迄今为止,中国台湾和菲律宾就渔船枪击事件的谈判还未平息,菲律宾方面态度依然强硬。不过,在两地民间黑客战争中,菲律宾黑客已经公开求饶:“请对准菲政府,别再搞我们了”。此前,在这场黑客战争中,先是菲律宾黑客攻击了中国台湾“政府”网站,导致后者多个官方网站一度不能正常连网,接着,台湾黑客也不甘示弱予以反击,侵入了菲律宾政府的DNS服务器并要求菲律宾政府道歉,否则黑客不会停止类似攻击。
台菲黑客大战技术揭秘
撇开其他不谈,从安全技术的角度看,在这场台菲黑客大战中,双方都用到了哪些攻击手段?攻击力度有多大呢?
曾著有《Web前端黑客技术揭秘》、现任知道创宇公司研究部总监的钟晨鸣告诉记者,对于这次台菲黑客大战用到的攻击手段,安全界说法有很多。其中,菲律宾对台湾用到最多的是DDoS攻击,台湾对菲律宾目标网站的入侵属于常见的DNS劫持。
DNS是DomainNameSystem的缩写,域名系统以分布式数据库的形式将域名和IP地址相互映射,DNS在网络实现过程中担当着重要的角色。一旦DNS服务瘫痪,空间服务器将无法正确反馈网络用户的域名访问请求。
DNSPod创始人、网络安全专家吴洪声认为,这次黑客大战跟之前“中美”黑客大战的情况有点类似(51CTO编者注:“中美”黑客大战发生在2001年,是由一起撞机事件引发的网络战争,攻击手法以你来我往地篡改对方网页为主),不过,在这次台菲黑客大战使用的技术中,DDoS攻击出现得非常多,在双方的攻击手段中都占有较大比重。另外,台湾黑客已经入侵到菲律宾的DNS服务器,由于一台DNS服务器可以控制一大批网站,攻击成本明显降低,效果却大大加强了。
菲律宾黑客为何讨饶?台湾黑客攻陷菲律宾的DNS服务器后究竟能做什么?吴洪声说,无论是什么类型的DNS服务器,如果被黑客完全控制都是极端危险的。有一种常见的诈骗方法是钓鱼网站,即:使用与正常域名非常相似的诈骗用域名(比如用数字1替换字母i,看起来非常相似)做一个界面完全一样的网站骗人。DNS服务器被攻陷以后,就可以使用完全正确的域名来进行钓鱼了。用户访问时输入的是正确的网址,实际访问的服务器却有可能将你引向黑客自己搭建的恶意网站。这种情况很难用技术手段检测出来,一旦发生,肯定会有巨大损失。
对于台湾对菲律宾DNS攻击的细节,《台湾骇客已取得菲律宾DNS资料库帐号与密码》(http://netsecurity.51cto.com/art/201305/393408.htm)一文有详细阐述,该文作者“猪哥靓”称,台湾黑客已经控制了菲律宾所有gov.ph网址的DNS。DNS负责将网址转换成IP,取得了dns.gov.ph,就可以对菲律宾全部gov.ph的网站改IP,改成自己的服务器,由此将对方整个网站换掉。另外,取得DNS,还可以修改电子邮件服务器的IP,让所有@***.gov.ph的电子邮件瘫痪。#p#
细数DNS攻击:谁又被黑了
DNS系统是所有互联网应用的基础,在网站运维中至关重要,因此已经成为黑客攻击的重点目标。针对DNS的攻击大致有三类:第一类是DNS域名劫持,是通过某些手段取得域名解析控制权,修改该域名解析结果,导致对该域名的访问由原IP地址转入到修改后的指定IP,其结果就是对特定的网址不能访问或访问的是假网址;第二类是域名欺骗(缓存投毒),其方式不止一种,但都是利用网民ISP端的DNS缓存服务器的漏洞进行攻击或控制,将错误的域名记录存入缓存中,使所有使用该缓存服务器的用户得到错误的DNS解析结果;第三类是针对DNS服务器的拒绝服务攻击(DDoS攻击),其中,一种是针对DNS服务器软件本身,利用BIND软件程序中的漏洞,导致DNS服务器崩溃或拒绝服务,另一种是利用DNS服务器作为“攻击放大器”,去攻击其他互联网上的主机,导致被攻击主机拒绝服务。
以往,曾经给人们留下深刻印象的DNS安全事件有:新网被黑、百度被黑等。今天,针对DNS系统的种种攻击事件仍在不断发生:
今年3月,欧洲反垃圾邮件组织Spamhaus突然遭受到高达300Gbps的大流量DDoS攻击。此次攻击是典型的DNS反射/放大攻击,这种攻击通过使用多个客户端肉机(bots僵尸肉机)将查询发送到多个开放DNS解析器中,从而使大量的攻击流量从广泛分布源中产生(在Spamhaus袭击期间,使用了超过30K开放解析器)。
在国内的最新案例是:5月12日,知名视频网站土豆网被黑。土豆网官方微博发布消息称,当天晚间确实出现土豆网部分用户无法正常浏览网页的情况,经核实,该情况是因新网(互联)漏洞致使DNS遭受劫持造成。
DNSPod相关技术负责人近日透露,今年4月底,国内某大型网游平台突然遭到高达70Gbps的DNSFlood攻击,经过必要的防护升级,长达一天后,“洪水式”攻击才被成功化解。
