上週,一次特別暴力的分散式阻斷服務(DDoS)攻擊橫掃 Spamhaus,一個反垃圾郵件組,速度高達 300 Gbit/s。至今聞所未聞。據專家稱,這股流動力量甚至能夠彎曲網路骨幹網路的路由器。攻擊者是如何實現這目標的? Spamhaus 向 CloudFlare 公司尋求協助,該公司在兩篇部落格文章中提供了技術解釋。
但首先要快速提醒。拒絕服務攻擊包括向伺服器發送大量請求,導致伺服器飽和並崩潰。一般來說,這種類型的攻擊是從殭屍網路的節點進行的,這使得請求來源倍增成為可能。這稱為分散式阻斷服務。
IP位址欺騙
然而,這還不足以達到 300 Gbit/s 的功率。為此,Spamhaus 攻擊者依賴 DNS 伺服器中的一個眾所周知的缺陷,這些伺服器幾乎分佈在互聯網上的任何地方,並將網域轉換為可路由的 IP 位址。
攻擊者的殭屍節點向一系列 DNS 伺服器發送了對網域「ripe.net」的請求,但讓它們相信該請求來自 Spamhaus(使用一種稱為欺騙的技術)。結果:所有 DNS 伺服器都將其回應傳送到反垃圾郵件群組伺服器。網路犯罪分子的優勢在於發送的回應比請求大得多。
雖然殭屍 PC 發送的 DNS 請求只有 36 位元組長,但傳輸到 Spamhaus 的 DNS 伺服器回應卻有 3,000 位元組長。因此我們的放大倍率是 100 倍!另一個優點是 DNS 伺服器通常比殭屍網路的殭屍 PC 具有更好的頻寬。 CloudFlare 估計,借助這種槓桿作用,中小型殭屍網路足以產生強大的數位洪流,湧入反垃圾郵件群組。
一個眾所周知的問題
這種基於 DSN 伺服器的放大技術並不新鮮,多年來許多專家已經指出了這個問題。 2006 年,Afnic 的工程師 Stéphane Bortzmeyer 已經就這個主題撰寫了幾篇技術文章。這種攻擊其實是基於兩個要素。一方面,在網路請求中欺騙來源位址太容易了。另一方面,許多 DNS 伺服器仍然以「開放」方式配置,即它們接受任何人的查詢。兩者的結合使得創建這些 DNS 放大攻擊成為可能,這些攻擊正在成為真正的網路核武。
例如,限制這些攻擊的一種方法是「關閉」DNS 伺服器,以便它們只回應來自某些 IP 位址的請求。此外,接取供應商不應洩露其網絡“位址為所述 ISP 分配的位址的 IP 封包””,Stéphane Bortzmeyer 在部落格文章中解釋道。歸根究底,這都是一個組織和意志的問題。
資料來源:
這第一的和第二CloudFlare 部落格文章。
Stéphane Bortzmeyer 的文章開放 DNS 伺服器的危險等等欺騙IP位址。
另請閱讀:
