脆弱的DNS,已然成被锁定的主要网络攻击目标
信息安全威胁的面相当广泛,受到黑客侵入、服务器或员工电脑遭恶意软件感染、机密数据被窃,只是其中几种常见的方式,然而,当前企业IT在日常运维的工作上,更恐惧却也可能经常面临的威胁是分布式服务阻断攻击(DDoS),因为一旦你的对外网络、应用服务器遭受到这样的攻击时,将无法正常运作。
DDoS攻击并不是这几年才出现的威胁,但过去锁定的目标除了是瘫痪目标的网络基础设施之外,在应用层的攻击对象大多是网站服务器,近年来针对域名系统(DNS)的攻击比例也开始显著提升,并且跃居第二大攻击目标。
利用DNS的特性,黑客即能以低成本发动巨大流量瘫痪目标网络
要理解DDoS的攻击原理其实不难,有人提出相当贴切的比喻:当你想要瘫痪一家公司的客服专线服务时,只需要号召一定规模的人数拨打电话过去捣蛋,就可能有机会彻底占据对方的通讯线路,并使客服专线处于忙碌到无法服务到其他正常使用者来电的状态。
一般而言,DDoS攻击所针对的目标,主要是网络基础架构,最常见的攻击方式包括:以利用TCP联机三向交握通讯模式的漏洞来发动TCP SYN洪水攻击,以及利用不需三向交握就能传送的UDP封包洪水攻击,还有以伪造来源IP地址发送大量ICMP封包给目的IP地址的ICMP洪水攻击,这些都是属于针对网络第三层的攻击;另外,针对网络第7层的应用服务,黑客也经常针对网站服务器的存取,来发动大量下载行为的HTTP GET洪水攻击。透过这些方式,攻击者可消耗殆尽对方的网络带宽或处理器资源,瘫痪对方提供的网络服务。
这种情况至今仍然继续,但值得注意的是,从2012年第三季开始,运用DNS的洪水攻击开始逐渐增加,根据DDoS防护产品的厂商Prolexic的年度DDoS攻击报告来看,DNS攻击的比例在去年第4季达到史上最颠峰,达到9.58%。在另一家DDoS防护产品厂商Arbor Networks的全球2013年度基础架构安全报告中,也有类似的观察,他们发现有10%的DDoS大量攻击是来自UDP 53埠。而且,DNS这项网络服务所运用的通讯端口,仅次于最常被攻击的HTTP网站服务所采用的80埠(29%)。
在负载平衡与网络设备商Radware提出的全球应用系统与网络安全2013年度报告中,呼应了这样的趋势,从2012年开始到2013年,将DNS作为攻击目标的比例逐渐超越了SMTP,成为应用层DoS/DDoS攻击的第二大面向(2011年两者的比例平分秋色,都是9%,SMTP到2013年才略微提升到11%),而且领先幅度越来越大,在2013年升高到21%,与网站受到这类攻击的比例越来越接近(27%)。
而在Arbor Networks对于应用层DDoS攻击的统计分析中,也看到DNS以77%的高比例,赢过HTTPS(54%)成为第二大目标,而且仅次于HTTP(82%),至于SMTP只有25%,挤不上前三名。
针对DNS网络服务的DDoS攻击能在几年内快速崛起,跟采用特定DNS攻击手法有很大的关系,其中,最主要的就是利用放大(Amplification)或折射(Reflection)方式所产生的巨量DDoS攻击,最广为人知。例如去年3月发生震撼全球的巨量DDoS攻击事件,产生高达300Gbps的网络攻击流量,针对的目标是反垃圾邮件组织Spamhaus,当时就是利用这种方式,发动了折射式的分散阻断服务攻击(Distributed Reflection Denial of Service,DRDoS)。
值得一提的是,这种放大∕折射攻击的手法在今年有新的呈现。有人利用NTP网络校时协议发动了DDoS的放大攻击,所产生的网络流量高达400Gbps,在相隔近一年的短暂时间内,居然又打破了先前攻击Spamhaus所创下的历史纪录。
DNS攻击绑架大量用户网络联机,Google也是受害者之一
