上周,一次特别暴力的分布式拒绝服务(DDoS)攻击横扫 Spamhaus,一个反垃圾邮件组,速度高达 300 Gbit/s。至今闻所未闻。据专家称,这股流动力量甚至能够弯曲互联网骨干网络的路由器。攻击者是如何实现这一目标的? Spamhaus 向 CloudFlare 公司寻求帮助,该公司在两篇博客文章中提供了技术解释。
但首先要快速提醒一下。拒绝服务攻击包括向服务器发送大量请求,导致服务器饱和并崩溃。一般来说,这种类型的攻击是从僵尸网络的节点进行的,这使得请求源成倍增加成为可能。这称为分布式拒绝服务。
IP地址欺骗
然而,这还不足以达到 300 Gbit/s 的功率。为此,Spamhaus 攻击者依赖 DNS 服务器中的一个众所周知的缺陷,这些服务器几乎分布在互联网上的任何地方,并将域名转换为可路由的 IP 地址。
攻击者的僵尸节点向一系列 DNS 服务器发送了对域“ripe.net”的请求,但让它们相信该请求来自 Spamhaus(使用一种称为欺骗的技术)。结果:所有 DNS 服务器都将其响应发送到反垃圾邮件组服务器。网络犯罪分子的优势在于发送的响应比请求大得多。
虽然僵尸 PC 发送的 DNS 请求只有 36 字节长,但传输到 Spamhaus 的 DNS 服务器响应却有 3,000 字节长。因此我们的放大倍数是 100 倍!另一个优点是 DNS 服务器通常比僵尸网络的僵尸 PC 具有更好的带宽。 CloudFlare 估计,借助这种杠杆作用,中小型僵尸网络足以产生强大的数字洪流,涌入反垃圾邮件小组。
一个众所周知的问题
这种基于 DSN 服务器的放大技术并不新鲜,多年来许多专家已经指出了这个问题。 2006 年,Afnic 的工程师 Stéphane Bortzmeyer 已经就该主题撰写了几篇技术文章。这种攻击实际上基于两个要素。一方面,在互联网请求中欺骗源地址太容易了。另一方面,许多 DNS 服务器仍然以“开放”方式配置,即它们接受任何人的查询。两者的结合使得创建这些 DNS 放大攻击成为可能,这些攻击正在成为真正的网络核武器。
例如,限制这些攻击的一种方法是“关闭”DNS 服务器,以便它们只响应来自某些 IP 地址的请求。此外,接入提供商不应泄露其网络“地址为所述 ISP 分配的地址的 IP 数据包””,Stéphane Bortzmeyer 在博客文章中解释道。归根结底,这都是一个组织和意志的问题。
资料来源:
这第一的和第二CloudFlare 博客文章。
Stéphane Bortzmeyer 的文章开放 DNS 服务器的危险等等欺骗IP地址。
另请阅读: