據(jù)調(diào)查發(fā)現(xiàn),該黑客本意是要攻擊一個(gè)游戲私服網(wǎng)站,使其癱瘓,后來(lái)他為了更快達(dá)到這個(gè)目的,直接對(duì).CN的根域名服務(wù)器進(jìn)行了DDoS攻擊,發(fā)出的攻擊流量堵塞了.CN根服務(wù)器的出口帶寬(據(jù)工信部數(shù)據(jù):攻擊時(shí)峰值流量較平常激增近1000倍,近15G),致使.CN根域名服務(wù)器的解析故障,使得大規(guī)模的.CN域名無(wú)法正常訪問(wèn)。
2013年8月25日凌晨,.CN域名凌晨出現(xiàn)大范圍解析故障,經(jīng)分析.CN的根域授權(quán)DNS全線故障,導(dǎo)致大面積.CN域名無(wú)法解析。事故造成大量以.cn和.com.cn結(jié)尾的域名無(wú)法訪問(wèn)。直到當(dāng)日凌晨4點(diǎn)左右,CN根域名服務(wù)器的解析才有部分恢復(fù)。此后,經(jīng)CNNIC確認(rèn),國(guó)家域名解析節(jié)點(diǎn)遭受到有史以來(lái)規(guī)模最大的拒絕服務(wù)攻擊,導(dǎo)致訪問(wèn)延遲或中斷,部分網(wǎng)站的域名解析受到影響。而距本次事故發(fā)生一個(gè)月之后,本月24號(hào),CNNIC和工信部終于揪出了本次攻擊事件的始作俑者——來(lái)自山東青島的一名黑客。
據(jù)調(diào)查發(fā)現(xiàn),該黑客本意是要攻擊一個(gè)游戲私服網(wǎng)站,使其癱瘓,后來(lái)他為了更快達(dá)到這個(gè)目的,直接對(duì).CN的根域名服務(wù)器進(jìn)行了DDoS攻擊,發(fā)出的攻擊流量堵塞了.CN根服務(wù)器的出口帶寬(據(jù)工信部數(shù)據(jù):攻擊時(shí)峰值流量較平常激增近1000倍,近15G),致使.CN根域名服務(wù)器的解析故障,使得大規(guī)模的.CN域名無(wú)法正常訪問(wèn)。
DDoS攻擊背后的利益鏈條
大家可能會(huì)有疑問(wèn),看似普通的DDoS攻擊其背后究竟隱藏著什么?一句話:為了利益。本次事故中攻擊者使用的手法(譬如攻擊一些“私服”的網(wǎng)站或主機(jī))并不罕見(jiàn),且近些年有愈演愈烈的趨勢(shì)。自國(guó)內(nèi)的互聯(lián)網(wǎng)事業(yè)興起以來(lái),國(guó)內(nèi)有一些常年進(jìn)行DDoS攻擊的組織或個(gè)人,脅迫某些“私服”游戲的運(yùn)營(yíng)團(tuán)隊(duì)并收取“保護(hù)費(fèi)”,如果不合作便采取DDoS暴力攻擊,使其無(wú)法正常運(yùn)營(yíng)。而這些“私服”的運(yùn)營(yíng)團(tuán)隊(duì)本身業(yè)務(wù)就涉及侵權(quán),所以他們?cè)谟龅?/span>DDoS威脅時(shí)絕不敢報(bào)警或維權(quán),往往是被迫接受。這種惡性循環(huán)的結(jié)果就是這些網(wǎng)絡(luò)中的惡意脅迫越來(lái)越肆無(wú)忌憚,這些從事DDoS攻擊商業(yè)行為的組織或個(gè)人也演變成了各式各樣的“網(wǎng)絡(luò)黑幫”,各式黑色產(chǎn)業(yè)鏈也層出不窮。由于當(dāng)今互聯(lián)網(wǎng)上DDoS攻擊的門檻已經(jīng)越來(lái)越低,雇主可以購(gòu)買DDoS攻擊服務(wù),攻擊可指定時(shí)間、指定流量、指定攻擊效果??偟膩?lái)說(shuō),同行業(yè)間的惡意競(jìng)爭(zhēng)是導(dǎo)致DDoS攻擊愈演愈烈的最大原因,同時(shí)被攻擊后定位攻擊者所花費(fèi)的成本較高也是這類事件層出不窮的重要原因。
