[資安小常識] 每秒300GB!史上最大規模 DDoS 攻擊!
作者:Vavrin Chen
圖一、日前造成全球網路大塞車的 DDoS 攻擊(圖片來源)
您是否常常被網路的『龜速』弄得不耐煩呢?有時候上網路速度變慢,並不是單純的網路塞車,或共用線路的其他使用者在大量下載,而是 DDoS (分散式阻斷服務) 網路攻擊!日前,歐洲一家反垃圾郵件的非營利組織 Spamhaus 遭受流量 高達 300Gbps 的 DDoS 攻擊 (DDoS 是 DoS 的一種變形,因為它是透過網路分散來源的技巧,所以將之稱作分散式 DoS, Distributed DoS ,簡稱 DDoS 攻擊),此網路攻擊是史上最大規模,主要是歐洲地區遭受攻擊,但衝擊層面相當廣,全球都出現網路塞車的情形。
一般 DDoS 攻擊流量平均小於 10Gbps,為何這次 Spamhaus 所受攻擊的流量會如此高呢?進一步探討此次 DDoS 攻擊手法,是採用 DNS reflection 攻擊,意即攻擊者假裝從 Spamhaus 對數萬台的 DNS resolvers 發出請求,而這些 resolvers 會給 Spamhaus ,因此造成大量的網路流量;與一般透過殭屍電腦產生大量網路流量的方式不同 (傳統的 DDoS 手法為,利用分散於不同地方的多部電腦主機,發送大量偽造地址的封包,癱瘓受害者所在的網路主機伺服器,使得正常的接通率降到 1% 以下) 。
一般來說,DNS 伺服器應有設定只支援來自一個特定的網域或範圍的 IP 位址的請求,不過全球網路中大部分的 DNS 伺服器,其初始設定值並未有如上的限制,而是設為對外開放,因此受到有心人士的利用,將此開放式 DNS 伺服器用來回應除了其支援網域名以外的需求。 DDoS 攻擊方式在於它是網路上的多台主機同時發動類似 DoS 的攻擊行為,被攻擊者所面臨的敵人是數百台來自不同網域的主機,因此 DDoS 攻擊不一定要終止受害者主機的系統程式,只需要同時送出遠超過受害者主機網路負荷的資料,就能達到癱瘓網站目的。
由 DDoS 攻擊方式得知,其運用數以千計遭到自動化方法控制的殭屍電腦形成的分散式網路,目前已有許多偵測攻擊程式的工具,Windows系統可以利用 Microsoft Safety Scanner 程式來進行掃描。能有效地檢查出 Tribe Flood Network (英文) 的常駐攻擊程式,避免該網站成為駭客進行 DDoS 攻擊的幫凶,進而阻止駭客啟動 DDoS 攻擊。
目前許多網路安全漏洞或駭客攻擊都有其防範之道,不過從此次 Spamhaus 受到攻擊的事件來看,駭客攻擊技術也是日新月異的。因此為了能夠建立一個安全的網路環境,使用者有必要了解系統可能面臨的各種攻擊,並遵守一些 防護要點 ,進而完備一套健全的防禦機制。
參考資料
Spamhaus 的 DDoS 攻擊流量急遽上升 (英文)
https://arstechnica.com/security/2013/03/spamhaus-ddos-grows-to-internet-threatening-size/Spamhaus 所面臨的 DDoS 攻擊象徵 DNS 伺服器的資安受到挑戰 (英文)
https://www.darkreading.com/advanced-threats/167901091/security/attacks-breaches/240152167/spamhaus-ddos-spotlights-dns-server-security-challenge.htmlMicrosoft Safety Scanner - 針對電腦健康情況和安全的免費線上工具
https://www.microsoft.com/security/scanner/zh-tw/
維基百科 – Tribe Flood Network (英文)
https://en.wikipedia.org/wiki/Tribe_Flood_Network分散式阻斷服務攻擊
https://technet.microsoft.com/zh-tw/library/cc722931.aspxDDoS 攻擊Spamhaus,防護重點在於將開啟的 DNS resolvers 設為關閉 (英文)
https://www.techrepublic.com/blog/security/ddos-strike-on-spamhaus-highlights-need-to-close-dns-open-resolvers/9296Dynamic IP Restrictions: 保護 IIS 網站的流量守門員
https://www.microsoft.com/taiwan/technet/iis/expand/DynamicIPRestrictions.aspx