究竟哪一类网站最容易遭到DNS攻击?吴洪声告诉记者,从目前来看,在国内,与游戏相关的网站,以及与减肥医药相关的行业网站比较容易遭到DNS攻击,占到了攻击总数量的70%以上。究其原因,是这些行业从业者较多,竞争激烈而无序,有些人便使用攻击竞争对手的方式来赢得市场份额。#p#
黑客产业链让DNS攻击愈演愈烈
来自DNSPod的数据显示,在DNS中,简单的漏洞(如:域传送漏洞)虽然时不时依然会出现,但出现的次数已经越来越少了。不过,与此同时,DDoS和Flood攻击所占比重越来越大,这也是最严重的两类DNS攻击。DNSPod的服务器组每天要抵御十几次大大小小的这样的攻击。这两种攻击并不需要特别高深的系统入侵技术,攻击者只要投入相应的资金就可以达到攻击对手的目的。而利用DNS污染进行攻击对技术要求比较高,通常用于针对大型公司的攻击。
近些年,企业对各个方面安全系统越来越重视,DNS安全状况是否有所提高?对此,钟晨鸣表示,他并未看到DNS攻击问题有缓和的趋势。相反,网络攻击带来的利益正被越来越多的人所看到,因此,DNS安全状况有没有变得更糟都很难说。
全球知名防DDoS攻击厂商Arbor公司最近推出的2012年《全球基础设施安全报告》显示,调查对象中有超过1/4的人在调查期间遭到针对DNS基础设施的DDoS攻击,在上一年的调查中,只有12%的调查对象表示遭到此类攻击。这份报告同时显示,大多数互联网的DNS基础设施仍然开放和不受保护,缺乏专门的安全人员和无限制的递归服务器,这为攻击者创造了一个理想的环境。
在国内,也有数据表明,2012年,国内存在高危漏洞的网站比例高达75.6%,网页篡改、拖库、流量攻击成为网站面临的严重威胁。
今天,高额的利润催生了国内的黑客产业链不断扩大,以利益为导向的黑客行动在游戏行业尤其普遍。据业内人士介绍,地下黑客产业链极其庞大且分工明确,一些私服每月甚至会花费200-300万元去黑对手,类似问题也广泛存在于国内各大一线电商企业中。DNSPod技术负责人提到,“地下市价一度为1Gbps流量打1小时花费2万元,现在,1G流量的价格已经降到200-300元/小时。”#p#
DNS系统攻防对抗赛
被设计成开放式协议的DNS已成为网络攻击的重点。攻的一方早已经盯上了DNS,那么,防的一方是否也对DNS安全予以了同等的重视呢?
Arbor2012年《全球基础设施安全报告》显示,有高达33%的调查对象表示,他们并不知道自己是否经历过DNS攻击,这表明,一些运营商在DNS服务器流量的可见性上还存在严重的缺陷。
在针对DNS的各类攻击中,特征比较明显的DDoS和Flood攻击相对来说比较容易被发现,针对这种攻击,今天已经有了相当成熟的防御技术。吴洪声说,类似攻击发生时,算法程序可以在10秒左右学习到攻击特征,只需要人工确认一下就可以添加有针对性的防护,整个过程自动化程度非常高。不过,与这种攻击不同,DNS污染或以其他服务器为跳板入侵DNS服务器等安全问题更值得关注,因为这些攻击都是静悄悄地发生,可能黑客攻击结束的时候系统管理员还不知道,因而其危害也相对更大。
在钟晨鸣看来,很多安全问题并不是漏洞导致,而是管理缺陷所造成。今年年初,国际上有个黑客公布,它去年对全球IP扫描后发现,有四、五十万主机都用的是弱口令,这些主机类型多种多样,利用它攻入系统后,又可以成为新的扫描节点;另外,一些应用服务软件版本仍然较低,攻击者通过远程移除,可拿到相关权限。更值得一提的是,虽然有些漏洞已被公布,但并不是所有设备都由此进行了相应的修复。吴洪声也认为,对付DNS攻击,除了对DDoS、Flood攻击和DNS污染攻击进行防御外,更重要的是,要做好管理安全。链条总会在最薄弱的地方断掉,如果相关的管理安全没有做好,那前面两个环节的工作也会徒劳无功。为应对上述威胁,组织首先要做好系统本身的安全建设。钟晨鸣认为,对付DNS威胁,需要两个方面来保证安全:一是Web层面入口环节,二是DNS服务器本身的安全。
Arbor全球报告显示,如今,组织正使用各种安全措施和工具防止他们的DNS基础设施遭受DDoS攻击,其中,有超过53%的人表示他们已经部署了智能DDoS防护系统IDMS,而超过2/3的人部署了网络边缘的接口iACL,更多组织采用了防火墙、IPS/IDS和其他措施。
对于普通中小网站而言,怎样应对DNS攻击?吴洪声建议,普通中小网站把关于DNS安全的任务交给一家安全可靠的专业服务商来做。由于针对DDoS或者Flood攻击需要较高的软硬件成本,而DNS系统的安全建设又需要特别高的人力成本,中小网站很难依靠自己就做好这样的工作。与此同时,企业同时还应该加强对于DNS安全的认识和重视,不要让DNS安全成为链条中最弱的一环,影响到业务甚至是企业的命运。
