域名系統其實不堪一擊
開放DNS服務器是引爆整個歐洲互聯網的定時炸彈?在Spamhaus遭受攻擊的事件中,攻擊者借助現網數量龐大的開放DNS服務器,采用DNS反射攻擊將攻擊流量輕松放大100倍。攻擊過程使用了約3萬臺開放DNS服務器,攻擊者向這些開放DNS服務器發送對ripe.net域名的解析請求,并將源IP地址偽造成Spamhaus的IP地址,DNS請求數據的長度約為36字節,而響應數據的長度約為3000字節,經過DNS開放服務器反射將攻擊流量輕松放大100倍。攻擊者只需要控制一個能夠產生3Gbps流量的僵尸網絡就能夠輕松實施300Gbps的大規模攻擊。而攻擊過程中,每個DNS服務器發出的流量只需要10Mbps,這樣小的攻擊流量很難被DNS業務監控系統監測到。事實上,開放DNS服務器在互聯網上數目龐大,遠不止3萬臺。互聯網如果繼續保持開放DNS服務器的無管理狀態,利用開放DNS系統發起的DNS反射攻擊事件就會越來越多,攻擊規模也會越來越大。本次攻擊事件讓人們意識到:開放DNS服務器是互聯網的定時炸彈,如果不加以治理,未來的某一天將會爆發更大規模的DDoS攻擊。
中國互聯網系統依然脆弱。.CN域名受攻擊導致訪問延遲或中斷,部分網站的域名解析受到影響。攻擊影響了超過800萬個互聯網用戶在中國域名.CN注冊的網站的訪問,其中包括流行的社交網站新浪微博。大量新浪微博用戶抓狂,因為出現了首頁無法刷新、評論被全部清空等“癥狀”。獨立情報分析專家艾德認為,此次網絡攻擊暴露出整個中國網絡的脆弱性,“如果所有以.CN結尾的網站,因一個簡單的拒絕服務攻擊就被擊垮的話,那么中國互聯網系統比我們原先想象的更脆弱。很顯然,中國網絡安全有待完善和提高。”專家稱,日益頻發的域名系統安全事件,暴露出域名系統相關技術還不夠成熟,需要持續提升完善。
保護域名安全任重道遠
如果把一個網站比作一座房子,那么域名就是這座房子的門,而這扇門擁有許多功用,它是別人訪問網站的必經之地,同時也是保護網站的重要所在,所以保護好域名的安全,相當于保護一個網站的安全。而DNS,相當于鑰匙,在保護域名的安全中起著至關重要的作用。據域名工程中心發布的《2013年互聯網根和頂級域名發展報告》顯示,截至2013年8月12日,ICANN共收到了來自全球111個國家和機構的1822個新通用頂級域名申請。這也就意味著,在短時間內,像.com一樣的千余個新通用頂級域名即將上線,并面向公眾開放注冊。隨著越來越多的域名即將涌現,域名安全問題將因此受到更大的挑戰。
據知名科技公司Prolexic的統計,2013年第三季度,DDoS攻擊的數量比2012年同期增長了58%,攻擊時長延長了13.3%。出于對域名系統戰略意義的考慮,美國、德國、日本、韓國等國家都對域名系統給予了高度重視。在基礎設施、聯動機制、安全意識、立法、國際合作方面,我國政府和互聯網行業已有所行動,并將繼續加強諸方面的工作。
強化國家域名系統基礎設施的建設。據域名工程中心技術監測數據顯示,國內的域名服務器總量為100萬臺左右,活躍域名服務器數量為7萬臺, 62%以上的權威域名服務器使用開源的Linux系統,微軟Microsoft Windows操作系統所占比例在36%左右, 95%以上的域名服務器使用開源的ISC BIND域名解析軟件。可以看出,從域名服務器操作系統到域名解析軟件,幾乎已被微軟和國外的開源軟件所壟斷。開源軟件預留“后門”的風險較小,但也方便黑客借助其軟件漏洞進行網絡攻擊。CNNIC執行主任李曉東建議,要從國家戰略高度進一步提升對域名系統的重視程度。面對日益嚴峻的國際政治形勢和網絡安全態勢,亟須進一步從國家層面加大投入,強化國家域名系統基礎設施的建設,在網絡帶寬、機房環境、運行保障、應急協調等方面確保充足的資源支撐。加大對芯片、操作系統、數據庫等基礎和關鍵信息技術攻關的支持力度,對重點領域和關鍵部門采用的進口信息技術產品和系統進行安全測評,推動國產替代進程,確保自主可控。
域名系統安全聯動機制需進一步完善。除了擴充國家域名的絕對數量外,各相關方的配合聯動同樣非常重要。要定期進行黑客攻擊模擬演練,聘請專業的安全人員協助相關運營方進行漏洞查明和修補。采取及時修補漏洞等手段加強信息安全防護,通過增加.CN頂級域名服務器數量、調整服務器部署模式等手段提升服務能力,通過增強在態勢感知、信息共享、應急響應等方面的能力打造多位一體的互聯網安全監管體系。事先需要制定好應急預案和應對措施,如業務的自身調整、與運營商的溝通和應急措施同步。當DDoS攻擊發生時,需要多個部門間快速響應,實施應急方案和及時同步處理結果。