為何選擇針對(duì)DNS服務(wù)器進(jìn)行DDoS攻擊
一直以來(lái)作為網(wǎng)絡(luò)基礎(chǔ)設(shè)施的DNS系統(tǒng),給我們提供了訪問(wèn)互聯(lián)網(wǎng)的便利,用戶只需記住域名就可以訪問(wèn)到互聯(lián)網(wǎng)上的對(duì)應(yīng)主機(jī)。當(dāng)你在瀏覽器中輸入一個(gè)域名時(shí),DNS的解析過(guò)程就開(kāi)始了,一般的DNS解析過(guò)程如圖1、圖2所示:
圖1:DNS解析的一般過(guò)程(有緩存時(shí))
圖2:DNS解析的一般過(guò)程(無(wú)緩存時(shí))
下面來(lái)聊一聊現(xiàn)有互聯(lián)網(wǎng)上運(yùn)行的DNS系統(tǒng)所可能遭受到的風(fēng)險(xiǎn)。大家應(yīng)該都了解,根域名服務(wù)器是DNS系統(tǒng)中最高級(jí)別的域名服務(wù)器,全球一共有13臺(tái),多數(shù)分布在美國(guó)。首先,DNS系統(tǒng)是一個(gè)中心化的樹(shù)形結(jié)構(gòu),很容易遭受DDoS攻擊,且越靠近中心攻擊效果越為顯著;其次,現(xiàn)有DNS系統(tǒng)的迭代查詢方式,對(duì)根域和頂級(jí)域解析服務(wù)器依賴非常嚴(yán)重;再次,現(xiàn)有互聯(lián)網(wǎng)上存在著大量開(kāi)放式的DNS域名服務(wù)器,這些服務(wù)器通常擁有強(qiáng)大的性能和帶寬,利用DNS反射技術(shù)的放大效應(yīng),可以產(chǎn)生近其帶寬百倍的攻擊流量。所以這些開(kāi)放式的DNS服務(wù)器極其容易成為黑客們青睞的DDoS攻擊“肉雞“。這對(duì)整個(gè)互聯(lián)網(wǎng)的基礎(chǔ)設(shè)施都是巨大的安全威脅。
在對(duì)現(xiàn)有DNS協(xié)議的風(fēng)險(xiǎn)評(píng)估上,DNS協(xié)議是很脆弱且不安全的。為什么說(shuō)DNS協(xié)議很脆弱呢?一方面DNS協(xié)議是明文協(xié)議,協(xié)議里帶的信息可以很容易的被篡改、偽造,使得DNS協(xié)議易成為暴露用戶行為的工具;另一方面,若在現(xiàn)有協(xié)議傳輸上采用加密手段,現(xiàn)有DNS體系無(wú)法承受加密帶來(lái)的開(kāi)銷和技術(shù)升級(jí)的成本。
正因?yàn)?span>DNS系統(tǒng)的脆弱性和其協(xié)議設(shè)計(jì)上的缺陷,所以歷史上針對(duì)DNS的攻擊事件也比較多,影響比較大有2013年針對(duì)Spamhaus的攻擊事件、2009年5.19斷網(wǎng)、2008年DNS緩存投毒,以及2002年全球根域名服務(wù)器被攻擊等等。
深入剖析本次.CN被攻擊事件
從本次.CN根服務(wù)器被DDoS攻擊的手法上來(lái)看,有兩種可能性,一種可能是黑客使用DDoS方法攻擊某個(gè).CN域名,而較大的攻擊流量或海量的查詢請(qǐng)求卻把該.CN域名上一級(jí)根服務(wù)器打掛;第二種可能是黑客直接把DDoS攻擊矛頭指向了.CN的根域名服務(wù)器。針對(duì)DNS系統(tǒng),常見(jiàn)的DDoS攻擊手法是:
1、傳統(tǒng)DDoS攻擊:流量型(以堵塞網(wǎng)絡(luò)帶寬為主要攻擊目的),包括UDP洪水攻擊;TCP流量攻擊;資源消耗型(以消耗目標(biāo)機(jī)器可用資源為攻擊目的),包括SYN洪水攻擊,ACK洪水攻擊,ACK反射攻擊,慢速消耗攻擊等;
2、DNS特有DDoS攻擊:DNS反射攻擊(放大效應(yīng))、DNS查詢攻擊(僵尸主機(jī)發(fā)起的海量請(qǐng)求)、變域名攻擊:構(gòu)造隨機(jī)域名(或畸形域名)的查詢請(qǐng)求,利用僵尸網(wǎng)絡(luò)對(duì)目標(biāo)域名或主機(jī)進(jìn)行攻擊(如圖3所示)。
圖3:DNS QUERY洪水攻擊原理
為了最大限度的降低命中DNS緩存的可能,一般攻擊者在構(gòu)造攻擊包時(shí)都會(huì)隨機(jī)偽造查詢?cè)?/span>IP地址、偽造隨機(jī)源端口,偽造隨機(jī)查詢ID以及待解析的域名。從筆者獲取到本次.CN攻擊的數(shù)據(jù)包來(lái)看(見(jiàn)下圖4),攻擊者就是把經(jīng)過(guò)特殊構(gòu)造的海量的隨機(jī)域名的查詢請(qǐng)求直接發(fā)給了.CN的根服務(wù)器,也就是上文中提到的變域名攻擊方式。不過(guò),筆者認(rèn)為其中可能還混合有其他一些諸如UDP洪水、DNS放大和DNS僵尸查詢等DDoS攻擊,最終的目的就是讓被攻擊網(wǎng)絡(luò)的鏈路帶寬超出服務(wù)的帶寬,讓目標(biāo)機(jī)或集群處理能力超出極限,從而達(dá)到DNS解析不能提供正常服務(wù)的狀態(tài)。
圖4:.CN的攻擊數(shù)據(jù)包(部分)
后續(xù):DNS攻擊的新趨勢(shì)
在筆者看來(lái),本次針對(duì).CN根服務(wù)器的攻擊為我們?cè)僖淮吻庙懥嘶ヂ?lián)網(wǎng)基礎(chǔ)設(shè)施安全性的警鐘,建議主管部門加強(qiáng)對(duì)基礎(chǔ)設(shè)施的保障力度,以避免此類事故重演。
從筆者的日常工作中也能夠發(fā)現(xiàn)不同針對(duì)DNS基礎(chǔ)系統(tǒng)的攻擊手法,譬如今年3月份針對(duì)國(guó)際公司Spamhaus的300G超大流量的DDoS攻擊,攻擊者主要采取的手法就是DNS反射攻擊,這種攻擊技術(shù)的特點(diǎn)就是利用互聯(lián)網(wǎng)上開(kāi)放的DNS遞歸服務(wù)器作為攻擊源,利用“反彈”手法攻擊目標(biāo)機(jī)器。攻擊原理如圖5所示:
圖5:DNS反射攻擊的原理
在DNS反射攻擊手法中,假設(shè)DNS請(qǐng)求報(bào)文的數(shù)據(jù)部分長(zhǎng)度約為40字節(jié),而響應(yīng)報(bào)文數(shù)據(jù)部分的長(zhǎng)度可能會(huì)達(dá)到4000字節(jié),這意味著利用此手法能夠產(chǎn)生約100倍的放大效應(yīng)。因此,對(duì)于.CN遇襲事件,攻擊者只需要控制一個(gè)能夠產(chǎn)生150M流量的僵尸網(wǎng)絡(luò)就能夠進(jìn)行如上規(guī)模(15G)的DDoS攻擊。據(jù)不完全統(tǒng)計(jì),國(guó)內(nèi)外總計(jì)有超過(guò)250W臺(tái)開(kāi)放DNS服務(wù)器可以充當(dāng)這種“肉雞”,開(kāi)放的DNS服務(wù)器簡(jiǎn)直是互聯(lián)網(wǎng)上無(wú)處不在的定時(shí)炸彈。
我們?nèi)绾螒?yīng)對(duì)這種DDoS攻擊?
