DNS DDoS***事件分析

某運營商樞紐節點DNS網絡中防火牆會話數接近飽和(in use count 達到900萬)，綠盟科技ADS產品報警有DDoS***告警，監測發現域名解析延時增大，嚴重影響了DNS業務的正常運行。

6月15日上午，接某運營商網管中心互聯網室通知，其樞紐節點DNS服務器疑似遭受DDoS***。綠盟科技服務團隊啓動應急響應，並協調綠盟科技雲安全運營中心協助處理，響應工做隨即啓動。

1 2 3 4

1. 15日，綠盟科技服務團隊接報，某運營商樞紐節點DNS疑似遭受DDoS***，當即啓動應急響應機制； 2. 15日至16日，綠盟科技服務團隊啓動相關分析及數據彙總和ADS流量牽引注入工做， 3. 17日至19日，綠盟科技雲安全中心服務團隊及本地技術團隊24小時監測其***變化並隨時調整監測閥值； 4. 22日，將***事件分析和溯源信息彙總造成報告，報送某運營商信息安全中心、網管中心互聯網室。

綠盟科技服務團隊持續關注***事件的進展和變化。

事件概述

事件關鍵信息 ———————————–	關鍵內容
事件現象	某運營商樞紐節點DNS網絡中防火牆會話數接近飽和(in use count 達到900萬)，域名專項防禦系統報警有DDoS***告警，監測發現域名解析延時增大，嚴重影響了DNS業務的正常運行。
事件緣由	DNS放大DDoS***：***主要是***源向樞紐節點DNS（*.*29.170）發送大量小字節的針對美國***網站 defcon.org 域名的 ANY 查詢請求，從而使得DNS服務器返回大量大字節的數據包，致使DNS網絡中防火牆會話數接近飽和，消耗大量DNS服務器的資源，正常的解析請求延時增大，解析成功率下降。***源大部分來自運營商某範圍內的互聯網專線IP。
開始處理時間	2015年6月15日9點30分
處理結束時間	2015年6月19日17點30分
處理結果	6月15日上午10點10分至6月19日17點30分，綠盟科技本地服務團隊開啓防禦系統的流量牽引注入策略，啓動」流量牽引和注入」對其***流 量進行」清洗」，同時採用模式匹配（7層阻斷）對其來自對defcon.org 的域名解析請求的數據包進行丟棄，有效的保障了某運營商DNS服務的高可用性。

事件處理過程

檢測過程

2015年6月15日9點30分，綠盟科技DDoS防禦系統發出DDoS***告警，同時接到某運營商網管中心互聯網室通知其DNS疑似遭受DDoS***，域名解析延時增大，成功率低於90%，隨即綠盟科技運營商服務團隊啓動了應急響應工做。從15日凌晨至19日，***一直在持續，初步統計次此***流量至少在10G 以上，其持續時間之長，***流量之大，當屬近幾年某運營商之最。

經過樣本分析發現，這次***主要是經過控制肉雞對美國***網站（Defcon.org）和僵屍網絡（router.bittorrent.com、 router.utorrent.com）域名進行ANY查詢請求和隨機查詢請求，致使某運營商DNS遭受拒絕服務***。***在短期內發起了峯值大於 6Gbps的查詢請求，形成某運營商樞紐DNS遞歸服務器延遲增大，核心解析業務受到嚴重影響。

使用ADS自帶的抓包工具捕獲數據包樣本，並對捕獲到的***樣本進行分析，以下圖所示：

在ADS上監控到defcon.org這個域名的查詢數量一直排在第一位，且查詢數量較多，屬於異常現象，以下圖所示：

查詢數量最多的域名，一個國外的***網站。以下圖所示：

***原理

***者控制大量肉雞發起針對多個域名（主要域名爲defcon.org）的ANY放大查詢（DNS Amplification attack，也叫反射***）和隨機查詢***，極大的消耗了防火牆的性能。這種***由來已久，2014年12月10至12月19日國內出現大規模針對運營 商DNS網絡的惡性DDoS攻 擊事件，當時的***者就是經過肉雞對國外遊戲廠商（arkhamnetwork.org、arkhamnetwork.com、 getfastinstagramfollowers.net）的域名隨機查詢進行拒絕服務***，形成各省的DNS遞歸服務器延遲增大，核心解析業務受到 嚴重影響。這種***模式成本低，效果好，追蹤溯源困難。

***特色：

• ***開始時候都是採用ANY查詢進行放大***，放大倍數達到50倍左右，基本特徵不變，目前沒有產生新的變種。

• 基本上的***都是肉雞、無線路由器，監控設備，也有一些源IP自己是DNS服務器。

• ***時間不固定，下午多一些。

• 最高流量峯值達到10G。

分析過程

經過結合域名專項防禦系統ADS的告警日誌和抓包分析發現有大量對defcon.org 的ANY查詢，分析發現這次***事件的***源90%均來自省內IP，部分肉雞存在弱口令，相對於過去的***，這次***中***源更加多樣化，其中智能監控設 備和商用無線路由器（如：某廠商的路由器帶有dnsmq服務）成爲主力。