增強域名安全防范意識。國內域名注冊商易名中國分析了近年來眾多域名安全事件,最終總結了域名被盜流程大致是:盜取郵箱賬號和盜取域名所在服務商賬號,登錄郵箱就可以找回在域名服務商注冊域名的密碼。通過這一流程不難看出,導致域名被盜的關鍵還是域名持有者的安全意識,除了增強域名安全防范意識之外,更為科學的驗證信息流程也至關重要。
DDoS攻擊漸成主流攻擊方式
常見的域名安全問題有域名信息更改、域名劫持、中間人攻擊等形式。DDoS攻擊,即分布式拒絕服務攻擊,是目前黑客經常采用而難以防范的攻擊手段。黑客一般是通過制作僵尸網絡的方式攻擊域名,即在計算機中植入特定的惡意程序控制大量“肉雞”(指可以被黑客遠程控制的機器),然后通過相對集中的若干計算機向相對分散的大量“肉雞”發送攻擊指令,引發短時間內流量劇增。知名科技公司Arbor Networks發布的《全球基礎設施安全報告》中指出,DDoS攻擊在規模上趨于穩定,但卻更加復雜。同時,DDoS攻擊已經成為高級持續威脅(APT)的一部分,而APT則成為服務提供商和企業的頭等大事。
針對應用層的DDoS攻擊事件上升趨勢明顯。華為云安全中心的統計數據顯示,針對HTTP應用的DDoS攻擊已經占到攻擊總量的89.11%。在中國各地區,北京、上海、深圳的DDoS攻擊事件最多,占全國總量的81.42%。數據中心一直是DDoS攻擊的重災區。在數據中心,排名前三的被攻擊業務分別為電子商務、在線游戲、DNS服務。尤其是針對DNS服務的攻擊影響面最廣,對互聯網基礎架構所造成的威脅也最嚴重。而在WEB攻擊的主要目標中,排名前三的被攻擊業務分別為電子商務、網頁游戲、在線金融業務。針對數據中心的網絡層DDoS攻擊則直接威脅到網絡基礎設施(如防火墻、IPS、負載均衡設備),而應用層DDoS攻擊則威脅著在線業務。頻繁的DDoS攻擊導致數據中心運營成本增高,而帶寬的可用性降低則導致客戶滿意度下降甚至流失。
DDoS攻擊呈現新趨勢。今年3月份針對國際公司Spamhaus的300G超大流量的DDoS攻擊,攻擊者主要采取的手法就是DNS放大攻擊,也叫反射攻擊技術(DrDoS),這種攻擊技術的特點就是利用互聯網上開放的DNS遞歸服務器作為攻擊源,利用“反彈”手法攻擊目標機器。在DNS反射攻擊手法中,假設DNS請求報文的數據部分長度約為40字節,而響應報文數據部分的長度可能會達到4000字節,這意味著利用此手法能夠產生約100倍的放大效應。由于這種攻擊模式成本低、效果好、追蹤溯源困難,而且由于脆弱的DNS體系具有開放式特點,難以徹底杜絕。
域名安全涉及的是政治與金錢
政治動機、經濟犯罪、惡意競爭依然是黑客發起DDoS攻擊的主要目的。由于幫助電子郵箱服務供應商過濾垃圾電子郵件和不受歡迎內容,Spamhaus的行為招致黑客的報復性攻擊,他們攻擊了Spamhaus的域名系統(DNS)服務器。據悉,此次攻擊事件的嫌疑人、荷蘭黑客斯文·奧拉夫·坎普赫伊斯已經被逮捕。據中國互聯網絡信息中心稱,8月25日凌晨,國家域名解析節點受到拒絕服務攻擊,導致部分網站訪問緩慢或中斷。這是.CN域名近些年來發生的最大一次網絡攻擊事件,攻擊流量遠超歷史峰值,可能是有組織網絡攻擊行為。安全公司Prevendra的CEO伯蓋斯稱,此次中國互聯網攻擊的肇事者“可能來自中國國內的犯罪集團”。9月24號,CNNIC和工信部揪出了本次攻擊事件的始作俑者——一名來自山東青島的黑客。據調查發現,該黑客本意是要攻擊一個游戲私服網站,使其癱瘓,后來他為了更快達到這個目的,直接對.CN的根域名服務器進行了DDoS攻擊,發出的攻擊流量堵塞了.CN根服務器的出口帶寬,致使.CN根域名服務器的解析故障,使得大規模的.CN域名無法正常訪問。
