※ 本文為 resaga 轉寄自 ptt.cc 更新時間: 2014-06-20 13:35:19
看板 Gossiping
作者 標題 [新聞] 解析網軍攻擊蘋果新步數!新型態DNS反射
時間 Fri Jun 20 13:20:49 2014
1.媒體來源:
Apple Daily
2.完整新聞標題/內文:
【沃草】解析網軍攻擊蘋果新步數!新型態DNS反射攻擊難以防禦
2014年06月19日22:00
本內容由沃草提供
近日香港針對佔領中環行動發起投票,投票伺服器及支持佔中行動的港台壹傳媒
旗下網站,都遭疑似中國網軍的網路攻擊。知名資訊安全專家、也是資安顧問公司
戴夫寇爾執行長翁浩正(Allen Own)接受沃草採訪時指出,此次的攻擊並非傳統的
阻斷式服務攻擊 (Distributed Denial of Service,DDoS),而是新型態的DNS
戴夫寇爾執行長翁浩正(Allen Own)接受沃草採訪時指出,此次的攻擊並非傳統的
阻斷式服務攻擊 (Distributed Denial of Service,DDoS),而是新型態的DNS
反射攻擊(DNS Reflection or DNS Amplification Attacks),相較之下,非常
難以防禦。
DNS(Domain Name System)是一種常用的網路服務。由於網路上電腦間的相互相連接、
辨識是依靠IP位址(例如:210.61.221.113),但此數字組成的IP位 址讓使用者難以
辨識是依靠IP位址(例如:210.61.221.113),但此數字組成的IP位 址讓使用者難以
記憶,因此出現較好記憶的網址(例如:www.google.com)。使用者在瀏覽器上輸入
網址送出後,瀏覽器會向DNS伺服器送出查 詢,解析出該網址的IP地址,之後就可到
網址送出後,瀏覽器會向DNS伺服器送出查 詢,解析出該網址的IP地址,之後就可到
真正的網站去抓取網頁內容。DNS的作用就是「將有意義的,人類較容易記憶的網址」,
轉譯成為電腦所熟悉的 IP 位址。
DNS 查詢時,雖然一般伺服器會快取住網域名稱所對應的IP,但如果查詢的是一個
偽造亂數的網域名稱(例如 abc.google.com),那麼每次都一定得問到主管該網域的
伺服器,才能得知該網域名稱是否有對應的IP。利用許多電腦不斷對伺服器發起查詢,
就 可以癱瘓DNS伺服器,讓其無法運作,這是所謂的「反射攻擊」。
伺服器,才能得知該網域名稱是否有對應的IP。利用許多電腦不斷對伺服器發起查詢,
就 可以癱瘓DNS伺服器,讓其無法運作,這是所謂的「反射攻擊」。
而 DNS查詢中,還可對伺服器發起「ANY」查詢,伺服器會回應自己所知該網域名稱的
所有相關訊息。例如利用查詢 gmail.com ,DNS主機將會回傳該網域名稱的郵件伺服器
或其他相關伺服器等所有訊息。再加上DNSSEC加密協定,在封包中額外加入加密資料,
故意使DNS伺服器回 應最大量的資料。這種查詢只需送出大約30 bytes的資料量,查詢
所有相關訊息。例如利用查詢 gmail.com ,DNS主機將會回傳該網域名稱的郵件伺服器
或其他相關伺服器等所有訊息。再加上DNSSEC加密協定,在封包中額外加入加密資料,
故意使DNS伺服器回 應最大量的資料。這種查詢只需送出大約30 bytes的資料量,查詢
所得結果資料量卻可高達數千 bytes,因此所造成的網路流量將被放大到約數十到數百,
甚至一千倍。
當DNS伺服器收到查詢封包,會將其查詢結果送回來源 IP 位址。不過,封包中的來源
IP 可以被偽造,因此惡意攻擊者只要偽造他人 IP ,然後向世界各地的DNS進行
遞迴查詢,世界各地的DNS就會源源不絕的將冗長的查詢結果丟到被攻擊的伺服器。
該伺服器若短時間難以負荷龐大的流量,就可 能會出現問題而無法連線(如圖),
此即所謂「放大攻擊」。
該伺服器若短時間難以負荷龐大的流量,就可 能會出現問題而無法連線(如圖),
此即所謂「放大攻擊」。
舉例來說,惡意攻擊者不斷的找一堆人去必勝客查詢分店是不是存在,如果電話過多,
服務人員就會癱瘓,無法提供更多服務,這是所謂的反射攻擊。如果惡意攻擊者假裝是
被攻擊的人,向多家必勝客訂了一堆披薩。攻擊者只要不斷打電話向必勝客下訂,
服務人員就會癱瘓,無法提供更多服務,這是所謂的反射攻擊。如果惡意攻擊者假裝是
被攻擊的人,向多家必勝客訂了一堆披薩。攻擊者只要不斷打電話向必勝客下訂,