大量對defcon.org的ANY查詢的惡意請求：

DNS服務器返回的應答數據包，數據包比正常應答數據包大：

大量對bittorren.com的隨機域名查詢：

域名專項防禦系統ADS上defcon.org的查詢統計,查詢數量一直排在第一位：

處置階段

根據告警狀況，結合DNS防火牆的會話性能適用佔比狀況，及時調整域名專項防禦設備的UDP檢測閥值（其UDP閥值調整在8萬pps-15萬pps 之間）對***流量進行清洗。同時在域名專項防禦系統開啓模式匹配策略（7層丟棄），對查詢Defcon.org 的域名的源IP的請求進行丟棄，這樣有效的保障DNS的高可用性，截止6月19日下午在流量清洗和模式匹配的防禦下，某運營商其DNS域名解析正常。

調整防禦策略，UDP檢測閥值調整範圍在8萬pps至15萬pps之間：

開啓流量牽引，將訪問DNS的流量牽引到域名專項防禦系統ADS進行清洗，同時啓動模式匹配-對惡意查詢包進行丟棄：

被清洗的流量日誌:

在防禦措施實施之後，DNS業務解析狀態逐漸恢復正常：

***源回溯

經過抓包分析，大部分***源頭來自以下：

*.*82.138 區域1 *.*82.27 區域1 ***.***83.202 區域1

*.*99.51 區域2 *.*82.107 區域1 ***.***82.136 區域1

*.*85.35 區域1 *.*84.65 區域1 ***.***75.137 區域1

*.*82.122 區域1 *.*83.19 區域1 ***.***82.96 區域1

*.*219.17 區域3 *.*82.121 區域1 ***.***87.194 區域1

*.*86.66 區域1 *.*85.90 區域1 ***.***20.231 區域1

經過查詢其IP地址分配發現大部分***源頭來自於區域1分公司給某銀行架設的互聯網專線，對其專線進行***測試發現其均開放了以下端口

PHP

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18

PORT STATE SERVICE VERSION 53/tcp open domain dnsmasq 2.62 80/tcp open http LuCI Lua http config 135/tcp filtered msrpc 139/tcp filtered netbios-ssn 389/tcp filtered ldap 443/tcp open ssl/https? 444/tcp filtered snpp 445/tcp filtered microsoft-ds 593/tcp filtered http-rpc-epmap 1025/tcp filtered NFS-or-IIS 1434/tcp filtered ms-sql-m 2222/tcp open ssh Dropbear sshd 2011.54 (protocol 2.0) 4444/tcp filtered krb524 5800/tcp filtered vnc-http 6129/tcp filtered unknown 10000/tcp open snet-sensor-mgmt? Service Info: OS: Linux

經過登陸80和443端口發現該系統屬於無線路由器，經過其集成商的配合調查發現其WEB登陸存在弱口令,該設備AP是某廠商無線接入網關，其目前的登陸帳號屬於弱口令。

因爲維護方不提供其ssh登陸帳號密碼和網關登陸的帳號密碼，另外針對defcon.org 的惡意查詢已經消失，故沒法繼續深刻調查。根據調查分析確認本次***來自於肉雞、商業無線路由器，監控設備。

事件總結

本次***事件從2015年6月15日開始，至2015年6月19日未發現***。在此期間，某運營商網管中心互聯網室協調綠盟科技等對***事件進行持續監控和分析，並採起有效的防禦措施，最終有效的抵禦了***，目前某運營商DNS業務已經恢復正常。

從2014年開始DDoS***方式出現了新的DDoS反射式放大***形式，該類***基於SSDP協議利用一些智能設備進行反射式***，***帶寬放大倍數最高可達75倍，***方技術不斷演進，將」以大欺小」（流量型***）與」以小博大」（資源耗盡型）兩種***方式組合起來，利用逐漸提升的網絡帶寬加強***力等。

這次***事件持續時間長、***流量大、***技術複雜，對某運營商DNS業務的正常運行形成了嚴重影響，雖然採起了一系列的防禦措施，達到了預期的效 果。可是，安全工做是一個長期持續性而非階段性的工做，因此須要時刻保持一種警覺，認真總結此次***事件的應急處理過程，藉此安全監控人員和管理維護人員 面對突發事件的應急處理能力，同時不斷完善安全技術防禦手段，不斷更新安全制度，落實安全管理，從而更能有力地保障系統穩固健康地運行。