在DNS这个网络服务上,除了以「量」为主体的攻击模式,还有针对DNS权威服务器(Authoritative DNS Servers)、DNS服务器递归查询(Recursive DNS Servers)的攻击方式,以及设法在DNS快取数据内下毒(DNS Cache-Poisoning Attacks)的手法。以DNS快取下毒这种攻击模式来说,黑客所攻击的是负责提供DNS快取服务的中继服务器,入侵里面的系统,并且伪造了特定域名的IP地址记录,结果让用户连到攻击者所设立的服务器,以达到窃取机密的目的,这实现了中间人攻击。而在Arbor Network的报告中,有2到3成比例的使用单位表示在2013年经历过上述的DNS攻击。
去年有哪些重大安全事件,跟这些DNS攻击方式有关?8月底,发生纽约时报和Twitter受到叙利亚电子军(Syrian Electronic Army,SEA)所发动的DNS攻击,但对方是先侵入DNS服务供货商Melbourne IT──这样的公司也就是所谓的域名注册商(registrars),并窜改了DNS服务器的NS记录(这是一个将域名解析由特定DNS服务器执行的设定),将权威DNS服务器改为叙利亚电子军的DNS服务器,随后,各地存取这两个网站的流量就被导向到叙利亚电子军设立的恶意网站。
更早几年,Twitter在2009年12月也曾遭到伊朗网军(Iranian Cyber Army)发动的DNS攻击,对方是透过窜改DNS记录,以便将用户存取该网站的网络流量,能重新导向到他们控制的服务器,也就是攻下DNS权威服务器(Authoritative DNS takeovers)。
今年1月,国内也出现大规模网站无法存取的事件,原因是DNS被劫持。当地用户连到许多以.com与.net为域名的网站时,会被导引到美国Dynamic Internet Technologies公司的IP地址。
3月初,全球网络巨擘Google也面临重大的DNS攻击。他们提供给大众的公用DNS服务器8.8.8.8,遭到DNS劫持(DNS Hijacking)的状况长达22分钟,当时所有使用该DNS服务的网络流量都被绑架,传到巴西和委内瑞拉境内。
隔没多久,3月底、4月初Google DNS服务又发生遭到土耳其网络供货商的拦截事件。对方设立了DNS服务器假装是Google DNS,挟持当地人民的网络联机使用假冒的Google DNS。
整体而言,DNS攻击事件未来仍将不断发生,而且遭遇的频率将越来越频繁,又很难预防与实时反应。因为大部分现行的许多网络存取行为,像是网页浏览、行动装置的App运作、云端服务的协同运作,背后都需仰赖DNS来查询不同网址所代表的IP地址,进而连接后端服务器执行系统的操作。
Google软件工程师Steven Carstensen表示,DNS就像是一本电话簿或通讯簿,能够让你找到联络人的号码一样,如果有人用另一本电话簿偷偷取代原有那一本,而且看起来一模一样,但里面的内容已经变造,你可能就因此无法跟朋友联络。
这显示了DNS这项网络服务相当脆弱,似乎要操控、挟持的难度并不高,而且,不论你是身为Twitter、Google这样拥有顶尖技术能力和人才的网络公司,都无法在这样的威胁下幸免于难。
历年来全球发生重大DNS攻击事件簿
2009年 12月,Twitter因为域名注册商的DNS记录被黑客窜改,而受到挟持,网站受到影响1小时。
2010年 中国百度网站出现无法存取的状况,主要是因为DNS记录被窜改,该站所用的域名baidu.com在美国域名注册商处,遭到伊朗网军非法篡改,瘫痪时间约11个小时。
2011年 巴西几个主要的网络服务业者发生大规模DNS快取下毒攻击,影响高达7300万台电脑,以及3、4百万用户。
2012年 Go Daddy遭DDoS攻击,该业者在美国地区的DNS服务器受到影响。
2013年 纽约时报和Twitter因为DNS服务商Melbourne IT遭叙利亚电子军入侵,所属域名记录被窜改,存取该网站的流量重新导引到攻击者设计的网站。
2014年 Google DNS遭到DNS绑架攻击,部分流量被重导至巴西和委内瑞拉。土耳其网络供货商拦截流量,并设立服务器假冒Google DNS,管制言论自由。
期待您关注“云头条”。谢谢关注与分享!