[新闻] 解析网军攻击苹果新步数!新型态DNS反射

楼主: HowLeeHi (处处留心皆正妹)   2014-06-20 13:20:49
1.媒体来源:
Apple Daily
2.完整新闻标题/内文:
【沃草】解析网军攻击苹果新步数!新型态DNS反射攻击难以防御
2014年06月19日22:00
本内容由沃草提供
近日香港针对占领中环行动发起投票,投票服务器及支持占中行动的港台壹传媒
旗下网站,都遭疑似中国网军的网络攻击。知名资讯安全专家、也是资安顾问公司
戴夫寇尔执行长翁浩正(Allen Own)接受沃草采访时指出,此次的攻击并非传统的
阻断式服务攻击 (Distributed Denial of Service,DDoS),而是新型态的DNS
反射攻击(DNS Reflection or DNS Amplification Attacks),相较之下,非常
难以防御。
DNS(Domain Name System)是一种常用的网络服务。由于网络上电脑间的相互相连接、
辨识是依靠IP位址(例如:210.61.221.113),但此数字组成的IP位 址让使用者难以
记忆,因此出现较好记忆的网址(例如:www.google.com)。使用者在浏览器上输入
网址送出后,浏览器会向DNS服务器送出查 询,解析出该网址的IP地址,之后就可到
真正的网站去抓取网页内容。DNS的作用就是“将有意义的,人类较容易记忆的网址”,
转译成为电脑所熟悉的 IP 位址。
DNS 查询时,虽然一般服务器会快取住网域名称所对应的IP,但如果查询的是一个
伪造乱数的网域名称(例如 abc.google.com),那么每次都一定得问到主管该网域的
服务器,才能得知该网域名称是否有对应的IP。利用许多电脑不断对服务器发起查询,
就 可以瘫痪DNS服务器,让其无法运作,这是所谓的“反射攻击”。
而 DNS查询中,还可对服务器发起“ANY”查询,服务器会回应自己所知该网域名称的
所有相关讯息。例如利用查询 gmail.com ,DNS主机将会回传该网域名称的邮件服务器
或其他相关服务器等所有讯息。再加上DNSSEC加密协定,在封包中额外加入加密资料,
故意使DNS服务器回 应最大量的资料。这种查询只需送出大约30 bytes的资料量,查询
所得结果资料量却可高达数千 bytes,因此所造成的网络流量将被放大到约数十到数百,
甚至一千倍。
当DNS服务器收到查询封包,会将其查询结果送回来源 IP 位址。不过,封包中的来源
IP 可以被伪造,因此恶意攻击者只要伪造他人 IP ,然后向世界各地的DNS进行
递回查询,世界各地的DNS就会源源不绝的将冗长的查询结果丢到被攻击的服务器。
该服务器若短时间难以负荷庞大的流量,就可 能会出现问题而无法连线(如图),
此即所谓“放大攻击”。
举例来说,恶意攻击者不断的找一堆人去必胜客查询分店是不是存在,如果电话过多,
服务人员就会瘫痪,无法提供更多服务,这是所谓的反射攻击。如果恶意攻击者假装是
被攻击的人,向多家必胜客订了一堆披萨。攻击者只要不断打电话向必胜客下订,
被攻击者就会源源不绝地收到披萨,这就是所谓的放大攻击。
这样的攻击手法降低了发起网络攻击的门槛,攻击者只需要使用很少的流量,就可以
在被攻击的电脑上制造出数十到数百倍,甚至上千的流量。此次的攻击对象则
主要为网站本身以及解析网站网址的DNS服务器。
此种攻击并非第一次,去年就曾出现过。在今年3月26日,欧洲反垃圾邮件组织
Spamhaus遭到代号为“Operation Stophaus”的攻击,最高时可达300Gbps流量,
是过去记录的数倍,最后在专业反制DDoS的CloudFlare公司协助下化解。
根据调查, 在该攻击中,发起攻击的封包只有36bytes,送到被攻击机器的每个封包
却有3000bytes,庞大流量将该组织服务器灌暴。
此 种攻击非常难以防范。在被利用的DNS服务器上,由于封包遭到变造,找不到
来源IP,也不知道这样的查询究竟是真的有需要,还是正被利用拿来发起攻击。
这需要管理员加强资安教育,尽可能的限制可以发起查询的对象,或甚至关闭此一功能。
对于被攻击的机器,由于难以辨识这样的封包究竟是攻击或是本机发起的查询,因此
也难以过滤,让防范更难以做到。目前已有厂商制作出可防范此类DNS攻击的设备,
若机器遭到攻击,这类设备应可提供有效的防御方式,或找专业的资 安公司做渗透测试,
找出入侵者攻击的手段并加以防范。
3.新闻连结:
http://www.appledaily.com.tw/realtimenews/article/politics/20140619/419554
4.备注:
白话翻译(或是给直接END的人):
简单来说这种打苹果的方式,攻击者只要出一张嘴就可以控制强大力量来打你了.
小夫看大雄不爽,但是自己力量又不一定打的过大雄,
于是就寄出2封伪造来源信,寄信人写叶大雄,收信人分别给玉子和技安
给玉子的信里写,你每天煮的饭超难吃而且很爱一直唸,看到你就烦.
给技安的信里写,你每天唱的歌真他妈的难听,可不可以拜托你不要再唱了.
最后大雄就被挨揍了...
作者: visualsense (敝鲁)   2014-06-20 13:22:00
作者: twod758 (IamCatミ'_'ミ)   2014-06-20 13:22:00
楼下从今天开始你可以吃什么就吃什么唷! o'_"o
作者: eu3 (^^)   2014-06-20 13:24:00
支那畜生…唉
作者: jhjhs33504 ( )   2014-06-20 13:24:00
改用ipv6
作者: turbomons (Τ/taʊ/)   2014-06-20 13:24:00
难怪一堆妖魔鬼怪都想吃唐僧肉
作者: elcnick (左手谢谢右手指教)   2014-06-20 13:27:00
这种攻击不需要大量僵尸电脑,意思就是你要瘫痪中国网站
作者: Japan2001 (台湾新幹線)   2014-06-20 13:27:00
医生:病患癌症未期
作者: sheepxo ((羊臣又))   2014-06-20 13:28:00
长知识
作者: honlan (神龙)   2014-06-20 13:28:00
恩恩 跟我想的差不多
作者: psku (@(o‵ェ′o)@)   2014-06-20 13:32:00
米国一直被射蛮有趣der 为啥不反击开始总攻击了w
作者: andersontom (鬼娃恰吉)   2014-06-20 13:38:00
这个 我早遇过了.......新闻比我遇到的还慢,,,真无言
作者: liaon98 (liaon98)   2014-06-20 13:40:00
伪造IP来源这种常见手法会没办法防吗 我觉得难以想像...
作者: visualsense (敝鲁)   2014-06-20 13:40:00
点点点3.0 开战
作者: elcnick (左手谢谢右手指教)   2014-06-20 13:44:00
其实要防止这种攻击应该不难,但是第一次碰到多数ISP业者
作者: psku (@(o‵ェ′o)@)   2014-06-20 13:44:00
换澳洲挨打 超越米国wwwww 看这蛮有趣的
作者: fongse (小毛毛虫)   2014-06-20 13:46:00
澳洲发生什么事,突然爆量XDD

Links booklink

Contact Us: admin [ a t ] ucptt.com