觀點

又是DNS反射攻擊 蘋果日報20G DDoS流量並不難

2014 / 06 / 23
張維君
又是DNS反射攻擊 蘋果日報20G DDoS流量並不難
蘋果日報上周遭到DDoS攻擊,造成網站無法正常運作。根據媒體報導,在攻擊尖峰時間最高流量達每秒20GB。資安專家指出此次攻擊手法亦為DNS反射/放大攻擊,近期特別常見透過DNS(域名服務)、NTP(校時服務)等基礎設備的弱點來發動的DDoS攻擊,且動輒產生上百GB的攻擊流量。

DEVCORE執行長翁浩正指出,此次蘋果日報所遭受的攻擊亦為DNS反射/放大攻擊,此類攻擊因為最簡單、且最不吃資源,已成為近期攻擊者愛用的攻擊方式。DNS反射/放大攻擊是指有些組織的DNS主機錯誤設定為對外開放遞迴查詢服務,攻擊者於是指揮一群殭屍電腦偽冒為蘋果日報,在同一時間對這些主機發動DNS查詢,而這些主機回應的結果就是產生了巨大流量到蘋果日報,造成蘋果日報網站掛點。

翁浩正表示這類的攻擊手法在國外已屢見不鮮,且攻擊流量動輒300GB~400GB,此次蘋果日報所遭受的攻擊流量並不算太高。黃繼民在此文也指出,要發動幾GB的攻擊流量並不困難,若以1:35的放大倍率來計算,攻擊者對一台開放遞迴查詢服務的DNS主機發送36 bytes的DNS查詢,其反射到攻擊目標的DNS回應約為1275 bytes;每秒100次的DNS查詢就可製造單機發動1.02MB攻擊量。若依此推算,此次造成蘋果日報瞬間20GB的流量,只要透過殭屍網路同時招換20,000台開放遞迴查詢服務的DNS主機即可產生。根據Black Lotus的2014 Q1威脅報告指出,在接下來的12~18個月,此種新型態的DrDoS(distributed reflect denial- of- service)攻擊可能產生超過800GB的流量。

各單位應盡速檢查DNS主機,避免對外開放遞迴查詢服務,成為攻擊幫兇。而受攻擊的企業如蘋果日報,則應確保DNS的處理能力及高可用性,並可透過限縮(rate limit)減緩攻擊量。DNS安全值得企業關注,除了DNS DDoS之外,會導致企業內部網路資訊外洩的Zone Transfer問題也應盡速檢測。