從DNS攻擊的六大方式剖析百度被黑
2010-01-26 eNet&Ciweek
方式三:DNS信息劫持 原則上TCP/IP體系通過序列號等多種方式避免仿冒數據的插入,但入侵者如果通過監聽客戶端和DNS伺服器的對話,就可以猜測伺服器響應給客戶端的DNS查詢ID。每個DNS報文包括一個相關聯的16位ID號,DNS伺服器根據這個ID號獲取請求源位置。攻擊者在DNS伺服器之前將虛假的響應交給用戶,從而欺騙客戶端去訪問惡意的網站。假設當提交給某個域名伺服器的域名解析請求的數據包被截獲,然後按截獲者的意圖將一個虛假的IP位址作為應答信息返回給請求者。這時,原始請求者就會把這個虛假的IP位址作為它所要請求的域名而進行連接,顯然它被欺騙到了別處而根本連接不上自己想要連接的那個域名。 方式四:DNS重定向 攻擊者如果將DNS名稱查詢重定向到惡意DNS伺服器。那麼被劫持域名的解析就完全至於攻擊者的控制之下。 方式五:ARP欺騙 ARP攻擊就是通過偽造IP位址和MAC地址實現ARP欺騙,能夠在網絡中產生大量的ARP通信量使網絡阻塞,攻擊者只要持續不斷的發出偽造的ARP響應包就能更改目標主機ARP緩存中的IP-MAC條目,造成網絡中斷或中間人攻擊。ARP攻擊主要是存在於區域網網絡中,區域網中若有一臺計算機感染ARP木馬,則感染該ARP 木馬的系統將會試圖通過「ARP欺騙」手段截獲所在網絡內其它計算機的通信信息,並因此造成網內其它計算機的通信故障。 ARP欺騙通常是在用戶局網中,造成用戶訪問域名的錯誤指向,但在IDC機房被入侵後,則也可能出現攻擊者採用ARP包壓制正常主機、或者壓制DNS伺服器,而李代桃僵,以使訪問導向錯誤指向的情況。 方式六:本機劫持 在計算機系統被木馬或流氓軟體感染後可能會出現部分域名的訪問異常,如訪問掛馬或者釣魚站點、無法訪問等情況,本機劫持有hosts文件篡改、本機DNS劫持、SPI鏈注入、BHO插件等方式,雖然並非都通過DNS環節完成,但都會造成無法按照用戶意願獲得正確的地址或者內容的後果。 與DNS相關的一些攻擊案例 事件1:百度遇DDOS攻擊事件 2006年09月12日17點30分,有北京、重慶等地的網友反映百度無法正常使用,出現「請求超時」(Request timed out)的信息。這次攻擊造成了百度搜索服務在全國各地出現了近30分鐘的故障。隨後,百度技術部門的員工們快速反應,將問題解決並恢復百度服務。9月12日晚上11時37分,百度空間發表了針對不明攻擊事件的聲明。「今天下午,百度遭受有史以來最大規模的不明身份黑客攻擊,導致百度搜索服務在全國各地出現了近30分鐘的故障。」 事件2:新網DNS伺服器遭到攻擊 2006年09月22日,新網對外做出證實DNS伺服器遭到大規模黑客攻擊,從21日下午4點多開始持續到凌晨12點。儘管目前服務已經恢復正常,但是技術人員正在追蹤攻擊來源,並分析攻擊技術手段。新網是國內最大域名服務商之一,黑客持續8小時的攻擊,導致在新網註冊30%的網站無法正常訪問。其中包括天空軟體、艾瑞視點、中國網庫等知名網站。 事件3:暴風影音事件 2009年5月18日晚上22點左右,DNSPod主站及多個DNS伺服器遭受超過10G流量的惡意攻擊。耗盡了整個機房約三分之一的帶寬資源,為了不影響機房其他用戶,最終導致DNS伺服器被迫離線。該事件關聯導致了使用DNSPod進行解析的暴風影音程序頻繁的發生域名重新申請,產生請求風暴,大量積累的不斷訪問申請導致各地電信網絡負擔成倍增加,網絡出現堵塞。於2009年5月19日晚21時左右開始,江蘇、安徽、廣西、海南、甘肅、浙江六省陸續出現大規模網絡故障,很多網際網路用戶出現訪問網際網路速度變慢或者無法訪問網站等情況。在零點以前,部分地區運營商將暴風影音伺服器IP加入DNS緩存或者禁止其域名解析,網絡情況陸續開始恢復。 總之,DNS劫持並不是什麼新鮮事物,也並非無法預防,百度被黑事件的發生再次揭示了全球DNS體系的脆弱性,並說明網際網路廠商如果僅有針對自身信息系統的安全預案,就不足以快速應對全面而複雜的威脅。因此,網際網路公司應準備兩個以上的域名,一旦黑客進行DNS攻擊,用戶還可以訪問另一個域名。第二,網際網路應該對應急預案進行進一步修正,強化對域名服務商的協調流程。另外,域名註冊商和代理機構近期可能成為集中攻擊目標,需要加以防範。最後,國內有關機構之間應該快速建立與境外有關機構的協調和溝通,協助國內企業實現對此事件的快速及時的處理。
相關頻道: eNews 老文章