域名系统其实不堪一击
开放DNS服务器是引爆整个欧洲互联网的定时炸弹?在Spamhaus遭受攻击的事件中,攻击者借助现网数量庞大的开放DNS服务器,采用DNS反射攻击将攻击流量轻松放大100倍。攻击过程使用了约3万台开放DNS服务器,攻击者向这些开放DNS服务器发送对ripe.net域名的解析请求,并将源IP地址伪造成Spamhaus的IP地址,DNS请求数据的长度约为36字节,而响应数据的长度约为3000字节,经过DNS开放服务器反射将攻击流量轻松放大100倍。攻击者只需要控制一个能够产生3Gbps流量的僵尸网络就能够轻松实施300Gbps的大规模攻击。而攻击过程中,每个DNS服务器发出的流量只需要10Mbps,这样小的攻击流量很难被DNS业务监控系统监测到。事实上,开放DNS服务器在互联网上数目庞大,远不止3万台。互联网如果继续保持开放DNS服务器的无管理状态,利用开放DNS系统发起的DNS反射攻击事件就会越来越多,攻击规模也会越来越大。本次攻击事件让人们意识到:开放DNS服务器是互联网的定时炸弹,如果不加以治理,未来的某一天将会爆发更大规模的DDoS攻击。
中国互联网系统依然脆弱。.CN域名受攻击导致访问延迟或中断,部分网站的域名解析受到影响。攻击影响了超过800万个互联网用户在中国域名.CN注册的网站的访问,其中包括流行的社交网站新浪微博。大量新浪微博用户抓狂,因为出现了首页无法刷新、评论被全部清空等“症状”。独立情报分析专家艾德认为,此次网络攻击暴露出整个中国网络的脆弱性,“如果所有以.CN结尾的网站,因一个简单的拒绝服务攻击就被击垮的话,那么中国互联网系统比我们原先想象的更脆弱。很显然,中国网络安全有待完善和提高。”专家称,日益频发的域名系统安全事件,暴露出域名系统相关技术还不够成熟,需要持续提升完善。
保护域名安全任重道远
如果把一个网站比作一座房子,那么域名就是这座房子的门,而这扇门拥有许多功用,它是别人访问网站的必经之地,同时也是保护网站的重要所在,所以保护好域名的安全,相当于保护一个网站的安全。而DNS,相当于钥匙,在保护域名的安全中起着至关重要的作用。据域名工程中心发布的《2013年互联网根和顶级域名发展报告》显示,截至2013年8月12日,ICANN共收到了来自全球111个国家和机构的1822个新通用顶级域名申请。这也就意味着,在短时间内,像.com一样的千余个新通用顶级域名即将上线,并面向公众开放注册。随着越来越多的域名即将涌现,域名安全问题将因此受到更大的挑战。
据知名科技公司Prolexic的统计,2013年第三季度,DDoS攻击的数量比2012年同期增长了58%,攻击时长延长了13.3%。出于对域名系统战略意义的考虑,美国、德国、日本、韩国等国家都对域名系统给予了高度重视。在基础设施、联动机制、安全意识、立法、国际合作方面,我国政府和互联网行业已有所行动,并将继续加强诸方面的工作。
强化国家域名系统基础设施的建设。据域名工程中心技术监测数据显示,国内的域名服务器总量为100万台左右,活跃域名服务器数量为7万台, 62%以上的权威域名服务器使用开源的Linux系统,微软Microsoft Windows操作系统所占比例在36%左右, 95%以上的域名服务器使用开源的ISC BIND域名解析软件。可以看出,从域名服务器操作系统到域名解析软件,几乎已被微软和国外的开源软件所垄断。开源软件预留“后门”的风险较小,但也方便黑客借助其软件漏洞进行网络攻击。CNNIC执行主任李晓东建议,要从国家战略高度进一步提升对域名系统的重视程度。面对日益严峻的国际政治形势和网络安全态势,亟须进一步从国家层面加大投入,强化国家域名系统基础设施的建设,在网络带宽、机房环境、运行保障、应急协调等方面确保充足的资源支撑。加大对芯片、操作系统、数据库等基础和关键信息技术攻关的支持力度,对重点领域和关键部门采用的进口信息技术产品和系统进行安全测评,推动国产替代进程,确保自主可控。
域名系统安全联动机制需进一步完善。除了扩充国家域名的绝对数量外,各相关方的配合联动同样非常重要。要定期进行黑客攻击模拟演练,聘请专业的安全人员协助相关运营方进行漏洞查明和修补。采取及时修补漏洞等手段加强信息安全防护,通过增加.CN顶级域名服务器数量、调整服务器部署模式等手段提升服务能力,通过增强在态势感知、信息共享、应急响应等方面的能力打造多位一体的互联网安全监管体系。事先需要制定好应急预案和应对措施,如业务的自身调整、与运营商的沟通和应急措施同步。当DDoS攻击发生时,需要多个部门间快速响应,实施应急方案和及时同步处理结果。
