黑客正在使用DNS翻新DDOS攻击的手法

网络罪犯最近 翻新 分散式阻断服务(DDOS)攻击的手法，开始用形同互联网 黄页 的域名系统服务器来发动攻击，扰乱在线商务。

VeriSign表示，今年初发现该公司系统承受的攻击规模甚于以往，而且来源不是被绑架的“��尸”(bot)电脑，而是出自于域名系统(DNS)服务器。

安全研究员Dan Kaminsky说:“DNS已成为DDOS重要的一环。门槛已降低了。人们现在可凭更少的资源，发动可能极具破坏力的攻击。”

一旦成为DDOS攻击的箭靶，目标系统不论是网页服务器、域名服务器或电子邮件服务器，都会被网络上四面八方的系统所传来的巨量信息给淹没。黑客的用意是借大量垃圾信息妨碍系统正常的信息处理，借此切断攻击目标对外的连线。

以往，这类攻击是青少年闲得无聊时的杰作，图得只是看网站挂掉的那种快感。但如今，DDOS攻击常被歹徒拿来当作勒索网络公司的武器，赌博网站和成人娱乐网站尤其首当其冲。

不同于被绑架的僵尸电脑，DNS服务器是合法的网络良民，其作用是把文字型域名名称(例如[url]www.cnet.com[/url])转换成相对应的数字型互联网协定(IP)位址，以引导使用者上他们想到的网站。

现在，黑客常用僵尸电脑连成的网络(botnet)，把大量的查询要求传至开放的DNS服务器。这些查询信息会假造得像是被巨量信息攻击的目标所传出的，因此DNS服务器会把回应信息传到那个网址。

黑客用DNS服务器来发动攻击有多重好处，可隐匿自己的系统，让受害者难以追查攻击的原始来源，更可让攻击效果加倍。Baylor大学信息系教授Randal Vaughn说，单一的DNS查询，可启动比原始查询大73倍的回应。

DNS发明人兼Nominum公司首席科学家Paul Mockapetris打个比方说，若你企图让垃圾邮件塞爆某人的信箱，基本的方法就是寄很多信到该地址，但你必须费很多时间写信，而且发信来源追查得出来。

Mockapetris说:“更好的方法，是寄出杂志里常见的那种广告回函卡，勾选各种想索取的信息，然后把回信地址填上目标信箱，就会让那个信箱爆掉，同时消除与你有关的链接。”他说，用DNS服务器发动DDOS攻击，就是运用这种原理。

但如果拦阻一台DNS服务器对外的连线，可能造成合法使用者无法传电子邮件或浏览某网站。问题出在所谓的“递回 域名 服务” (recursive name service)服务器，是开放给网络上任何人查询的DNS服务器，估计数量从60万台到560万台不等。

Mockapetris说:“使用这些开放服务器的人士，必须好自为之。不论知不知情，或是否怠惰，他们现在已成为这类攻击的帮凶。他们是互联网上的伤寒玛丽。”

专家建议，要保护自家系统，企业可解除DNS服务器中允许人人查询网址的递回(recursive)功能，转而调整服务器设定，只对内部人士开放递回功能。目前使用DNS服务器者包括互联网服务供应商(ISP)以及企业和个人。

二阳、ichenyao

2人

了这篇文章

类别： IT资讯┆阅读( 0)┆评论( 0) ┆ 返回博主首页┆ 返回博客首页

上一篇 Alexa世界排名作弊分析 下一篇 超级巡警(Anti-Spyware Toolkit)3.0.0

相关文章

• 黑客基础之DOS 一（最齐全）
• 黑客攻防专题一：黑客入门必须掌握8个DOS命令
• 黑客基础之DOS 二（最齐全）

职位推荐

• web前端开发工程师
• 网络安全工程师
• 运维监控工程师
• 信息安全渗透工程师
• 安全工程师-支付产品技术部

文章评论

 

[1楼]       [匿名]ddos防御  回复

2012-07-20 17:15:16

www.yunfangyu.com 分布式金盾集群云防御，帮您防御针对网站的大流量DDOS攻击和各类CC攻击，全方位立体式防御，快速部署立即使用，您只需将网站托付给我们即可高枕无忧！

 

发表评论            

昵  称：

登录  快速注册

验证码：

点击图片可刷新验证码请点击后输入验证码博客过2级，无需填写验证码

内  容：

同时赞一个

每日博报 精彩不止一点

Copyright By 51CTO.COM 版权所有