10月21日上午,Dyn遭受到拒絕服務(wù)(DoS)攻擊,造成了托管DNS網(wǎng)絡(luò )的中斷。成千上萬(wàn)的網(wǎng)站因此變得不可訪(fǎng)問(wèn),其中包括Amazon EC2。當天晚些時(shí)候,當攻擊者發(fā)起第二輪針對Dyn DNS系統的攻擊時(shí),問(wèn)題又進(jìn)一步加劇了。Dyn的攻擊緩解措施可以通過(guò)RIPE網(wǎng)站查看,視頻介紹了BGP切換。
Dyn宕機中Amazon的狀態(tài)更新
域名服務(wù)器(DNS)就像電話(huà)簿或互聯(lián)網(wǎng)路徑圖。這些服務(wù)保存了域名和相應IP地址的目錄。相對于IP地址,人們更容易記住域名,因此,當用戶(hù)在瀏覽器中鍵入Radware.com時(shí),他們實(shí)際上指向的是91.240.147.21。
研究人員早就警告過(guò)絕大多數互聯(lián)網(wǎng)客戶(hù)采用多個(gè)DNS提供商進(jìn)行網(wǎng)絡(luò )管理的風(fēng)險。許多只采用一個(gè)DNS提供商作為他們的主DNS和輔助DNS的互聯(lián)網(wǎng)客戶(hù)就存在問(wèn)題。當Dyn DNS遭受攻擊時(shí),沒(méi)有采用冗余DNS服務(wù)的客戶(hù)就發(fā)現服務(wù)不可用,用戶(hù)也無(wú)法訪(fǎng)問(wèn)其網(wǎng)站。
這并不是DNS服務(wù)提供商第一次遭受攻擊。5月16日,NS1的托管DNS網(wǎng)絡(luò )就遭遇了同類(lèi)攻擊。僅一周,NS1就持續遭受了多個(gè)DDoS攻擊,從簡(jiǎn)單的大流量攻擊到惡意直接DNS查詢(xún)和畸形數據包。據報道,此次攻擊廣泛來(lái)源于真實(shí)客戶(hù)域及變體的查詢(xún),因此更難于檢測并和緩解。
DNS洪水是攻擊者針對一個(gè)或多個(gè)DNS解析器發(fā)起的UDP洪水。DNS洪水是對稱(chēng)攻擊,利用海量的UDP請求耗盡服務(wù)器資源、內存或CPU。攻擊者發(fā)送精心設計的UDP流量進(jìn)行域名解析。通過(guò)向目標DNS服務(wù)器發(fā)送海量請求,攻擊者可以消耗服務(wù)器資源,進(jìn)而導致合法請求的服務(wù)降級。
這些攻擊針對的并非網(wǎng)絡(luò )中的客戶(hù),而是DNS提供商本身。攻擊者試圖通過(guò)利用垃圾DNS查詢(xún)淹沒(méi)DNS提供商的方式耗盡網(wǎng)絡(luò )資源。DNS服務(wù)器是通往互聯(lián)網(wǎng)的路徑圖,可以幫助用戶(hù)找到他們要尋找的網(wǎng)站。當攻擊者占用了所有的DNS資源時(shí),合法客戶(hù)的請求就無(wú)法處理了。
DNS服務(wù)提供商每天都會(huì )收到海量流量,可以輕松應對多個(gè)20-60 Gbps的攻擊。但當攻擊流量增長(cháng)到600 Gbps,網(wǎng)絡(luò )資源無(wú)法承載時(shí),就會(huì )導致資源耗盡進(jìn)而引發(fā)服務(wù)降級。規模超過(guò)1 Tbps的流量會(huì )帶來(lái)更大的威脅。這樣的攻擊規模很大,部分網(wǎng)絡(luò )基礎設施無(wú)法處理流量,最終會(huì )向攻擊目標發(fā)送空路由信息,預防進(jìn)一步的中斷。物聯(lián)網(wǎng)(IoT)僵尸網(wǎng)絡(luò )在這一全新的領(lǐng)域占據領(lǐng)先地位。
