斬首攻擊(Decapitation strike)一詞是軍事用語,是以癱瘓敵人指揮系統、破壞通訊媒介為主要手段的戰略,因此近來我們常在大眾傳播媒體上,看到以「斬首」來形容擊殺恐怖份子首腦的行動,若論及中國佔領臺灣時,可能會採取先發射導彈攻擊總統府的作為,也被視為是這類型攻擊。

在IT領域裡面,也有人用「斬首攻擊」來形容所面臨到的一些資訊安全威脅,例如,透過切斷海底電纜,即可讓國家對外的通訊網路無法運作,去年就有三個埃及潛水夫企圖破壞對外網路連線的海底電纜。

在臺灣則有另一個例子。去年菲律賓海巡射殺我國漁民而引發鍵盤開戰的事件中,有媒體用「斬首」來比喻這項攻擊行動的結果。因為當中所採用的手法,除了對菲國政府網站執行DDoS攻擊,癱瘓網頁服務,並且取得、公布該國大量網站的帳號密碼,更嚴重的是侵入該國政府機關的DNS伺服器(dns.gov.ph)、公布裡面存放的資料庫內容,而且植入插旗網頁以宣示攻占。

事實上,DNS伺服器被駭、資料庫外洩,比個別網站停擺還要嚴重,因為有心人士能透過這種方式,不僅收集到所有相關網站的網域名稱,還可能透過一些更精緻的攻擊手法,快速且更大規模地影響所有存取DNS服務的電腦與伺服器,例如將存取原本網站的連線與流量,導引至偽造的惡意網站,趁機蒐集使用者帳號、密碼。

舉一個簡單的例子來說,若取得DNS伺服器的控制權,攻擊者可將偽造的網域名稱與所對應的IP位址記錄,竄改或置入DNS的快取,而連上這臺DNS伺服器查詢該網域名稱的使用者,就會連到這個假的IP位址所在的網站,而這個IP位址所在的網站會做得跟原來網站很類似,讓你毫不設防地輸入帳號、密碼,如此一來,使用者的資料就可以被偷偷收集下來。也有人會透過另一種方法來操弄,例如架設一臺Proxy伺服器,然後修改DNS中的網域名稱記錄,讓用戶所有的網站連線都先偷偷地經過這臺伺服器,再連到目的地,以掌握使用者的連線過程。

不過,你以為設法強化DNS伺服器本身的系統安全性,就不會發生被攻擊的事件了嗎?大錯特錯!就算不正面入侵DNS伺服器,駭客還是可以透過其他方法來綁架你的DNS服務。

就算身為技術能力超凡如雲端服務、搜尋引擎界的巨擘Google,最近也頻頻中招。今年3月中,Google提供給大眾使用的公共DNS服務8.8.8.8,就發生了DNS流量遭劫持到巴西與委內瑞拉,目的是攻擊英國電信公司的南美洲分公司,時間達22分鐘。當時大約有多少人影響?根據Google DNS公布的處理量來看,每天平均處理超過1,300億次的查詢量,提出域名查詢請求的來源IP位址7千萬個,二十多分鐘所綁架的規模之大,可想而知。

上述這些攻擊方式,算是偷天換日的低調手法,若沒有經過媒體揭露,可能就神不知、鬼不覺地進行,無人發現,但DNS攻擊也可以是非常明目張膽的,若用在DDoS攻擊上,所產生的力道與影響程度,也可以是非常驚人的。例如,去年發生在反垃圾郵件組織SpamHaus的DDoS攻擊,來自全球各地、總共高達300Gbps的網路流量直逼而來,不只癱瘓了他們,也讓整個歐洲網際網路大塞車,而這樣的巨量攻擊之所以能成立,就是利用DNS的網路傳輸方式──透過發出偽造IP位址作為來源的大量DNS查詢請求,讓眾多DNS伺服器將回覆的龐大資料量,傳送到攻擊目標所在的網路位置。

這種攻擊結合了好幾種方式,包括較多人熟知的殭屍網路,以及DNS攻擊中的折射攻擊與放大攻擊,駭客可以安然地躲在重重幕後,發動驚天動地的網路攻擊,而且,受害所及範圍也擴大到周邊網路。在此之前,巨量DDoS攻擊的網路流量,最多100Gbps上下。

該怎麼因應這樣千變萬化的攻擊手法呢?當然,對於你所管理的DNS伺服器,本身的設定要適當,面對所有非必要的查詢請求,也必須能夠辨識並予以管制,不過,要做到這件事,對於DNS伺服器的效能需求也會變高,而且可能要架設更多臺DNS伺服器來分散負載,企業最好要有心理準備。

相關報導請參考:「DNS安全驚爆危機」

作者簡介


Advertisement

更多 iThome相關內容