被攻擊者就會源源不絕地收到披薩,這就是所謂的放大攻擊。
這樣的攻擊手法降低了發起網路攻擊的門檻,攻擊者只需要使用很少的流量,就可以
在被攻擊的電腦上製造出數十到數百倍,甚至上千的流量。此次的攻擊對象則
主要為網站本身以及解析網站網址的DNS伺服器。
此種攻擊並非第一次,去年就曾出現過。在今年3月26日,歐洲反垃圾郵件組織
Spamhaus遭到代號為「Operation Stophaus」的攻擊,最高時可達300Gbps流量,
是過去記錄的數倍,最後在專業反制DDoS的CloudFlare公司協助下化解。
根據調查, 在該攻擊中,發起攻擊的封包只有36bytes,送到被攻擊機器的每個封包
卻有3000bytes,龐大流量將該組織伺服器灌暴。
此 種攻擊非常難以防範。在被利用的DNS伺服器上,由於封包遭到變造,找不到
來源IP,也不知道這樣的查詢究竟是真的有需要,還是正被利用拿來發起攻擊。
來源IP,也不知道這樣的查詢究竟是真的有需要,還是正被利用拿來發起攻擊。
這需要管理員加強資安教育,盡可能的限制可以發起查詢的對象,或甚至關閉此一功能。
對於被攻擊的機器,由於難以辨識這樣的封包究竟是攻擊或是本機發起的查詢,因此
也難以過濾,讓防範更難以做到。目前已有廠商製作出可防範此類DNS攻擊的設備,
也難以過濾,讓防範更難以做到。目前已有廠商製作出可防範此類DNS攻擊的設備,
若機器遭到攻擊,這類設備應可提供有效的防禦方式,或找專業的資 安公司做滲透測試,
找出入侵者攻擊的手段並加以防範。
3.新聞連結:
http://www.appledaily.com.tw/realtimenews/article/politics/20140619/419554
【沃草】解析網軍攻擊蘋果新步數!新型態DNS反射攻擊難以防禦 | 即時新聞 | 20140619 | 蘋果日報
![[圖]]()
本內容由沃草提供近日香港針對佔領中環行動發起投票,投票伺服器及支持佔中行動的港台壹傳媒旗下網站,都遭疑似中國網軍的網路攻擊。知名資訊安全專家、也是資安顧問公司戴夫寇爾執行長翁浩正(Allen Own) ...
![[圖]](http://twimg.edgesuite.net/images/ReNews/20140619/420_da36fdff6ab1d3e1edeb6f94580d5e75.jpg)
4.備註:
白話翻譯(或是給直接END的人):
簡單來說這種打蘋果的方式,攻擊者只要出一張嘴就可以控制強大力量來打你了.
小夫看大雄不爽,但是自己力量又不一定打的過大雄,
於是就寄出2封偽造來源信,寄信人寫葉大雄,收信人分別給玉子和技安
給玉子的信裡寫,你每天煮的飯超難吃而且很愛一直唸,看到你就煩.
給技安的信裡寫,你每天唱的歌真他媽的難聽,可不可以拜託你不要再唱了.
最後大雄就被挨揍了...
--
如果住院中,突然有一天你的醫生告訴你
從今天開始你可以愛吃什麼就吃什麼,
那麼這代表著啥呢....?
--
※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 118.167.58.199
※ 文章網址: http://www.ptt.cc/bbs/Gossiping/M.1403241656.A.28D.html
→ :樓下從今天開始你可以吃什麼就吃什麼唷! o'_"o2F 06/20 13:22
推 :支那畜生…唉3F 06/20 13:24
推 :改用ipv64F 06/20 13:24
dns全部改走tcp協定,這種攻法馬上被破..推 :難怪一堆妖魔鬼怪都想吃唐僧肉5F 06/20 13:24
※ 編輯: HowLeeHi (118.167.58.199), 06/20/2014 13:28:46→ :這種攻擊不需要大量殭屍電腦,意思就是你要癱瘓中國網站6F 06/20 13:27
推 :醫生:病患癌症未期7F 06/20 13:27
→ :也不是不可以8F 06/20 13:27
理論上是這樣沒錯XDD推 :長知識9F 06/20 13:28
推 :恩恩 跟我想的差不多10F 06/20 13:28
※ 編輯: HowLeeHi (118.167.58.199), 06/20/2014 13:32:00→ :米國一直被射蠻有趣der 為啥不反擊11F 06/20 13:32
--
※ 看板: Gossiping 文章推薦值: 3 目前人氣: 0 累積人氣: 1975
回列表(←)
分享