這些海量DDoS攻擊的背后是被感染的IoT設備。Flashpoint 和Level3都能夠識別并確認,用于針對Dyn DNS的拒絕服務(wù)攻擊的基礎架構是與Mirai惡意軟件相關(guān)的僵尸網(wǎng)絡(luò )。在本月初針對Brian Krebs和OVH的攻擊中,Mirai僵尸網(wǎng)絡(luò )名聲大振,攻擊規模達到了破紀錄的1.1Tbps。攻擊發(fā)生不久之后,HackForums的用戶(hù)Anna_Senpai就發(fā)布了Mirai僵尸網(wǎng)絡(luò )的源代碼。自此之后,許多攻擊者都可以自己修改并部署僵尸網(wǎng)絡(luò )了。目前,Radware還未確定可租用的Mirai僵尸網(wǎng)絡(luò )的位置,但在Darknet市場(chǎng)中可以找到很多其它可租用的僵尸網(wǎng)絡(luò )。
Dyn攻擊期間PayPal轉換為DNS
Mirai和許多其它針對IoT設備的惡意軟件變體都是利用預設密碼來(lái)感染這些設備的。攻擊者會(huì )掃描互聯(lián)網(wǎng),查找使用缺省憑證、很容易通過(guò)暴力破解攻入的設備。由于主動(dòng)掃描可以生成海量永遠在線(xiàn)的僵尸網(wǎng)絡(luò ),因此攻擊者僅用一天就可以快速招募超過(guò)100000臺設備。
EA Support宣布與DynDNS相關(guān)的問(wèn)題
為了破壞互聯(lián)網(wǎng),攻擊者會(huì )通過(guò)攻擊DNS、CDN和其它網(wǎng)絡(luò )基礎架構來(lái)攻擊DNS服務(wù)提供商。目前還不清楚攻擊的幕后主使是誰(shuí),但有一點(diǎn)很清楚,互聯(lián)網(wǎng)客戶(hù)需要實(shí)現更好的DNS管理和53端口出口過(guò)濾。
許多人都在猜測誰(shuí)是攻擊的幕后黑手,從俄羅斯、中國到匿名組織和Anna_Senpai。隨著(zhù)美國總統選舉的日益臨近,多數人傾向于猜測是俄羅斯,但這卻不符合國家攻擊的模式。該攻擊也不符合匿名者的方式。通常,匿名者都會(huì )提前宣布要發(fā)起攻擊活動(dòng),隨后會(huì )列出攻擊目標列表,并調整攻擊。匿名者之后在第一波和第二波的攻擊之間伺機發(fā)表攻擊聲明,如Julian Assange的互聯(lián)網(wǎng)中斷。
預計攻擊者還將繼續考驗DNS和互聯(lián)網(wǎng)基礎架構的極限,直到企業(yè)真正能解決了與DNS和IoT安全相關(guān)的漏洞。
如果互聯(lián)網(wǎng)客戶(hù)采用了第二方作為輔助DNS,他們就可以避免10月21日的宕機。互聯(lián)網(wǎng)客戶(hù)需要花費時(shí)間部署更好的DNS管理方法并主動(dòng)過(guò)濾53端口出口流量。
關(guān)于Radware
Radware是為虛擬數據中心和云數據中心提供應用交付和應用安全解決方案的全球領(lǐng)導者。Radware屢獲殊榮的解決方案為關(guān)鍵業(yè)務(wù)應用提供充分的彈性、最大的IT效率和完整的業(yè)務(wù)靈敏性。Radware解決方案幫助全球上萬(wàn)家企業(yè)和運營(yíng)商快速應對市場(chǎng)挑戰,保持業(yè)務(wù)的連續性,在實(shí)現最高生產(chǎn)效率的同時(shí)有效降低成本。