我們DNS系統(tǒng)的運(yùn)維人員在日常部署時(shí)要盡量做到DNS應(yīng)用的負(fù)載均衡,提升DNS服務(wù)器的處理性能,盡量將解析節(jié)點(diǎn)分散,能夠做到按不同的IDC或城市實(shí)現(xiàn)冗余和容災(zāi)機(jī)制,通過(guò)這些手段可以有效的減輕大流量DDoS攻擊發(fā)生時(shí)所帶來(lái)的危害。但是如上文所言,針對(duì)于如此不堪一擊的DNS系統(tǒng),我們未來(lái)還能夠從哪些方面出發(fā)去應(yīng)對(duì)一般規(guī)?;蚴浅笠?guī)模的DDoS攻擊呢?筆者認(rèn)為有如下一些解決方案可以值得嘗試。
第一,在你的主機(jī)遭受DDoS攻擊時(shí),最簡(jiǎn)單的是在本機(jī)做策略,譬如iptables等,或是事先將主機(jī)kernel加固以應(yīng)對(duì)隨時(shí)可能出現(xiàn)的風(fēng)險(xiǎn),但是這種方法不能解決DDoS的根本問(wèn)題,且非常不靈活。
第二,若通過(guò)對(duì)流量和攻擊報(bào)文分析已知DDoS攻擊類型,那么也可以通過(guò)配置一些策略來(lái)減輕攻擊帶來(lái)的危害。譬如對(duì)DNS反射攻擊的防護(hù),首先若被攻擊的服務(wù)器并未提供DNS業(yè)務(wù),那么可以通過(guò)設(shè)置訪問(wèn)控制策略直接阻斷所有的DNS請(qǐng)求/回應(yīng);如果被攻擊的服務(wù)器是DNS相關(guān)服務(wù)器,那么最有效的方法是配置DNS服務(wù)器,只響應(yīng)合法區(qū)域的查詢。不過(guò)這種方法需要一定的專業(yè)知識(shí),需要運(yùn)維人員介入,同樣是不靈活的。
第三,提供充足的帶寬和性能很強(qiáng)的DNS服務(wù)器,也就是俗稱的“堆機(jī)器,拼資源”,不過(guò)這種方法也如同飲鴆止渴,期望“魔高一尺,道高一丈”是不太現(xiàn)實(shí)的。不過(guò)建議管理人員還是需要對(duì)DNS服務(wù)器的上聯(lián)鏈路的負(fù)載情況及時(shí)做好監(jiān)控,避免因鏈路擁塞導(dǎo)致丟包的情況出現(xiàn),同時(shí)還是需要在物理帶寬上投入一定的資源以防止上聯(lián)鏈路擁塞。
第四,在互聯(lián)網(wǎng)的核心路由入口側(cè)部署專業(yè)的DDoS流量檢測(cè)設(shè)備和DDos流量清洗設(shè)備,通過(guò)DDoS檢測(cè)設(shè)備與清洗設(shè)備之間進(jìn)行的策略聯(lián)動(dòng),及時(shí)對(duì)惡意的攻擊行為進(jìn)行發(fā)現(xiàn)、清洗、阻斷,這也是當(dāng)下較為為業(yè)界所認(rèn)可的防護(hù)方案。通過(guò)DNS協(xié)議的自身特點(diǎn),依托Intel、Tilera和Cavium等高效的硬件平臺(tái),開(kāi)發(fā)專門針對(duì)DDoS流量清洗的系統(tǒng)。這里可以構(gòu)建專用的DNS防護(hù)算法,如DNS QUERY FLOOD防護(hù)算法、DNS反射攻擊防護(hù)等,用于從根本上過(guò)濾掉攻擊流量。
