2013年4月5日 星期五

利用DNS伺服器對外開放弱點 發動史上規模最大DDoS攻擊

利用DNS伺服器對外開放弱點 發動史上規模最大DDoS攻擊


DDoS攻擊規模翻新,日前,歐洲反垃圾郵件組織Spamhaus遭受流量高達300Gbps的DDoS攻擊,堪稱有史以來規模最大的DDoS攻擊,Arbor Networks安全暨工程回應小組總監Dan Holden指出,過去最大的DDoS攻擊發生在2010年,流量高達100Gbps,而這次的攻擊規模是其三倍,全球許多網路服務皆因此受到影響。

一般DDoS攻擊流量平均介於4Gbps~ 10Gbps,然而此次攻擊從一開始流量就較平均值高,此次攻擊從3/18開始,到隔天攻擊流量就從10Gbps增加到90Gbps,直到3/21,攻擊流量都介於30Gbps~90Gbps間。由於這樣的攻擊流量無法癱瘓Spamhaus的網路服務,因此攻擊者在3/22將攻擊目標轉向Spamhaus的網路供應商,並一度將攻擊規模拉高到300Gbps,也因而導致許多歐洲第一層的網路供應商發生網路壅塞情形。

若進一步探討此次DDoS攻擊手法,與一般透過殭屍電腦產生大量網路流量的方式不同,而是採用DNS反射(reflection)攻擊,也就是利用公開的DNS解析器(resolvers),攻擊者假裝從Spamhaus對數萬台的DNS解析器發出請求,而這些DNS解析器會向Spamhaus回應,因此帶來大量的網路流量。

理論上,DNS伺服器應該設定支援來自一個特定的網域名或一個範圍的IP位址的請求,不過事實上,全球網路中有高達千萬台的DNS伺服器,其初始設定值為對外開放,也就是可以回應來自其支援的網域名以外的需求,因此能被有心人士利用。卡巴斯基(Kaspersky)執行長Eugene Kaspersky表示,這次攻擊僅利用了3萬台DNS解析器,若利用的數量更多,帶來的損害將更為嚴重。

根據Open Resolver Project所做的調查,全球網路約有2700萬台DNS解析器,其中,高達2500萬台具有重大的威脅性,需要被重新設定。Nexusguard營運長營運長Wellem Aminudin認為要避免此類攻擊,必須要這些Open DNS都能去驗證來源IP。

資安專家則呼籲,每個企業都有遭遇DDoS攻擊的可能性,因此不能輕忽其嚴重性。nCircle首席研究員Tim Keanini表示,一旦DDoS攻擊發生,企業必須仰賴服務供應商進行因應和後續回復,因此每個企業都該了解其服務供應商因應DDoS攻擊所採取的措施。

以Nexusguard為例,其認為DDoS攻擊往往是不同來源地,透過BGP Anycast,Nexusguard可以找出最近攻擊點並清洗流量。Nexusguard已在台設立流量清洗中心,並指出近期DDoS攻擊以Http DoS為多數,例如CC Attack,攻擊者透過許多代理伺服器對Server發出大量請求,不需要很大的頻寬,約100~150Mbps就可讓Web Server或資料庫CPU滿載。

此外,所有的企業最好將其DNS解析器對外關閉,僅開放給授權的使用者,以免淪為DDoS攻擊中的利用工具。Sophos資深安全顧問Chester Wisniewski指出,如果企業一定要提供公共的DNS解析器,也可以透過過濾方式並確保需求的頻率合乎預期數量,以避免遭到濫用。

Spamhaus為一個非營利組織,由許多大型的網路公司所支持,目的是協助email服務供應商過濾垃圾郵件和其他不當的內容,因此該組織擁有一個垃圾郵件的資料庫,而該起攻擊事件疑似因為Spamhaus日前將荷蘭網路公司Cyberbunker加入其黑名單後,所遭致的報復。

轉載自《資安人科技網》

沒有留言:

張貼留言