域名系統(tǒng)其實(shí)不堪一擊
開放DNS服務(wù)器是引爆整個歐洲互聯(lián)網(wǎng)的定時炸彈?在Spamhaus遭受攻擊的事件中,攻擊者借助現(xiàn)網(wǎng)數(shù)量龐大的開放DNS服務(wù)器,采用DNS反射攻擊將攻擊流量輕松放大100倍。攻擊過程使用了約3萬臺開放DNS服務(wù)器,攻擊者向這些開放DNS服務(wù)器發(fā)送對ripe.net域名的解析請求,并將源IP地址偽造成Spamhaus的IP地址,DNS請求數(shù)據(jù)的長度約為36字節(jié),而響應(yīng)數(shù)據(jù)的長度約為3000字節(jié),經(jīng)過DNS開放服務(wù)器反射將攻擊流量輕松放大100倍。攻擊者只需要控制一個能夠產(chǎn)生3Gbps流量的僵尸網(wǎng)絡(luò)就能夠輕松實(shí)施300Gbps的大規(guī)模攻擊。而攻擊過程中,每個DNS服務(wù)器發(fā)出的流量只需要10Mbps,這樣小的攻擊流量很難被DNS業(yè)務(wù)監(jiān)控系統(tǒng)監(jiān)測到。事實(shí)上,開放DNS服務(wù)器在互聯(lián)網(wǎng)上數(shù)目龐大,遠(yuǎn)不止3萬臺?;ヂ?lián)網(wǎng)如果繼續(xù)保持開放DNS服務(wù)器的無管理狀態(tài),利用開放DNS系統(tǒng)發(fā)起的DNS反射攻擊事件就會越來越多,攻擊規(guī)模也會越來越大。本次攻擊事件讓人們意識到:開放DNS服務(wù)器是互聯(lián)網(wǎng)的定時炸彈,如果不加以治理,未來的某一天將會爆發(fā)更大規(guī)模的DDoS攻擊。
中國互聯(lián)網(wǎng)系統(tǒng)依然脆弱。.CN域名受攻擊導(dǎo)致訪問延遲或中斷,部分網(wǎng)站的域名解析受到影響。攻擊影響了超過800萬個互聯(lián)網(wǎng)用戶在中國域名.CN注冊的網(wǎng)站的訪問,其中包括流行的社交網(wǎng)站新浪微博。大量新浪微博用戶抓狂,因?yàn)槌霈F(xiàn)了首頁無法刷新、評論被全部清空等“癥狀”。獨(dú)立情報分析專家艾德認(rèn)為,此次網(wǎng)絡(luò)攻擊暴露出整個中國網(wǎng)絡(luò)的脆弱性,“如果所有以.CN結(jié)尾的網(wǎng)站,因一個簡單的拒絕服務(wù)攻擊就被擊垮的話,那么中國互聯(lián)網(wǎng)系統(tǒng)比我們原先想象的更脆弱。很顯然,中國網(wǎng)絡(luò)安全有待完善和提高。”專家稱,日益頻發(fā)的域名系統(tǒng)安全事件,暴露出域名系統(tǒng)相關(guān)技術(shù)還不夠成熟,需要持續(xù)提升完善。
保護(hù)域名安全任重道遠(yuǎn)
如果把一個網(wǎng)站比作一座房子,那么域名就是這座房子的門,而這扇門擁有許多功用,它是別人訪問網(wǎng)站的必經(jīng)之地,同時也是保護(hù)網(wǎng)站的重要所在,所以保護(hù)好域名的安全,相當(dāng)于保護(hù)一個網(wǎng)站的安全。而DNS,相當(dāng)于鑰匙,在保護(hù)域名的安全中起著至關(guān)重要的作用。據(jù)域名工程中心發(fā)布的《2013年互聯(lián)網(wǎng)根和頂級域名發(fā)展報告》顯示,截至2013年8月12日,ICANN共收到了來自全球111個國家和機(jī)構(gòu)的1822個新通用頂級域名申請。這也就意味著,在短時間內(nèi),像.com一樣的千余個新通用頂級域名即將上線,并面向公眾開放注冊。隨著越來越多的域名即將涌現(xiàn),域名安全問題將因此受到更大的挑戰(zhàn)。
