多省份DNS系統遭遇DDoS攻擊實錄
責編:admin |2014-12-12 17:19:42國家首屆網絡信息安全宣傳周才剛剛過去, 12月10日就爆發了國內今年規模最大的針對運營商DNS網絡的惡性DDoS攻擊事件。攻擊正在發生,后續可能有很多變化,先來分析一下,截至目前發生的事情。
攻擊背景:
從12月10日凌晨開始,現網監控到攻擊流量突增的情況,到上午11點開始,攻擊開始活躍,多個省份不斷出現網頁訪問緩慢,甚至無法打開等故障現象。下圖是某省運營商的流量監控截圖,從圖中可看出正常訪問流量都在百兆以內,高峰時竟然出現了高達6G的攻擊混合流量,對DNS網絡的沖擊可想而知。
經過分析樣本發現,12月10日的攻擊主要是針對多個域名(包括arkhamnetwork.org、arkhamnetwork.com、getfastinstagramfollowers.net)的隨機查詢攻擊;11日凌晨攻擊出現變種,出現針對其他域名的攻擊,攻擊源主要來自各省內。攻擊者不僅在短暫的時間內發起了峰值大于6G bps的查詢請求(全國范圍內大于100G的攻擊),而且連續的變換二級域名,造成各省的DNS遞歸服務器延遲增大,核心解析業務受到嚴重影響。
,這次攻擊發起的方式有兩種可能:一是攻擊者控制了大量被攻擊省內的肉雞;二是利用攻擊工具模擬被攻擊省份的內網IP。向DNS的遞歸節點發起隨機域名Flood,由于二級域名隨機,且在遞歸服務器的緩存中并不存在,遞歸服務器需要不斷的迭代去查詢最終的結果,從而能進一步加劇了遞歸服務器的負載,造成服務器性能耗盡。
攻擊者調用大量肉雞發起針對多個域名的隨機查詢攻擊,由于本地DNS服務器上沒有相應的記錄,需要向外遞歸查詢,極大的消耗了服務器性能。
本次攻擊仍在繼續,攻擊的動機不明確,所以暫時不能從根源處徹底解決問題。網絡的運維人員只能見招拆招,靈活應對。
在防護工具的選擇上,建議用具備專業DDoS防護能力的專業設備。因為基礎的網絡安全設備(FW、IPS等)不具備精準識別此類攻擊的能力,而且他們在攻擊過程中,本身就是脆弱的,極易成為第一塊倒下的多米諾骨牌;其次設備的處理性能要高,本次攻擊從目前監測到的數據看,峰值流量已經接近10G,要求防護設備具備高性能的特點。
在具體部署中,建議旁路部署,借助靈活的路由策略可實現清洗能力的共享。清洗能力可輕松覆蓋全省,不留死角。
最后,在應急響應支持團隊的支持中,要聯系應急支持服務經驗豐富的團隊,以免造成大面積斷網。
綠盟科技攻防團隊在監控到攻擊發生后,立即啟動應急處理流程,截至目前,協助處理的各省的DDoS攻擊現象均已得到有效控制。