增强域名安全防范意识。国内域名注册商易名中国分析了近年来众多域名安全事件,最终总结了域名被盗流程大致是:盗取邮箱账号和盗取域名所在服务商账号,登录邮箱就可以找回在域名服务商注册域名的密码。通过这一流程不难看出,导致域名被盗的关键还是域名持有者的安全意识,除了增强域名安全防范意识之外,更为科学的验证信息流程也至关重要。
DDoS攻击渐成主流攻击方式
常见的域名安全问题有域名信息更改、域名劫持、中间人攻击等形式。DDoS攻击,即分布式拒绝服务攻击,是目前黑客经常采用而难以防范的攻击手段。黑客一般是通过制作僵尸网络的方式攻击域名,即在计算机中植入特定的恶意程序控制大量“肉鸡”(指可以被黑客远程控制的机器),然后通过相对集中的若干计算机向相对分散的大量“肉鸡”发送攻击指令,引发短时间内流量剧增。知名科技公司Arbor Networks发布的《全球基础设施安全报告》中指出,DDoS攻击在规模上趋于稳定,但却更加复杂。同时,DDoS攻击已经成为高级持续威胁(APT)的一部分,而APT则成为服务提供商和企业的头等大事。
针对应用层的DDoS攻击事件上升趋势明显。华为云安全中心的统计数据显示,针对HTTP应用的DDoS攻击已经占到攻击总量的89.11%。在中国各地区,北京、上海、深圳的DDoS攻击事件最多,占全国总量的81.42%。数据中心一直是DDoS攻击的重灾区。在数据中心,排名前三的被攻击业务分别为电子商务、在线游戏、DNS服务。尤其是针对DNS服务的攻击影响面最广,对互联网基础架构所造成的威胁也最严重。而在WEB攻击的主要目标中,排名前三的被攻击业务分别为电子商务、网页游戏、在线金融业务。针对数据中心的网络层DDoS攻击则直接威胁到网络基础设施(如防火墙、IPS、负载均衡设备),而应用层DDoS攻击则威胁着在线业务。频繁的DDoS攻击导致数据中心运营成本增高,而带宽的可用性降低则导致客户满意度下降甚至流失。
DDoS攻击呈现新趋势。今年3月份针对国际公司Spamhaus的300G超大流量的DDoS攻击,攻击者主要采取的手法就是DNS放大攻击,也叫反射攻击技术(DrDoS),这种攻击技术的特点就是利用互联网上开放的DNS递归服务器作为攻击源,利用“反弹”手法攻击目标机器。在DNS反射攻击手法中,假设DNS请求报文的数据部分长度约为40字节,而响应报文数据部分的长度可能会达到4000字节,这意味着利用此手法能够产生约100倍的放大效应。由于这种攻击模式成本低、效果好、追踪溯源困难,而且由于脆弱的DNS体系具有开放式特点,难以彻底杜绝。
域名安全涉及的是政治与金钱
政治动机、经济犯罪、恶意竞争依然是黑客发起DDoS攻击的主要目的。由于帮助电子邮箱服务供应商过滤垃圾电子邮件和不受欢迎内容,Spamhaus的行为招致黑客的报复性攻击,他们攻击了Spamhaus的域名系统(DNS)服务器。据悉,此次攻击事件的嫌疑人、荷兰黑客斯文·奥拉夫·坎普赫伊斯已经被逮捕。据中国互联网络信息中心称,8月25日凌晨,国家域名解析节点受到拒绝服务攻击,导致部分网站访问缓慢或中断。这是.CN域名近些年来发生的最大一次网络攻击事件,攻击流量远超历史峰值,可能是有组织网络攻击行为。安全公司Prevendra的CEO伯盖斯称,此次中国互联网攻击的肇事者“可能来自中国国内的犯罪集团”。9月24号,CNNIC和工信部揪出了本次攻击事件的始作俑者——一名来自山东青岛的黑客。据调查发现,该黑客本意是要攻击一个游戏私服网站,使其瘫痪,后来他为了更快达到这个目的,直接对.CN的根域名服务器进行了DDoS攻击,发出的攻击流量堵塞了.CN根服务器的出口带宽,致使.CN根域名服务器的解析故障,使得大规模的.CN域名无法正常访问。
