互联网飞速发展,这块蛋糕越做越大,都想过来分杯羹,有的人禁不住诱惑铤而走险干起了非法的勾当。依靠病毒、木马等非法程序,窃取信息控制资源达到获利的目的。随着时代的需要,近年来作案技术和手段都在不断更新,网民和运营商都叫苦不迭。先前还流行的DDOS已经慢慢的开始落伍。新陈代谢,新的正常情况下要比旧的更加完善。翻新分散式阻断服务(DDOS)攻击的手法走进了人们的视野,开始用形同互联网黄页的域名系统服务器来发动攻击,扰乱在线商务。
调查发现,系统承受的攻击规模甚于以往,而且来源不是被绑架的“殭尸”电脑,而是出自于域名系统(DNS)服务器。专家介绍:DNS已成为DDOS重要的一环。门槛已降低了。人们现在可凭更少的资源,发动可能极具破坏力的攻击。
一旦成为DDOS攻击的目标,目标系统不论是网页服务器、域名服务器或电子邮件服务器,都会被网络上四面八方的系统所传来的巨量信息给淹没。黑客的用意是借大量垃圾信息妨碍系统正常的信息处理,借此切断攻击目标对外的连线。如今,DDOS攻击常被歹徒拿来当作勒索网络公司的武器。
不同于被绑架的僵尸电脑,DNS服务器是合法的网络良民,其作用是把文字型域名名称(如:http://dns.qy.com.cn )转换成相对应的数字型互联网协定(IP)位址,以引导使用者上他们想到的网站。
现在,黑客常用僵尸电脑连成的网络(botnet),把大量的查询要求传至开放的DNS服务器。这些查询信息会假造得像是被巨量信息攻击的目标所传出的,因此DNS服务器会把回应信息传到那个网址。
黑客用DNS服务器来发动攻击,还可隐匿自己的系统,让受害者难以追查攻击的原始来源,更可让攻击效果加倍。单一的DNS查询,可启动比原始查询大几十倍的回应。
DNS发明人Paul Mockapetris曾说过,若你企图让垃圾邮件塞爆某人的信箱,基本的方法就是寄很多信到该地址,但你必须费很多时间写信,而且发信来源追查得出来。倘若是寄出杂志里常见的那种广告回函卡,勾选各种想索取的信息,然后把回信地址填上目标信箱,就会让那个信箱爆掉,同时消除与你有关的链接。用DNS服务器发动DDOS攻击,就是运用这种原理。
“递回域名服务” (recursive name service)服务器,是开放给网络上任何人查询的DNS服务器,如果拦阻一台DNS服务器对外的连线,可能造成合法使用者无法传电子邮件或浏览某网站。所以使用这些开放服务器的人士,必须谨慎,一不小心就成为了帮凶。要保护自家系统,可解除DNS服务器中允许人人查询网址的递回(recursive)功能,转而调整服务器设定,只对内部人士开放递回功能。
攻击方式的更新来自思维的更新,我们的思维也要跟得上节奏,否则只有挨打的份。