但對(duì)于大量的中小網(wǎng)站、企業(yè)而言,花費(fèi)重金購(gòu)買防護(hù)資源是不現(xiàn)實(shí)的,不過(guò)現(xiàn)在隨著互聯(lián)網(wǎng)云技術(shù)的發(fā)展,很多大型互聯(lián)網(wǎng)公司都提供了云主機(jī)服務(wù),如騰訊云,阿里云等,并且免費(fèi)提供專業(yè)的DDoS檢測(cè)、清洗防護(hù)功能,如果廣大業(yè)務(wù)運(yùn)營(yíng)者擔(dān)心自己的業(yè)務(wù)或主機(jī)會(huì)遭受到DDoS攻擊,選擇現(xiàn)有的云服務(wù)也不失為一種有效的解決方案。
除了上述提到的幾種解決方案,還有一些業(yè)界比較成熟的方案值得我們借鑒。比如CloudFlare公司采用的Anycast技術(shù),該技術(shù)基于IP路由原理實(shí)現(xiàn)了自動(dòng)流量負(fù)載均衡,在發(fā)生DDoS攻擊時(shí),這種技術(shù)能夠有效的將攻擊流量分流到不同區(qū)域的防護(hù)節(jié)點(diǎn),進(jìn)行流量清洗。該方案已經(jīng)成功的在用戶環(huán)境中部署。
最后,隨著網(wǎng)絡(luò)上DDoS攻擊規(guī)模的不斷擴(kuò)大,DDoS工具的自動(dòng)化,資源充足和帶寬充裕,黑客發(fā)起DDoS攻擊成本越來(lái)越低,而針對(duì)DDoS的攻防對(duì)抗,又是一個(gè)博弈對(duì)抗的過(guò)程。在非技術(shù)層面上,事先需要制定好應(yīng)急預(yù)案和應(yīng)對(duì)措施,如業(yè)務(wù)的自身調(diào)整、與運(yùn)營(yíng)商的溝通和應(yīng)急措施同步。當(dāng)DDoS攻擊發(fā)生時(shí),需要多個(gè)部門間快速的響應(yīng),實(shí)施應(yīng)急方案和及時(shí)同步處理結(jié)果。同時(shí),建議從立法上,對(duì)這類攻擊進(jìn)行嚴(yán)懲,提升攻擊違法的成本。
河南億恩科技股份有限公司(mszdt.com)始創(chuàng)于2000年,專注服務(wù)器托管租用,是國(guó)家工信部認(rèn)定的綜合電信服務(wù)運(yùn)營(yíng)商。億恩為近五十萬(wàn)的用戶提供服務(wù)器托管、服務(wù)器租用、機(jī)柜租用、云服務(wù)器、網(wǎng)站建設(shè)、網(wǎng)站托管等網(wǎng)絡(luò)基礎(chǔ)服務(wù),另有網(wǎng)總管、名片俠網(wǎng)絡(luò)推廣服務(wù),使得客戶不斷的獲得更大的收益。
服務(wù)器/云主機(jī) 24小時(shí)售后服務(wù)電話:
0371-60135900
虛擬主機(jī)/智能建站 24小時(shí)售后服務(wù)電話:
0371-55621053
網(wǎng)絡(luò)版權(quán)侵權(quán)舉報(bào)電話:
0371-60135995
服務(wù)熱線:
0371-60135900