日前,全國范圍內發生了DNS遞歸反射攻擊,各家運營商均遭受了嚴重的網絡攻擊。此次攻擊的復雜性和深度引起業內極大關注。12月10日上午,黑客采用拒絕服務攻擊和信息炸彈多次輪番進行非破壞性攻擊,部分省份出現了DNS查詢成功率下降、鏈路擁塞等情況,“雙12”當天,黑客攻擊流量峰值為日均值的20倍。
非破壞性攻擊作為攻擊者,首先需要通過黑客手段使用互聯網僵尸網絡內的大量肉雞,向運營商DNS發起偽造域名的遞歸請求,由于該域名不斷變化,且根本無法解析(因為互聯網上不存在該域名),使得DNS服務器不斷向權威服務器發起遞歸請求“疲于奔命”,服務器遞歸請求隊列被占滿,正常用戶的請求無法得到響應。其次,攻擊者使用遞歸反射的方式,利用運營商DNS放大攻擊流量,對互聯網上的權威DNS服務器進行攻擊,試圖使其喪失對外提供服務的能力。這種方式攻擊的威力巨大,頃刻之間就可以使被攻擊目標帶寬資源耗盡,導致DNS服務器癱瘓,用戶無法打開網站,或無法使用有域名的App等。據了解,目前全國電信運營商均受到了不同程度的攻擊,造成部分地區用戶打開網頁緩慢甚至不能打開,某省電信DNS服務器已經無法遠程連接進行管理。
對此,重慶移動在互聯網管理中首先采用清洗攻擊流量布防和業務監控的方式,不僅在第一時間通過網絡探針和監控發現攻擊,同時在預警后,在DNS系統前端取消防火墻,使用三層交換機和ACL進行安全保護,避免防火墻成為系統瓶頸,進一步減少了攻擊流量對DNS系統的威脅。其次,采用抓包分析,找到關鍵字,使用流量清洗設備過濾,使DNS系統立即恢復了正常,成功化解了攻擊。隨后攻擊者改變關鍵字再次攻擊,重慶移動同樣采用網絡安全布防,很快將異常流量過濾,未給攻擊者留有一點可乘之機。
記者了解到,對于各種黑客攻擊,主要攻擊漏洞是在硬件、軟件、協議的具體實現或系統安全策略上存在的缺陷。網絡安全漏洞可使攻擊者能夠在未授權的情況下訪問或破壞系統。這關乎四個方面,一是計算機網絡協議本身的缺陷,二是系統開發的缺陷,三是系統配置不當,四是系統安全管理的問題。對于快速增長的軟件復雜性和黑客大量的攻擊,擁有一批訓練有素的安全技術人員和不斷完善的系統安全策略配置就顯得格外重要。只有增加網絡安全策略系數和增強安全技術人員的能力,才能使得系統免于被攻擊。
目前,重慶移動已經對DNS系統進行了保護。首先,在DNS四期工程中布防了流量清洗系統,設計規格能夠滿足對現有系統攻擊流量的清洗。即使攻擊流量峰值達到了1.3G,系統仍然能正常工作。其次,重慶移動在DNS四期時已將DNS系統納入監控,對解析成功率、解析時延等指標全天候監控,并實時告警;使用核心探針系統,也能全天候對DNS系統進行撥測,一旦發現解析失敗,將實時告警。最后,針對DDOS攻擊,不定時進行自行攻防演練,提高反應速度。
在本次全國范圍內的大型攻擊中,重慶移動快速抗擊攻擊的能力得到中國移動集團公司的重視,重慶移動安全專家也積極支援其他省市公司對抗攻擊,及時通過飛信、QQ、手機等方式,對被攻擊的兄弟省市公司進行了協助支撐,幫助他們完成了攻擊流量清洗,將優秀的經驗進行傳遞。重慶移動傳輸中心安全專家胡夢飛還趕赴江西進行現場支援。由于重慶移動及時有效的網絡布放,“雙12”當天流量峰值達380M,但網絡布放嚴密,在核心探針和數據網管告警后,公司很快將異常流量過濾,CMNET DNS解析成功率上升,被攻擊期間無用戶投訴。
京公網安備 11010502049343號