據(jù)知名科技公司Prolexic的統(tǒng)計(jì),2013年第三季度,DDoS攻擊的數(shù)量比2012年同期增長了58%,攻擊時長延長了13.3%。出于對域名系統(tǒng)戰(zhàn)略意義的考慮,美國、德國、日本、韓國等國家都對域名系統(tǒng)給予了高度重視。在基礎(chǔ)設(shè)施、聯(lián)動機(jī)制、安全意識、立法、國際合作方面,我國政府和互聯(lián)網(wǎng)行業(yè)已有所行動,并將繼續(xù)加強(qiáng)諸方面的工作。
強(qiáng)化國家域名系統(tǒng)基礎(chǔ)設(shè)施的建設(shè)。據(jù)域名工程中心技術(shù)監(jiān)測數(shù)據(jù)顯示,國內(nèi)的域名服務(wù)器總量為100萬臺左右,活躍域名服務(wù)器數(shù)量為7萬臺, 62%以上的權(quán)威域名服務(wù)器使用開源的Linux系統(tǒng),微軟Microsoft Windows操作系統(tǒng)所占比例在36%左右, 95%以上的域名服務(wù)器使用開源的ISC BIND域名解析軟件??梢钥闯?,從域名服務(wù)器操作系統(tǒng)到域名解析軟件,幾乎已被微軟和國外的開源軟件所壟斷。開源軟件預(yù)留“后門”的風(fēng)險較小,但也方便黑客借助其軟件漏洞進(jìn)行網(wǎng)絡(luò)攻擊。CNNIC執(zhí)行主任李曉東建議,要從國家戰(zhàn)略高度進(jìn)一步提升對域名系統(tǒng)的重視程度。面對日益嚴(yán)峻的國際政治形勢和網(wǎng)絡(luò)安全態(tài)勢,亟須進(jìn)一步從國家層面加大投入,強(qiáng)化國家域名系統(tǒng)基礎(chǔ)設(shè)施的建設(shè),在網(wǎng)絡(luò)帶寬、機(jī)房環(huán)境、運(yùn)行保障、應(yīng)急協(xié)調(diào)等方面確保充足的資源支撐。加大對芯片、操作系統(tǒng)、數(shù)據(jù)庫等基礎(chǔ)和關(guān)鍵信息技術(shù)攻關(guān)的支持力度,對重點(diǎn)領(lǐng)域和關(guān)鍵部門采用的進(jìn)口信息技術(shù)產(chǎn)品和系統(tǒng)進(jìn)行安全測評,推動國產(chǎn)替代進(jìn)程,確保自主可控。
域名系統(tǒng)安全聯(lián)動機(jī)制需進(jìn)一步完善。除了擴(kuò)充國家域名的絕對數(shù)量外,各相關(guān)方的配合聯(lián)動同樣非常重要。要定期進(jìn)行黑客攻擊模擬演練,聘請專業(yè)的安全人員協(xié)助相關(guān)運(yùn)營方進(jìn)行漏洞查明和修補(bǔ)。采取及時修補(bǔ)漏洞等手段加強(qiáng)信息安全防護(hù),通過增加.CN頂級域名服務(wù)器數(shù)量、調(diào)整服務(wù)器部署模式等手段提升服務(wù)能力,通過增強(qiáng)在態(tài)勢感知、信息共享、應(yīng)急響應(yīng)等方面的能力打造多位一體的互聯(lián)網(wǎng)安全監(jiān)管體系。事先需要制定好應(yīng)急預(yù)案和應(yīng)對措施,如業(yè)務(wù)的自身調(diào)整、與運(yùn)營商的溝通和應(yīng)急措施同步。當(dāng)DDoS攻擊發(fā)生時,需要多個部門間快速響應(yīng),實(shí)施應(yīng)急方案和及時同步處理結(jié)果。
增強(qiáng)域名安全防范意識。國內(nèi)域名注冊商易名中國分析了近年來眾多域名安全事件,最終總結(jié)了域名被盜流程大致是:盜取郵箱賬號和盜取域名所在服務(wù)商賬號,登錄郵箱就可以找回在域名服務(wù)商注冊域名的密碼。通過這一流程不難看出,導(dǎo)致域名被盜的關(guān)鍵還是域名持有者的安全意識,除了增強(qiáng)域名安全防范意識之外,更為科學(xué)的驗(yàn)證信息流程也至關(guān)重要。
