萬盛學電腦網

 萬盛學電腦網 >> 黑客技術教程 >> 基礎知識 >> 黑客翻新DDOS攻擊 DNS服務器成幫凶

黑客翻新DDOS攻擊 DNS服務器成幫凶

  網絡罪犯最近翻新分散式阻斷服務(DDOS)攻擊的手法,開始用形同互聯網黃頁的域名系統服務器來發動攻擊,擾亂在線商務。

  VeriSign上周表示,今年初發現該公司系統承受的攻擊規模甚於以往,而且來源不是被綁架的“殭屍”(bot)電腦,而是出自於域名系統(DNS)服務器。

  安全研究員Dan Kaminsky說:“DNS已成為DDOS重要的一環。門檻已降低了。人們現在可憑更少的資源,發動可能極具破壞力的攻擊。”

  一旦成為DDOS攻擊的箭靶,目標系統不論是網頁服務器、域名服務器或電子郵件服務器,都會被網絡上四面八方的系統所傳來的巨量信息給淹沒。黑客的用意是借大量垃圾信息妨礙系統正常的信息處理,借此切斷攻擊目標對外的連線。

  以往,這類攻擊是青少年閒得無聊時的傑作,圖得只是看網站掛掉的那種快感。但如今,DDOS攻擊常被歹徒拿來當作勒索網絡公司的武器,賭博網站和成人娛樂網站尤其首當其沖。

  不同於被綁架的殭屍電腦,DNS服務器是合法的網絡良民,其作用是把文字型域名名稱(例如www.aaa.com)轉換成相對應的數字型互聯網協定(IP)位址,以引導使用者上他們想到的網站。

  現在,黑客常用殭屍電腦連成的網絡(botnet),把大量的查詢要求傳至開放的DNS服務器。這些查詢信息會假造得像是被巨量信息攻擊的目標所傳出的,因此DNS服務器會把回應信息傳到那個網址。

  黑客用DNS服務器來發動攻擊有多重好處,可隱匿自己的系統,讓受害者難以追查攻擊的原始來源,更可讓攻擊效果加倍。Baylor大學信息系教授Randal Vaughn說,單一的DNS查詢,可啟動比原始查詢大73倍的回應。

  DNS發明人兼Nominum公司首席科學家Paul Mockapetris打個比方說,若你企圖讓垃圾郵件塞爆某人的信箱,基本的方法就是寄很多信到該地址,但你必須費很多時間寫信,而且發信來源追查得出來。

  Mockapetris說:“更好的方法,是寄出雜志裡常見的那種廣告回函卡,勾選各種想索取的信息,然後把回信地址填上目標信箱,就會讓那個信箱爆掉,同時消除與你有關的鏈接。”他說,用DNS服務器發動DDOS攻擊,就是運用這種原理。

  但如果攔阻一台DNS服務器對外的連線,可能造成合法使用者無法傳電子郵件或浏覽某網站。問題出在所謂的“遞回域名服務” (recursive name service)服務器,是開放給網絡上任何人查詢的DNS服務器,估計數量從60萬台到560萬台不等。

  Mockapetris說:“使用這些開放服務器的人士,必須好自為之。不論知不知情,或是否怠惰,他們現在已成為這類攻擊的幫凶。他們是互聯網上的傷寒瑪麗。”

  專家建議,要保護自家系統,企業可解除DNS服務器中允許人人查詢網址的遞回(recursive)功能,轉而調整服務器設定,只對內部人士開放遞回功能。目前使用DNS服務器者包括互聯網服務供應商(ISP)以及企業和個人。


  閱讀關於 黑客 網絡安全 DNS DDOS 的全部文章
copyright © 萬盛學電腦網 all rights reserved