敲詐勒索催生黑色產業鏈。自國內的互聯網事業興起以來,國內有一些常年進行DDoS攻擊的組織或個人,脅迫某些“私服”游戲的運營團隊并收取“保護費”,如果不合作便采取DDoS暴力攻擊,使其無法正常運營。而這些“私服”的運營團隊本身業務就涉及侵權,所以他們在遇到DDoS威脅時絕不敢報警或維權,往往被迫接受。這種惡性循環的結果就是這些網絡中的惡意脅迫越來越肆無忌憚,這些從事DDoS攻擊商業行為的組織或個人也演變成了各式各樣的“網絡黑幫”,各式黑色產業鏈也層出不窮。由于當今互聯網上DDoS攻擊的門檻已經越來越低,雇主可以購買DDoS攻擊服務,攻擊可指定時間、指定流量、指定攻擊效果。總的來說,同行業間的惡意競爭是導致DDoS攻擊愈演愈烈的最大原因,同時被攻擊后定位攻擊者所花費的成本較高也是這類事件層出不窮的重要原因。
2013年域名安全事件回顧
隨著域名系統作為互聯網中樞神經系統的重要作用日益凸顯和互聯網應用的日益廣泛,域名安全事件也呈現多發趨勢。近年來,微軟、谷歌、《紐約時報》、Twitter、騰訊、百度、土豆網、大眾點評網等國內外知名網站域名相繼被攻擊、被劫持,小站長、米農域名等被盜事件也比比皆是。回顧2013年,重大域名安全事件不絕于耳,東西方皆無寧日。
有史以來最大的DDoS攻擊。2013年3月16日至3月27日,歐洲反垃圾郵件組織Spamhaus遭受了有史以來最大的DDoS(分布式拒絕服務)攻擊。攻擊強度達到300Gbps。《紐約時報》將其稱為“前所未有的大規模網絡攻擊”。
美多家網站遭敘利亞電子軍攻擊。今年4月,美聯社的Twitter賬號被入侵,并給金融市場造成短暫動蕩,敘利亞電子軍(SEA)聲稱那次攻擊是他們干的。8月28日,包括Twitter、《紐約時報》、《赫芬頓郵報》、CNN、《華盛頓郵報》旗下網站在內的多家美國媒體與網站出現宕機,疑遭SEA攻擊。《紐約時報》的網站無法登錄,頁面顯示的信息是“網絡錯誤(DNS)服務器無法連接”,這是DDoS攻擊的一個特點。
臺菲爆發黑客大戰。5月10日,臺灣黑客對菲律賓政府網站發起攻擊,黑客利用DDoS攻擊癱瘓多個菲律賓政府網站。但隨即引發菲律賓黑客以同樣方式還擊,馬英九辦公室、經濟部門等機構部門網站遭到攻擊。13日,臺灣黑客組織“匿名者-臺灣分部”取得DNS控制權,全面控制菲國政府網站、電子郵件,并發表聲明,要求菲律賓政府道歉、嚴懲兇手。最終,菲律賓黑客公開求饒:“請對準菲政府,別再搞我們了。”
DNS中毒攻擊入侵IT網站。5月,Websense公司成功檢測到一起發生在肯尼亞的DNS中毒攻擊事件,這次攻擊以包括谷歌、Bing、LinkedIn等在內的知名信息技術網站為攻擊目標。在此次攻擊事件中,被攻擊者利用的DNS記錄指向一個關于黑客信息的頁面,將網站瀏覽用戶引至惡意網站。這次DNS攻擊是所謂的孟加拉黑客集團發起的一次大規模攻擊。
土豆網、大眾點評網域名遭劫。5月11日,白帽子工程師陳再勝在烏云網站上報告了土豆網出現漏洞,隨后,土豆網遭遇域名被劫。6月17日,北京地區用戶訪問大眾點評網域名的時候會被跳轉到天貓的促銷頁面,該訪問異常狀態一直持續到6月18日凌晨才逐漸恢復。本次網站故障是由于大眾點評網的域名服務商新網網站程序存在漏洞,導致新網的其他注冊用戶可以修改任意新網注冊域名的IP指向。
LinkedIn網站域名遭劫持。6月20日,全球最大的職業社交網站LinkedIn發生故障,已確認為域名服務器(DNS)錯誤。分析稱,LinkedIn網站的DNS可能被挾持,其域名會跳轉至其他IP地址,懷疑遭到黑客攻擊。
谷歌公司巴勒斯坦網站遭遇攻擊。8月,谷歌公司在巴勒斯坦的Google網站遭到了黑客的襲擊。當用戶訪問google.ps之后,他們會被直接帶到另外一個不同的網站。
荷蘭域名服務器失守。8月12日,黑客成功進入SIDN的DRS(域名登記系統),有效地把SIDN的DRS流量導向一個外部域名服務器。荷蘭安全公司Fox-IT認為,這次的侵入影響到數千個域名,毫無戒備的用戶訪問受影響域名時會被轉到一個“正在修建中”的網頁上,網頁則同時會通過一個iframe送出惡意軟件。惡意軟件是一個黑洞(Black Hole)攻擊套件,會通過Java和PDF的漏洞給自己取得電腦訪問權。
.CN域名遭受史上最大攻擊。2013年8月25日凌晨,.CN域名出現大范圍解析故障,.CN的根域授權DNS出現全線故障,導致大面積.CN域名無法解析。經中國互聯網絡信息中心(CNNIC)確認,國家域名解析節點遭受到有史以來規模最大的拒絕服務攻擊,攻擊影響了超過800萬個互聯網用戶在中國域名.CN注冊的網站的訪問。
京公網安備 11010502049343號