DNS 攻擊方式及攻擊案例

【賽迪網-IT技術報道】2010年1月12日晨7時起，網絡上開始陸續出現百度出現沒法訪問的狀況反饋， 12時左右基本恢復正常；18時許百度發佈官方版本公告；對事故緣由說明爲:「因www.baidu.com的域名在美國域名註冊商處被非法篡改，致使全球多處用戶不能正常訪問百度。」黑客所使用的方式就是DNS劫持，那麼什麼叫DNS，什麼又是DNS劫持呢，下面咱們就來一一解析。

什麼是DNS呢？

網絡節點可以被尋址訪問的緣由，是因爲網絡節點擁有一個獨立身份證，這是由網卡物理地址、IP地址和網絡端口組成的一個地址體系。對於以TCP/IP爲基礎協議的Internet來講，必須找到訪問對象的IP地址，才能進行訪問，但因爲IP地址難於記憶，也不夠靈活，Internet規則的制定者發明了一套域名體系與其對應，這就是DNS（域名解析服務）的基礎體系。這時用戶無需記憶大量的IP地址數字（如202.108.22.5），而能經過域名訪問豐富多彩的互聯網內容（如www.baidu.com），這給用戶帶來了極大的方便，但也產生了相關的安全隱患。

方式一：利用DNS服務器進行DDOS攻擊

正常的DNS服務器遞歸詢問過程可能被利用成DDOS攻擊的。假設攻擊者已知被攻擊機器的IP地址，而後攻擊者使用該地址做爲發送解析命令的源地址。這樣當使用DNS服務器遞歸查詢後，DNS服務器響應給最初用戶，而這個用戶正是被攻擊者。那麼若是攻擊者控制了足夠多的肉雞，反覆的進行如上操做，那麼被攻擊者就會受到來自於DNS服務器的響應信息DDOS攻擊。下圖爲攻擊原理：

a)攻擊者發送控制信號給肉雞羣機器。

b)肉雞羣機器針對這個遞歸DNS不斷的執行這條記錄的查詢。

c)本地的DNS服務器首先在它的本地表（或緩存）中進行查找「www.antiy.com」，若是找到將其返回客戶端，若是沒有發現，那麼DNS服務器發送一個查詢給根服務器，來查詢「www.antiy.com」的IP地址。

d)根服務器收到訊息（信息）後會迴應「www.antiy.com」頂級域（TLD）服務器的地址。

e)而後由本地的DNS服務器聯繫頂級域名（TLD）服務器來肯定「www.antiy.com」的IP地址。

f)頂級域（TLD）服務器會迴應針對「www.antiy.com」的名稱的服務器地址。

g)本地DNS服務器聯繫獲得的「www.antiy.com」的名稱服務器來肯定它的IP地址。

h)遞歸DNS得到了某域名的IP地址後，把全部信息都回復給源地址，而此時的源地址就是被攻擊者的IP地址了。

若是攻擊者擁有着足夠多的肉雞羣，那麼就可使被攻擊者的網絡被拖垮至發生中斷。利用DNS服務器攻擊的重要挑戰是，攻擊者因爲沒有直接與被攻擊主機進行通信，隱匿了本身行蹤，讓受害者難以追查原始的攻擊來。相對比較好的解決辦法就是可取消DNS服務器中容許人人查詢網址的遞迴(recursive)功能。

方式二：DNS緩存感染

攻擊者使用DNS請求，將數據放入一個具備漏洞的的DNS服務器的緩存當中。這些緩存信息會在客戶進行DNS訪問時返回給用戶，從而把用戶客戶對正常域名的訪問引導到入侵者所設置掛馬、釣魚等頁面上，或者經過僞造的郵件和其餘的server服務獲取用戶口令信息，致使客戶遭遇進一步的侵害。

 

方式三：DNS信息劫持

原則上TCP/IP體系經過序列號等多種方式避免仿冒數據的插入，但入侵者若是經過監聽客戶端和DNS服務器的對話，就能夠猜想服務器響應給客戶端的DNS查詢ID。每一個DNS報文包括一個相關聯的16位ID號，DNS服務器根據這個ID號獲取請求源位置。攻擊者在DNS服務器以前將虛假的響應交給用戶，從而欺騙客戶端去訪問惡意的網站。假設當提交給某個域名服務器的域名解析請求的數據包被截獲，而後按截獲者的意圖將一個虛假的IP地址做爲應答信息返回給請求者。這時，原始請求者就會把這個虛假的IP地址做爲它所要請求的域名而進行鏈接，顯然它被欺騙到了別處而根本鏈接不上本身想要鏈接的那個域名。

