2010年1月12日晨7時起,網絡上開始陸續出現百度出現無法訪問的情況反饋, 12時左右基本恢復正常;18時許百度發佈官方版本公告;對事故原因說明爲:“因www.baidu.com的域名在美國域名註冊商處被非法篡改,導致全球多處用戶不能正常訪問百度。”***所使用的方式就是DNS劫持,那麼什麼叫DNS,什麼又是DNS劫持呢,下面我們就來一一解析 方式一:利用DNS服務器進行DDOS*** 正常的DNS服務器遞歸詢問過程可能被利用成DDOS***的。假設***者已知被***機器的IP地址,然後***者使用該地址作爲發送解析命令的源地址。這樣當使用DNS服務器遞歸查詢後,DNS服務器響應給最初用戶,而這個用戶正是被***者。那麼如果***者控制了足夠多的肉雞,反覆的進行如上操作,那麼被***者就會受到來自於DNS服務器的響應信息DDOS***。下圖爲***原理: a)***者發送控制信號給肉雞羣機器。 b)肉雞羣機器針對這個遞歸DNS不斷的執行這條記錄的查詢。 c)本地的DNS服務器首先在它的本地表(或緩存)中進行查找“www.antiy.com”,如果找到將其返回客戶端,如果沒有發現,那麼DNS服務器發送一個查詢給根服務器,來查詢“www.antiy.com”的IP地址。 d)根服務器收到訊息(信息)後會迴應“www.antiy.com”頂級域(TLD)服務器的地址。 e)然後由本地的DNS服務器聯繫頂級域名(TLD)服務器來確定“www.antiy.com”的IP地址。 f)頂級域(TLD)服務器會迴應針對“www.antiy.com”的名稱的服務器地址。 g)本地DNS服務器聯繫得到的“www.antiy.com”的名稱服務器來確定它的IP地址。 h)遞歸DNS獲得了某域名的IP地址後,把所有信息都回復給源地址,而此時的源地址就是被***者的IP地址了。 如果***者擁有着足夠多的肉雞羣,那麼就可以使被***者的網絡被拖垮至發生中斷。利用DNS服務器***的重要挑戰是,***者由於沒有直接與被***主機進行通訊,隱匿了自己行蹤,讓受害者難以追查原始的***來。相對比較好的解決辦法就是可取消DNS服務器中允許人人查詢網址的遞迴(recursive)功能。 方式二:DNS緩存感染 ***者使用DNS請求,將數據放入一個具有漏洞的的DNS服務器的緩存當中。這些緩存信息會在客戶進行DNS訪問時返回給用戶,從而把用戶客戶對正常域名的訪問引導到***者所設置掛馬、釣魚等頁面上,或者通過僞造的郵件和其他的server服務獲取用戶口令信息,導致客戶遭遇進一步的侵害。 方式三:DNS信息劫持 原則上TCP/IP體系通過序列號等多種方式避免仿冒數據的插入,但***者如果通過監聽客戶端和DNS服務器的對話,就可以猜測服務器響應給客戶端的DNS查詢ID。每個DNS報文包括一個相關聯的16位ID號,DNS服務器根據這個ID號獲取請求源位置。***者在DNS服務器之前將虛假的響應交給用戶,從而欺騙客戶端去訪問惡意的網站。假設當提交給某個域名服務器的域名解析請求的數據包被截獲,然後按截獲者的意圖將一個虛假的IP地址作爲應答信息返回給請求者。這時,原始請求者就會把這個虛假的IP地址作爲它所要請求的域名而進行連接,顯然它被欺騙到了別處而根本連接不上自己想要連接的那個域名。 方式四:DNS重定向 ***者如果將DNS名稱查詢重定向到惡意DNS服務器。那麼被劫持域名的解析就完全至於***者的控制之下。 方式五:ARP欺騙 ARP***就是通過僞造IP地址和MAC地址實現ARP欺騙,能夠在網絡中產生大量的ARP通信量使網絡阻塞,***者只要持續不斷的發出僞造的ARP響應包就能更改目標主機ARP緩存中的IP-MAC條目,造成網絡中斷或中間人***。ARP***主要是存在於局域網網絡中,局域網中若有一臺計算機感染ARP***,則感染該ARP ***的系統將會試圖通過“ARP欺騙”手段截獲所在網絡內其它計算機的通信信息,並因此造成網內其它計算機的通信故障。 ARP欺騙通常是在用戶局網中,造成用戶訪問域名的錯誤指向,但在IDC機房被***後,則也可能出現***者採用ARP包壓制正常主機、或者壓制DNS服務器,而李代桃僵,以使訪問導向錯誤指向的情況。 方式六:本機劫持 在計算機系統被***或流氓軟件感染後可能會出現部分域名的訪問異常,如訪問掛馬或者釣魚站點、無法訪問等情況,本機劫持有hosts文件篡改、本機DNS劫持、SPI鏈注入、BHO插件等方式,雖然並非都通過DNS環節完成,但都會造成無法按照用戶意願獲得正確的地址或者內容的後果。 與DNS相關的一些***案例 事件1:百度遇DDOS***事件 2006年09月12日17點30分,有北京、重慶等地的網友反映百度無法正常使用,出現“請求超時”(Request timed out)的信息。這次***造成了百度搜索服務在全國各地出現了近30分鐘的故障。隨後,百度技術部門的員工們快速反應,將問題解決並恢復百度服務。9月12日晚上11時37分,百度空間發表了針對不明***事件的聲明。“今天下午,百度遭受有史以來最大規模的不明身份******,導致百度搜索服務在全國各地出現了近30分鐘的故障。” 事件2:新網DNS服務器遭到*** 2006年09月22日,新網對外做出證實DNS服務器遭到大規模******,從21日下午4點多開始持續到凌晨12點。儘管目前服務已經恢復正常,但是技術人員正在追蹤***來源,並分析***技術手段。新網是國內最大域名服務商之一,***持續8小時的***,導致在新網註冊30%的網站無法正常訪問。其中包括天空軟件、艾瑞視點、中國網庫等知名網站。 事件3:暴風影音事件 2009年5月18日晚上22點左右,DNSPod主站及多個DNS服務器遭受超過10G流量的惡意***。耗盡了整個機房約三分之一的帶寬資源,爲了不影響機房其他用戶,最終導致DNS服務器被迫離線。該事件關聯導致了使用DNSPod進行解析的暴風影音程序頻繁的發生域名重新申請,產生請求風暴,大量積累的不斷訪問申請導致各地電信網絡負擔成倍增加,網絡出現堵塞。於2009年5月19日晚21時左右開始,江蘇、安徽、廣西、海南、甘肅、浙江六省陸續出現大規模網絡故障,很多互聯網用戶出現訪問互聯網速度變慢或者無法訪問網站等情況。在零點以前,部分地區運營商將暴風影音服務器IP加入DNS緩存或者禁止其域名解析,網絡情況陸續開始恢復。 總之,DNS劫持並不是什麼新鮮事物,也並非無法預防,百度被黑事件的發生再次揭示了全球DNS體系的脆弱性,並說明互聯網廠商如果僅有針對自身信息系統的安全預案,就不足以快速應對全面而複雜的威脅。因此,互聯網公司應準備兩個以上的域名,一旦***進行DNS***,用戶還可以訪問另一個域名。第二,互聯網應該對應急預案進行進一步修正,強化對域名服務商的協調流程。另外,域名註冊商和代理機構近期可能成爲集中***目標,需要加以防範。最後,國內有關機構之間應該快速建立與境外有關機構的協調和溝通,協助國內企業實現對此事件的快速及時的處理。