DDoS攻擊漸成主流攻擊方式
常見的域名安全問題有域名信息更改、域名劫持、中間人攻擊等形式。DDoS攻擊,即分布式拒絕服務(wù)攻擊,是目前黑客經(jīng)常采用而難以防范的攻擊手段。黑客一般是通過制作僵尸網(wǎng)絡(luò)的方式攻擊域名,即在計(jì)算機(jī)中植入特定的惡意程序控制大量“肉雞”(指可以被黑客遠(yuǎn)程控制的機(jī)器),然后通過相對集中的若干計(jì)算機(jī)向相對分散的大量“肉雞”發(fā)送攻擊指令,引發(fā)短時間內(nèi)流量劇增。知名科技公司Arbor Networks發(fā)布的《全球基礎(chǔ)設(shè)施安全報告》中指出,DDoS攻擊在規(guī)模上趨于穩(wěn)定,但卻更加復(fù)雜。同時,DDoS攻擊已經(jīng)成為高級持續(xù)威脅(APT)的一部分,而APT則成為服務(wù)提供商和企業(yè)的頭等大事。
針對應(yīng)用層的DDoS攻擊事件上升趨勢明顯。華為云安全中心的統(tǒng)計(jì)數(shù)據(jù)顯示,針對HTTP應(yīng)用的DDoS攻擊已經(jīng)占到攻擊總量的89.11%。在中國各地區(qū),北京、上海、深圳的DDoS攻擊事件最多,占全國總量的81.42%。數(shù)據(jù)中心一直是DDoS攻擊的重災(zāi)區(qū)。在數(shù)據(jù)中心,排名前三的被攻擊業(yè)務(wù)分別為電子商務(wù)、在線游戲、DNS服務(wù)。尤其是針對DNS服務(wù)的攻擊影響面最廣,對互聯(lián)網(wǎng)基礎(chǔ)架構(gòu)所造成的威脅也最嚴(yán)重。而在WEB攻擊的主要目標(biāo)中,排名前三的被攻擊業(yè)務(wù)分別為電子商務(wù)、網(wǎng)頁游戲、在線金融業(yè)務(wù)。針對數(shù)據(jù)中心的網(wǎng)絡(luò)層DDoS攻擊則直接威脅到網(wǎng)絡(luò)基礎(chǔ)設(shè)施(如防火墻、IPS、負(fù)載均衡設(shè)備),而應(yīng)用層DDoS攻擊則威脅著在線業(yè)務(wù)。頻繁的DDoS攻擊導(dǎo)致數(shù)據(jù)中心運(yùn)營成本增高,而帶寬的可用性降低則導(dǎo)致客戶滿意度下降甚至流失。
DDoS攻擊呈現(xiàn)新趨勢。今年3月份針對國際公司Spamhaus的300G超大流量的DDoS攻擊,攻擊者主要采取的手法就是DNS放大攻擊,也叫反射攻擊技術(shù)(DrDoS),這種攻擊技術(shù)的特點(diǎn)就是利用互聯(lián)網(wǎng)上開放的DNS遞歸服務(wù)器作為攻擊源,利用“反彈”手法攻擊目標(biāo)機(jī)器。在DNS反射攻擊手法中,假設(shè)DNS請求報文的數(shù)據(jù)部分長度約為40字節(jié),而響應(yīng)報文數(shù)據(jù)部分的長度可能會達(dá)到4000字節(jié),這意味著利用此手法能夠產(chǎn)生約100倍的放大效應(yīng)。由于這種攻擊模式成本低、效果好、追蹤溯源困難,而且由于脆弱的DNS體系具有開放式特點(diǎn),難以徹底杜絕。
域名安全涉及的是政治與金錢
