Akamai是一家大型互聯(lián)網(wǎng)CDN服務(wù)提供商,然而根據(jù)其最新的DDoS趨勢(shì)報(bào)告,發(fā)現(xiàn)利用DNSSEC協(xié)議的這類(lèi)攻擊已經(jīng)更加猖獗。DNSSEC是“域名系統(tǒng)安全擴(kuò)展”的簡(jiǎn)稱,作為DNS協(xié)議的擴(kuò)展,其包括了諸多保護(hù)DNS認(rèn)證和數(shù)據(jù)完整度的安全特性(因此叫它DNS+security也行),然而“反射DDoS”也在濫用DNSSEC協(xié)議。
業(yè)內(nèi)也將反射DDoS稱作R-DDoS、DRDoS或“分布式反射拒絕服務(wù)攻擊”。去年8月份的時(shí)候,我們?cè)钊虢馕鲞^(guò)諸多借助BitTorrent相關(guān)協(xié)議的“杠桿傳播”,但其背后的原理其實(shí)很簡(jiǎn)單。
一名攻擊者將一個(gè)“損壞的網(wǎng)絡(luò)包”發(fā)送到服務(wù)器,然而之后它會(huì)被發(fā)送回另一個(gè)用戶(即攻擊的受害者)。該網(wǎng)絡(luò)包會(huì)濫用一個(gè)特定的協(xié)議,借助于各種缺陷,其可放大自身的數(shù)量,有時(shí)×2、有時(shí)×10(甚至還有將攻擊增強(qiáng)200倍的)。
根據(jù)Akamai的報(bào)告,自2015年11月起,該公司已經(jīng)遭遇并緩解了超過(guò)400起DDoS反射攻擊。攻擊者主要使用了.gov的域名,這歸咎于美國(guó)法規(guī)必須支持DNSSEC。
盡管DNSSEC可以防止域名被劫持,但它卻無(wú)法阻擋反射DDoS攻擊,而攻擊者們顯然都看到了這個(gè)薄弱點(diǎn),更別提它是標(biāo)準(zhǔn)DNSSEC響應(yīng)的很大一塊了(除了域名和許多認(rèn)證類(lèi)相關(guān)數(shù)據(jù)之外)。
Akamai SIRT(安全情報(bào)響應(yīng)小組)表示:攻擊者沒(méi)有做什么特殊的事情,他們用的還是同樣的DDoS工具包,因?yàn)镈NS解析器仍然開(kāi)放著。問(wèn)題的關(guān)鍵是他們請(qǐng)求了DNSSEC的域名(通常為a.gov之類(lèi),修改為DNS請(qǐng)求的受害者IP,而不是他們自己的)。
開(kāi)放的DNS解析器會(huì)將它翻譯成一個(gè)IP,通過(guò)額外的DNSSEC請(qǐng)求數(shù)據(jù)來(lái)阻塞響應(yīng),然后將它發(fā)送回受害者IP。
標(biāo)準(zhǔn)DNS響應(yīng)大小為512字節(jié)(bytes),而附帶各種配置的DNSSEC甚至能夠達(dá)到4096字節(jié)。這意味著DNSSEC反射DDoS攻擊的放大系數(shù),有時(shí)甚至能達(dá)到8×。
鑒于線上有3200萬(wàn)開(kāi)放DNS解析器(其中有2800萬(wàn)被認(rèn)為是受漏洞影響的),攻擊者很容易就找到利用它們的方法。
Akamai的報(bào)告稱,DNSSEC反射DDoS攻擊的有記錄峰值數(shù)據(jù)為123.5Gbps,其中超半數(shù)都是針對(duì)游戲行業(yè)的(其次是金融領(lǐng)域)。
好消息是,只需對(duì)ALCs進(jìn)行一些優(yōu)化,開(kāi)放DNS解析器能夠防止服務(wù)被反射DDoS攻擊所濫用。