这种攻击称为DNS放大。自从12月份以来,它一直被零星地使用,但上个月纽约互联网服务提供商ISPrime开始受到所谓的分布式拒绝服务攻击(DDOS)攻击时开始讨论。据该公司首席技术官Phil Rosenthal称,这起袭击事件是由一家色情网站的运营商发起的,该网站试图关闭竞争对手,该公司的首席技术官是该公司的首席技术官。
对ISPrime的攻击始于周日早上,1月18日。它持续了大约一天,但令人惊讶的是,相对较少数量的个人电脑能够在网络上产生大量的流量。[
] [更多阅读:最佳的NAS媒体流媒体盒和备份]
一天后,发生了类似的攻击,持续三天。在ISPrime能够过滤不需要的流量之前,攻击者能够使用该公司带宽约5GB /秒,通过一些工作,罗森塔尔的员工能够过滤出敌意的流量,他表示,这次攻击“代表了拒绝服务攻击的复杂趋势中的一个令人不安的趋势。”根据安全厂商SecureWorks的威胁情报总监Don Jackson的说法,我们很快会看到更多的这些DNS放大攻击。上周晚些时候,僵尸网络运营商将他们的黑客电脑网络出租给出价最高的竞标者,他们开始在他们的网络中增加定制的DNS放大工具。“他说,”现在每个人都选择了它。 “一些前苏联共和国的下一个大DDOS,你会看到这个提到的,我敢肯定。”
使DNS放大攻击特别讨厌的事情之一是事实上,通过发送一个非常小的数据包一个合法的DNS服务器,比如说17个字节,攻击者就可以诱骗服务器向受害者发送一个更大的数据包 - 大约500字节。通过欺骗数据包的来源,攻击者可以将其引导到受害者网络的特定部分。杰克逊估计,仅用2000台计算机就可以实现5GB /秒的针对ISPrime的攻击,这些计算机将假冒的数据包发送到数千个合法名称服务器,所有这些都开始淹没ISPrime网络。 ISPrime的Rosenthal表示,在他的网络攻击中使用了大约750,000台合法的DNS服务器。
本周早些时候,SecureWorks对DNS放大攻击进行了技术分析
这次攻击引发了DNS专家之间的很多讨论,据位于加利福尼亚州红木城的DNS-OARC(运营分析和研究中心)的项目经理Duane Wessels说,“令人担忧的是,这种攻击可以用于更高调的目标,”他说:“让这次攻击特别讨厌的事情之一就是它很难防范。”据我所知,唯一真正的防御就是让你的上游供应商过滤[恶意流量],“他说。 “这不是受害者自己能够做的事情,他们需要提供商的合作。”
在过去的一年中,DNS系统是一种互联网目录服务,在黑客Dan Kaminsky发现系统存在严重缺陷。 DNS-OARC发布了一些关于如何防止BIND DNS服务器被使用的信息,这些漏洞现在已经被DNS软件制造商修补,可以被利用来悄悄地将Internet流量重定向到恶意计算机。
在这些攻击之一。微软无法立即提供有关如何减轻对其自身产品的这种特殊攻击的信息,但可以在此处找到有关部署安全DNS服务器的指导。