不要讓你的網路輕易被別人斬首了

斬首攻擊（Decapitation strike）一詞是軍事用語，是以癱瘓敵人指揮系統、破壞通訊媒介為主要手段的戰略，因此近來我們常在大眾傳播媒體上，看到以「斬首」來形容擊殺恐怖份子首腦的行動，若論及中國佔領臺灣時，可能會採取先發射導彈攻擊總統府的作為，也被視為是這類型攻擊。

在IT領域裡面，也有人用「斬首攻擊」來形容所面臨到的一些資訊安全威脅，例如，透過切斷海底電纜，即可讓國家對外的通訊網路無法運作，去年就有三個埃及潛水夫企圖破壞對外網路連線的海底電纜。

在臺灣則有另一個例子。去年菲律賓海巡射殺我國漁民而引發鍵盤開戰的事件中，有媒體用「斬首」來比喻這項攻擊行動的結果。因為當中所採用的手法，除了對菲國政府網站執行DDoS攻擊，癱瘓網頁服務，並且取得、公布該國大量網站的帳號密碼，更嚴重的是侵入該國政府機關的DNS伺服器（dns.gov.ph）、公布裡面存放的資料庫內容，而且植入插旗網頁以宣示攻占。

事實上，DNS伺服器被駭、資料庫外洩，比個別網站停擺還要嚴重，因為有心人士能透過這種方式，不僅收集到所有相關網站的網域名稱，還可能透過一些更精緻的攻擊手法，快速且更大規模地影響所有存取DNS服務的電腦與伺服器，例如將存取原本網站的連線與流量，導引至偽造的惡意網站，趁機蒐集使用者帳號、密碼。

舉一個簡單的例子來說，若取得DNS伺服器的控制權，攻擊者可將偽造的網域名稱與所對應的IP位址記錄，竄改或置入DNS的快取，而連上這臺DNS伺服器查詢該網域名稱的使用者，就會連到這個假的IP位址所在的網站，而這個IP位址所在的網站會做得跟原來網站很類似，讓你毫不設防地輸入帳號、密碼，如此一來，使用者的資料就可以被偷偷收集下來。也有人會透過另一種方法來操弄，例如架設一臺Proxy伺服器，然後修改DNS中的網域名稱記錄，讓用戶所有的網站連線都先偷偷地經過這臺伺服器，再連到目的地，以掌握使用者的連線過程。

不過，你以為設法強化DNS伺服器本身的系統安全性，就不會發生被攻擊的事件了嗎？大錯特錯！就算不正面入侵DNS伺服器，駭客還是可以透過其他方法來綁架你的DNS服務。

就算身為技術能力超凡如雲端服務、搜尋引擎界的巨擘Google，最近也頻頻中招。今年3月中，Google提供給大眾使用的公共DNS服務8.8.8.8，就發生了DNS流量遭劫持到巴西與委內瑞拉，目的是攻擊英國電信公司的南美洲分公司，時間達22分鐘。當時大約有多少人影響？根據Google DNS公布的處理量來看，每天平均處理超過1,300億次的查詢量，提出域名查詢請求的來源IP位址7千萬個，二十多分鐘所綁架的規模之大，可想而知。

上述這些攻擊方式，算是偷天換日的低調手法，若沒有經過媒體揭露，可能就神不知、鬼不覺地進行，無人發現，但DNS攻擊也可以是非常明目張膽的，若用在DDoS攻擊上，所產生的力道與影響程度，也可以是非常驚人的。例如，去年發生在反垃圾郵件組織SpamHaus的DDoS攻擊，來自全球各地、總共高達300Gbps的網路流量直逼而來，不只癱瘓了他們，也讓整個歐洲網際網路大塞車，而這樣的巨量攻擊之所以能成立，就是利用DNS的網路傳輸方式──透過發出偽造IP位址作為來源的大量DNS查詢請求，讓眾多DNS伺服器將回覆的龐大資料量，傳送到攻擊目標所在的網路位置。

這種攻擊結合了好幾種方式，包括較多人熟知的殭屍網路，以及DNS攻擊中的折射攻擊與放大攻擊，駭客可以安然地躲在重重幕後，發動驚天動地的網路攻擊，而且，受害所及範圍也擴大到周邊網路。在此之前，巨量DDoS攻擊的網路流量，最多100Gbps上下。

該怎麼因應這樣千變萬化的攻擊手法呢？當然，對於你所管理的DNS伺服器，本身的設定要適當，面對所有非必要的查詢請求，也必須能夠辨識並予以管制，不過，要做到這件事，對於DNS伺服器的效能需求也會變高，而且可能要架設更多臺DNS伺服器來分散負載，企業最好要有心理準備。

相關報導請參考：「DNS安全驚爆危機」