方式四：DNS重定向

攻擊者若是將DNS名稱查詢重定向到惡意DNS服務器。那麼被劫持域名的解析就徹底至於攻擊者的控制之下。

方式五：ARP欺騙

ARP攻擊就是經過僞造IP地址和MAC地址實現ARP欺騙，可以在網絡中產生大量的ARP通訊量使網絡阻塞，攻擊者只要持續不斷的發出僞造的ARP響應包就能更改目標主機ARP緩存中的IP-MAC條目，形成網絡中斷或中間人攻擊。ARP攻擊主要是存在於局域網網絡中，局域網中如有一臺計算機感染ARP木馬，則感染該ARP 木馬的系統將會試圖經過「ARP欺騙」手段截獲所在網絡內其它計算機的通訊信息，並所以形成網內其它計算機的通訊故障。

ARP欺騙一般是在用戶局網中，形成用戶訪問域名的錯誤指向，但在IDC機房被入侵後，則也可能出現攻擊者採用ARP包壓制正常主機、或者壓制DNS服務器，而李代桃僵，以使訪問導向錯誤指向的狀況。

方式六：本機劫持

在計算機系統被木馬或流氓軟件感染後可能會出現部分域名的訪問異常，如訪問掛馬或者釣魚站點、沒法訪問等狀況，本機劫持有hosts文件篡改、本機DNS劫持、SPI鏈注入、BHO插件等方式，雖然並不是都經過DNS環節完成，但都會形成沒法按照用戶意願得到正確的地址或者內容的後果。

與DNS相關的一些攻擊案例

事件1：百度遇DDOS攻擊事件

2006年09月12日17點30分，有北京、重慶等地的網友反映百度沒法正常使用，出現「請求超時」(Request timed out)的信息。此次攻擊形成了百度搜索服務在全國各地出現了近30分鐘的故障。隨後，百度技術部門的員工們快速反應，將問題解決並恢復百度服務。9月12日晚上11時37分，百度空間發表了針對不明攻擊事件的聲明。「今天下午，百度遭受有史以來最大規模的不明身份黑客攻擊，致使百度搜索服務在全國各地出現了近30分鐘的故障。」

事件2：新網DNS服務器遭到攻擊

2006年09月22日，新網對外作出證明DNS服務器遭到大規模黑客攻擊，從21日下午4點多開始持續到凌晨12點。儘管目前服務已經恢復正常，可是技術人員正在追蹤攻擊來源，並分析攻擊技術手段。新網是國內最大域名服務商之一，黑客持續8小時的攻擊，致使在新網註冊30%的網站沒法正常訪問。其中包括天空軟件、艾瑞視點、中國網庫等知名網站。

事件3：暴風影音事件

2009年5月18日晚上22點左右，DNSPod主站及多個DNS服務器遭受超過10G流量的惡意攻擊。耗盡了整個機房約三分之一的帶寬資源，爲了避免影響機房其餘用戶，最終致使DNS服務器被迫離線。該事件關聯致使了使用DNSPod進行解析的暴風影音程序頻繁的發生域名從新申請，產生請求風暴，大量積累的不斷訪問申請致使各地電信網絡負擔成倍增長，網絡出現堵塞。於2009年5月19日晚21時左右開始，江蘇、安徽、廣西、海南、甘肅、浙江六省陸續出現大規模網絡故障，不少互聯網用戶出現訪問互聯網速度變慢或者沒法訪問網站等狀況。在零點之前，部分地區運營商將暴風影音服務器IP加入DNS緩存或者禁止其域名解析，網絡狀況陸續開始恢復。

總之，DNS劫持並非什麼新鮮事物，也並不是沒法預防，百度被黑事件的發生再次揭示了全球DNS體系的脆弱性，並說明互聯網廠商若是僅有針對自身信息系統的安全預案，就不足以快速應對全面而複雜的威脅。所以，互聯網公司應準備兩個以上的域名，一旦黑客進行DNS攻擊，用戶還能夠訪問另外一個域名。第二，互聯網應該對應急預案進行進一步修正，強化對域名服務商的協調流程。另外，域名註冊商和代理機構近期可能成爲集中攻擊目標，須要加以防範。最後，國內有關機構之間應該快速創建與境外有關機構的協調和溝通，協助國內企業實現對此事件的快速及時的處理。