政治動機(jī)、經(jīng)濟(jì)犯罪、惡意競爭依然是黑客發(fā)起DDoS攻擊的主要目的。由于幫助電子郵箱服務(wù)供應(yīng)商過濾垃圾電子郵件和不受歡迎內(nèi)容,Spamhaus的行為招致黑客的報復(fù)性攻擊,他們攻擊了Spamhaus的域名系統(tǒng)(DNS)服務(wù)器。據(jù)悉,此次攻擊事件的嫌疑人、荷蘭黑客斯文·奧拉夫·坎普赫伊斯已經(jīng)被逮捕。據(jù)中國互聯(lián)網(wǎng)絡(luò)信息中心稱,8月25日凌晨,國家域名解析節(jié)點(diǎn)受到拒絕服務(wù)攻擊,導(dǎo)致部分網(wǎng)站訪問緩慢或中斷。這是.CN域名近些年來發(fā)生的最大一次網(wǎng)絡(luò)攻擊事件,攻擊流量遠(yuǎn)超歷史峰值,可能是有組織網(wǎng)絡(luò)攻擊行為。安全公司Prevendra的CEO伯蓋斯稱,此次中國互聯(lián)網(wǎng)攻擊的肇事者“可能來自中國國內(nèi)的犯罪集團(tuán)”。9月24號,CNNIC和工信部揪出了本次攻擊事件的始作俑者——一名來自山東青島的黑客。據(jù)調(diào)查發(fā)現(xiàn),該黑客本意是要攻擊一個游戲私服網(wǎng)站,使其癱瘓,后來他為了更快達(dá)到這個目的,直接對.CN的根域名服務(wù)器進(jìn)行了DDoS攻擊,發(fā)出的攻擊流量堵塞了.CN根服務(wù)器的出口帶寬,致使.CN根域名服務(wù)器的解析故障,使得大規(guī)模的.CN域名無法正常訪問。
敲詐勒索催生黑色產(chǎn)業(yè)鏈。自國內(nèi)的互聯(lián)網(wǎng)事業(yè)興起以來,國內(nèi)有一些常年進(jìn)行DDoS攻擊的組織或個人,脅迫某些“私服”游戲的運(yùn)營團(tuán)隊(duì)并收取“保護(hù)費(fèi)”,如果不合作便采取DDoS暴力攻擊,使其無法正常運(yùn)營。而這些“私服”的運(yùn)營團(tuán)隊(duì)本身業(yè)務(wù)就涉及侵權(quán),所以他們在遇到DDoS威脅時絕不敢報警或維權(quán),往往被迫接受。這種惡性循環(huán)的結(jié)果就是這些網(wǎng)絡(luò)中的惡意脅迫越來越肆無忌憚,這些從事DDoS攻擊商業(yè)行為的組織或個人也演變成了各式各樣的“網(wǎng)絡(luò)黑幫”,各式黑色產(chǎn)業(yè)鏈也層出不窮。由于當(dāng)今互聯(lián)網(wǎng)上DDoS攻擊的門檻已經(jīng)越來越低,雇主可以購買DDoS攻擊服務(wù),攻擊可指定時間、指定流量、指定攻擊效果。總的來說,同行業(yè)間的惡意競爭是導(dǎo)致DDoS攻擊愈演愈烈的最大原因,同時被攻擊后定位攻擊者所花費(fèi)的成本較高也是這類事件層出不窮的重要原因。
2013年域名安全事件回顧
隨著域名系統(tǒng)作為互聯(lián)網(wǎng)中樞神經(jīng)系統(tǒng)的重要作用日益凸顯和互聯(lián)網(wǎng)應(yīng)用的日益廣泛,域名安全事件也呈現(xiàn)多發(fā)趨勢。近年來,微軟、谷歌、《紐約時報》、Twitter、騰訊、百度、土豆網(wǎng)、大眾點(diǎn)評網(wǎng)等國內(nèi)外知名網(wǎng)站域名相繼被攻擊、被劫持,小站長、米農(nóng)域名等被盜事件也比比皆是?;仡?013年,重大域名安全事件不絕于耳,東西方皆無寧日。
有史以來最大的DDoS攻擊。2013年3月16日至3月27日,歐洲反垃圾郵件組織Spamhaus遭受了有史以來最大的DDoS(分布式拒絕服務(wù))攻擊。攻擊強(qiáng)度達(dá)到300Gbps?!都~約時報》將其稱為“前所未有的大規(guī)模網(wǎng)絡(luò)攻擊”。
美多家網(wǎng)站遭敘利亞電子軍攻擊。今年4月,美聯(lián)社的Twitter賬號被入侵,并給金融市場造成短暫動蕩,敘利亞電子軍(SEA)聲稱那次攻擊是他們干的。8月28日,包括Twitter、《紐約時報》、《赫芬頓郵報》、CNN、《華盛頓郵報》旗下網(wǎng)站在內(nèi)的多家美國媒體與網(wǎng)站出現(xiàn)宕機(jī),疑遭SEA攻擊。《紐約時報》的網(wǎng)站無法登錄,頁面顯示的信息是“網(wǎng)絡(luò)錯誤(DNS)服務(wù)器無法連接”,這是DDoS攻擊的一個特點(diǎn)。
