雖然近日針對(duì)歐洲反垃圾郵件組織Spamhaus發(fā)動(dòng)的大規(guī)模DDoS攻擊其危害程度不如早期傳聞聲稱的那么大����,但是此事件值得關(guān)注的原因在于��,它們暴露了互聯(lián)網(wǎng)眾多根本薄弱環(huán)節(jié)當(dāng)中的幾個(gè)�。其中一個(gè)就是開放式DNS解析器,這種解析器為一種名為DNS放大(DNS amplification)的攻擊手法提供了可趁之機(jī)���。而這種攻擊手法具體指�����,目標(biāo)服務(wù)器每向外發(fā)送1個(gè)字節(jié)�,攻擊者就向這些服務(wù)器發(fā)送多達(dá)100個(gè)字節(jié)的網(wǎng)絡(luò)擁塞流量��。
既有技術(shù)專長(zhǎng)又有影響力的有關(guān)組織會(huì)不會(huì)開始以一種整體性��、實(shí)質(zhì)性的方式解決這些不足�,從而提高互聯(lián)網(wǎng)的安全性���,這仍需拭目以待。遺憾的是��,恐怕需要發(fā)生破壞性和危害性更大的安全事件才會(huì)促使有關(guān)組織積極行動(dòng)起來��。
卡巴斯基安全新聞網(wǎng)站Threat Post刊登了一篇精彩的報(bào)道(詳見https://threatpost.com/en_us/blogs/open-dns-resolvers-center-stage-massive-ddos-attacks-032813)�����,深入淺出地介紹了開放式解析器�����、DNS放大攻擊及其在針對(duì)Spamhaus的DDoS攻擊中扮演的角色:
這方面息息相關(guān)的一個(gè)根本性��、普遍性的問題與開放式DNS解析器被用來針對(duì)瑞士這家反垃圾郵件組織發(fā)動(dòng)DDoS攻擊有關(guān)���。開放式解析器在送回DNS答復(fù)之前并不對(duì)數(shù)據(jù)包發(fā)送者的IP地址進(jìn)行驗(yàn)證��。因此����,攻擊者騙過受害者IP地址后��,就能夠向受害者發(fā)送大量的攻擊流量,攻擊流量與請(qǐng)求流量之比達(dá)到了100:1����。諸如此類的DNS放大攻擊最近被黑客行動(dòng)主義者、敲詐勒索者以及上了黑名單的網(wǎng)站主機(jī)所使用��,而且大獲成功���。
開放式DNS解析器項(xiàng)目組織的Jared Mauch告訴Threat Post,參與Spamhaus攻擊的僵尸網(wǎng)絡(luò)使用了30000多個(gè)獨(dú)特的DNS解析器���,"如果實(shí)施一起更大范圍的攻擊�����,這些解析器的共同威力可能會(huì)被不法分子用來讓這個(gè)全球網(wǎng)絡(luò)的大部分系統(tǒng)陷入癱瘓����。"
據(jù)Threat Post聲稱���,解決辦法就是:"開放式DNS解析器項(xiàng)目組織及其他組織(如DNS服務(wù)提供商Afilias)建議實(shí)施源地址驗(yàn)證機(jī)制�,F(xiàn)已存在的IETF RFC, BCP-38(詳見https://tools.ietf.org/html/bcp38)具體明確了如何使用源地址驗(yàn)證機(jī)制�����,以及如何建立這種架構(gòu),以挫敗IP源地址欺騙手法����。"
另外,系統(tǒng)管理員Trevor Pott在The Register網(wǎng)站上發(fā)表了一篇內(nèi)容翔實(shí)的博文(詳見https://www.theregister.co.uk/2013/03/28/i_accidentally_the_internet/)��,他坦誠自己無意中淪為了DDoS攻擊的幫兇��,起因是"他在搭建位于其網(wǎng)絡(luò)邊緣上的一臺(tái)DNS服務(wù)器時(shí)�,犯下了一個(gè)簡(jiǎn)單的配置錯(cuò)誤。"他稱之為充當(dāng)路由器的"邊緣洗滌器"(edge scrubber)����,它向數(shù)據(jù)中心里面的服務(wù)器和路由器分發(fā)IP地址。它還代表網(wǎng)絡(luò)上的所有其他設(shè)備�����,"起到了各種"枯燥粗活"的功能"��。它是數(shù)據(jù)中心/本地網(wǎng)絡(luò)時(shí)間服務(wù)器��、外部DNS服務(wù)器、邊緣服務(wù)器和帶寬限制器�����。
他表示���,問題在于����,他忘了禁用服務(wù)器上的遞歸查詢����,這使得他那臺(tái)服務(wù)器成了被DNS放大攻擊利用的一個(gè)工具�。他解釋:"DNS服務(wù)器能夠以兩種基本方式當(dāng)中的一種方式來配置。在一種可能的配置下�����,DNS服務(wù)器只為它負(fù)責(zé)服務(wù)的對(duì)象提供域名服務(wù)(命令式)�。在另一種配置下,DNS服務(wù)器除了提供那些域名服務(wù)外�����,還在更廣泛的互聯(lián)網(wǎng)上尋找它原本無權(quán)管理的任何域(遞歸式)�����。正是遞歸式DNS服務(wù)器讓互聯(lián)網(wǎng)得以正常運(yùn)行。它們也是一種攻擊途徑��。"
他詳細(xì)地解釋了如何修復(fù)他那臺(tái)服務(wù)器存在的配置問題�����。簡(jiǎn)而言之��,問題源自于這種假定:BIND(實(shí)現(xiàn)DNS協(xié)議的系統(tǒng))在默認(rèn)情況下禁用遞歸;解決辦法需要"指令BIND只受理來自其數(shù)據(jù)中心里面的服務(wù)器的遞歸請(qǐng)求�����。"
