4134锦荣街31号中网骨干网970705-27%33182迪莫诺-HostDime.com网站股份有限公司。940638-32%7018ATT-INTERNET4-美国电话电报公司。934624-33%24940HETZNER-AS HETZNER Online AG RZ公司872593-32%26496AS-26496-GO-DADDY-COM-LLC-GoDaddy.com网站，有限责任公司855560-35%20773HOSTEUROPE-AS HOSTER欧洲股份有限公司835517-38%16276OVH OVH系统803511-36%13768PEER1-Peer 1网络公司。707421-40%14383VCS-AS-Virtacore系统公司596420-30%32613IWEB-AS-IWEB技术公司。585367-37%23352SERVERCENTRAL-服务器中心网络577350-39%2514INFOSPHERE NTT PC通讯公司。561341-39%2519维康维康有限公司。531326-39%15003NOBIS-TECH-NOBIS技术集团有限责任公司521322-38%22773ASN-CXA-ALL-CCI-22773-RDC-考克斯通信公司484315-35%6830LGI-UPC UPC宽带控股公司。453307-32%12322无PROXAD SAS449299-33%21788网络运营中心公司。442295-33%17506UCOM UCOM公司。422293-31%6939飓风-飓风电力公司。414284-31%16265租赁公司。407284-30%3269意大利ASN-IBSNAZ电信公司。402281-30%29550SIMPLYTRANSIT Simply运输有限公司392271-31%19262VZGNI-TRANSIT-Verizon在线有限责任公司390262-33%荣誉其他一些组织在这方面的帮助值得特别大声疾呼。在CloudFlare还没有出现之前，Cymru团队的优秀员工就开始在网上跟踪开放解析器和其他不良行为。他们在这一领域的一贯努力是了不起的，我们正在与他们合作，以帮助把这个词说出来。此外，SoftLayer在其网络的清理工作中一直声势浩大，非常活跃。正如他们在一篇博文中指出的，由于他们的网络规模和性质，他们通常很难对客户运行的软件配置进行监控。即便如此，他们仍在积极联系客户，让他们了解在网络上运行开放式解析器的危险性。我们非常感谢国家CERT/CSIRT和各种信息共享和分析中心（ISAC）向我们伸出援助之手，提供与一些响应较慢的网络提供商联系的机会。今后，我们很乐意为任何有兴趣清理网络的网络提供商提供运行开放解析程序的IP地址。如果您正在运行上面列表中的网络，请不要犹豫，与我们联系，我们会为您提供帮助清理所需的数据。