臺菲爆發(fā)黑客大戰(zhàn)。5月10日,臺灣黑客對菲律賓政府網(wǎng)站發(fā)起攻擊,黑客利用DDoS攻擊癱瘓多個菲律賓政府網(wǎng)站。但隨即引發(fā)菲律賓黑客以同樣方式還擊,馬英九辦公室、經(jīng)濟(jì)部門等機(jī)構(gòu)部門網(wǎng)站遭到攻擊。13日,臺灣黑客組織“匿名者-臺灣分部”取得DNS控制權(quán),全面控制菲國政府網(wǎng)站、電子郵件,并發(fā)表聲明,要求菲律賓政府道歉、嚴(yán)懲兇手。最終,菲律賓黑客公開求饒:“請對準(zhǔn)菲政府,別再搞我們了。”
DNS中毒攻擊入侵IT網(wǎng)站。5月,Websense公司成功檢測到一起發(fā)生在肯尼亞的DNS中毒攻擊事件,這次攻擊以包括谷歌、Bing、LinkedIn等在內(nèi)的知名信息技術(shù)網(wǎng)站為攻擊目標(biāo)。在此次攻擊事件中,被攻擊者利用的DNS記錄指向一個關(guān)于黑客信息的頁面,將網(wǎng)站瀏覽用戶引至惡意網(wǎng)站。這次DNS攻擊是所謂的孟加拉黑客集團(tuán)發(fā)起的一次大規(guī)模攻擊。
土豆網(wǎng)、大眾點(diǎn)評網(wǎng)域名遭劫。5月11日,白帽子工程師陳再勝在烏云網(wǎng)站上報告了土豆網(wǎng)出現(xiàn)漏洞,隨后,土豆網(wǎng)遭遇域名被劫。6月17日,北京地區(qū)用戶訪問大眾點(diǎn)評網(wǎng)域名的時候會被跳轉(zhuǎn)到天貓的促銷頁面,該訪問異常狀態(tài)一直持續(xù)到6月18日凌晨才逐漸恢復(fù)。本次網(wǎng)站故障是由于大眾點(diǎn)評網(wǎng)的域名服務(wù)商新網(wǎng)網(wǎng)站程序存在漏洞,導(dǎo)致新網(wǎng)的其他注冊用戶可以修改任意新網(wǎng)注冊域名的IP指向。
LinkedIn網(wǎng)站域名遭劫持。6月20日,全球最大的職業(yè)社交網(wǎng)站LinkedIn發(fā)生故障,已確認(rèn)為域名服務(wù)器(DNS)錯誤。分析稱,LinkedIn網(wǎng)站的DNS可能被挾持,其域名會跳轉(zhuǎn)至其他IP地址,懷疑遭到黑客攻擊。
谷歌公司巴勒斯坦網(wǎng)站遭遇攻擊。8月,谷歌公司在巴勒斯坦的Google網(wǎng)站遭到了黑客的襲擊。當(dāng)用戶訪問google.ps之后,他們會被直接帶到另外一個不同的網(wǎng)站。
荷蘭域名服務(wù)器失守。8月12日,黑客成功進(jìn)入SIDN的DRS(域名登記系統(tǒng)),有效地把SIDN的DRS流量導(dǎo)向一個外部域名服務(wù)器。荷蘭安全公司Fox-IT認(rèn)為,這次的侵入影響到數(shù)千個域名,毫無戒備的用戶訪問受影響域名時會被轉(zhuǎn)到一個“正在修建中”的網(wǎng)頁上,網(wǎng)頁則同時會通過一個iframe送出惡意軟件。惡意軟件是一個黑洞(Black Hole)攻擊套件,會通過Java和PDF的漏洞給自己取得電腦訪問權(quán)。
.CN域名遭受史上最大攻擊。2013年8月25日凌晨,.CN域名出現(xiàn)大范圍解析故障,.CN的根域授權(quán)DNS出現(xiàn)全線故障,導(dǎo)致大面積.CN域名無法解析。經(jīng)中國互聯(lián)網(wǎng)絡(luò)信息中心(CNNIC)確認(rèn),國家域名解析節(jié)點(diǎn)遭受到有史以來規(guī)模最大的拒絕服務(wù)攻擊,攻擊影響了超過800萬個互聯(lián)網(wǎng)用戶在中國域名.CN注冊的網(wǎng)站的訪問。