敲诈勒索催生黑色产业链。自国内的互联网事业兴起以来,国内有一些常年进行DDoS攻击的组织或个人,胁迫某些“私服”游戏的运营团队并收取“保护费”,如果不合作便采取DDoS暴力攻击,使其无法正常运营。而这些“私服”的运营团队本身业务就涉及侵权,所以他们在遇到DDoS威胁时绝不敢报警或维权,往往被迫接受。这种恶性循环的结果就是这些网络中的恶意胁迫越来越肆无忌惮,这些从事DDoS攻击商业行为的组织或个人也演变成了各式各样的“网络黑帮”,各式黑色产业链也层出不穷。由于当今互联网上DDoS攻击的门槛已经越来越低,雇主可以购买DDoS攻击服务,攻击可指定时间、指定流量、指定攻击效果。总的来说,同行业间的恶意竞争是导致DDoS攻击愈演愈烈的最大原因,同时被攻击后定位攻击者所花费的成本较高也是这类事件层出不穷的重要原因。
2013年域名安全事件回顾
随着域名系统作为互联网中枢神经系统的重要作用日益凸显和互联网应用的日益广泛,域名安全事件也呈现多发趋势。近年来,微软、谷歌、《纽约时报》、Twitter、腾讯、百度、土豆网、大众点评网等国内外知名网站域名相继被攻击、被劫持,小站长、米农域名等被盗事件也比比皆是。回顾2013年,重大域名安全事件不绝于耳,东西方皆无宁日。
有史以来最大的DDoS攻击。2013年3月16日至3月27日,欧洲反垃圾邮件组织Spamhaus遭受了有史以来最大的DDoS(分布式拒绝服务)攻击。攻击强度达到300Gbps。《纽约时报》将其称为“前所未有的大规模网络攻击”。
美多家网站遭叙利亚电子军攻击。今年4月,美联社的Twitter账号被入侵,并给金融市场造成短暂动荡,叙利亚电子军(SEA)声称那次攻击是他们干的。8月28日,包括Twitter、《纽约时报》、《赫芬顿邮报》、CNN、《华盛顿邮报》旗下网站在内的多家美国媒体与网站出现宕机,疑遭SEA攻击。《纽约时报》的网站无法登录,页面显示的信息是“网络错误(DNS)服务器无法连接”,这是DDoS攻击的一个特点。
台菲爆发黑客大战。5月10日,台湾黑客对菲律宾政府网站发起攻击,黑客利用DDoS攻击瘫痪多个菲律宾政府网站。但随即引发菲律宾黑客以同样方式还击,马英九办公室、经济部门等机构部门网站遭到攻击。13日,台湾黑客组织“匿名者-台湾分部”取得DNS控制权,全面控制菲国政府网站、电子邮件,并发表声明,要求菲律宾政府道歉、严惩凶手。最终,菲律宾黑客公开求饶:“请对准菲政府,别再搞我们了。”
DNS中毒攻击入侵IT网站。5月,Websense公司成功检测到一起发生在肯尼亚的DNS中毒攻击事件,这次攻击以包括谷歌、Bing、LinkedIn等在内的知名信息技术网站为攻击目标。在此次攻击事件中,被攻击者利用的DNS记录指向一个关于黑客信息的页面,将网站浏览用户引至恶意网站。这次DNS攻击是所谓的孟加拉黑客集团发起的一次大规模攻击。
土豆网、大众点评网域名遭劫。5月11日,白帽子工程师陈再胜在乌云网站上报告了土豆网出现漏洞,随后,土豆网遭遇域名被劫。6月17日,北京地区用户访问大众点评网域名的时候会被跳转到天猫的促销页面,该访问异常状态一直持续到6月18日凌晨才逐渐恢复。本次网站故障是由于大众点评网的域名服务商新网网站程序存在漏洞,导致新网的其他注册用户可以修改任意新网注册域名的IP指向。
LinkedIn网站域名遭劫持。6月20日,全球最大的职业社交网站LinkedIn发生故障,已确认为域名服务器(DNS)错误。分析称,LinkedIn网站的DNS可能被挟持,其域名会跳转至其他IP地址,怀疑遭到黑客攻击。
谷歌公司巴勒斯坦网站遭遇攻击。8月,谷歌公司在巴勒斯坦的Google网站遭到了黑客的袭击。当用户访问google.ps之后,他们会被直接带到另外一个不同的网站。
荷兰域名服务器失守。8月12日,黑客成功进入SIDN的DRS(域名登记系统),有效地把SIDN的DRS流量导向一个外部域名服务器。荷兰安全公司Fox-IT认为,这次的侵入影响到数千个域名,毫无戒备的用户访问受影响域名时会被转到一个“正在修建中”的网页上,网页则同时会通过一个iframe送出恶意软件。恶意软件是一个黑洞(Black Hole)攻击套件,会通过Java和PDF的漏洞给自己取得电脑访问权。
.CN域名遭受史上最大攻击。2013年8月25日凌晨,.CN域名出现大范围解析故障,.CN的根域授权DNS出现全线故障,导致大面积.CN域名无法解析。经中国互联网络信息中心(CNNIC)确认,国家域名解析节点遭受到有史以来规模最大的拒绝服务攻击,攻击影响了超过800万个互联网用户在中国域名.CN注册的网站的访问。