压在透明的玻璃上c-国产精品国产一级A片精品免费-国产精品视频网-成人黄网站18秘 免费看|www.tcsft.com

概述

2023年7月21日，Panabit發(fā)布了一篇名為《安全通告：眾多自建DNS服務(wù)器正在陸續(xù)遭受DDoS攻擊》的文章，文章中提到陸續(xù)有大量園區(qū)網(wǎng)自建DNS服務(wù)器遭受DDoS攻擊， 并且攻擊域名相對集中，主要有五個域名fow757.com、lzn376.com、wym317.com、hongmao520.com、cqxqjx.com；并且攻擊者偽造了DNS請求的源IP地址。奇安信威脅情報中心也基于自身的視野和數(shù)據(jù)對這次事件做了一些分析，在這里提出來一些我們看到的和我們的分析結(jié)論，希望能為還原此次事件的真相添磚加瓦。

分析

基于奇安信的PDNS數(shù)據(jù)，我們對五個域名進行了分析，其中hongmao520.com、cqxqjx.com的DNS請求情況與fow757.com、lzn376.com、wym317.com略有不同，cqxqjx.com和hongmao520.com這兩個域名在2023年5月份之前每日有零星的請求, 從6月份開始有上漲，每日的請求量大概在千級，并且分布較為均勻，一直到7月20日，請求量突然暴漲至800多萬；

而fow757.com、lzn376.com、wym317.com這三個域名在7月之前基本請求量在個位數(shù)甚至沒有，7月1日-10日請求量為百級，7.13-7.14突增到千萬級，7.15-7.17又重新降到百級，然后從7.18開始暴漲，請求量又來到千萬級別。這三個域名的請求曲線圖基本一致，如下：

并且這三個域名的字符構(gòu)成也比較相似，都是[a-z]{3}[0-9]{3}.com這樣的格式；而hongmao520.com和cqxqjx.com的構(gòu)成顯然不太一樣， 其中cqxqjx.com甚至是備案域名，但是從請求曲線來看，有一定的相似性，結(jié)合Panabit文章中所提到的，我們認為這五個相關(guān)域名應(yīng)肯定有某種聯(lián)系。

首先我們對單個域名進行分析，以lzn376.com為例，我們統(tǒng)計了發(fā)起了對lzn376.com解析的DNS請求在2023-07-20這天的源IP，發(fā)現(xiàn)其中有大量公網(wǎng)IP，并且還有大量的同網(wǎng)段ip，類似：

并且這些同網(wǎng)段的IP發(fā)起的請求次數(shù)基本一致，分布得很平均；同時，也有一些IP請求次數(shù)特別多，可達到上萬甚至數(shù)十萬次，這類IP往往是出口IP，比如某些企業(yè)的出口IP;

hongmao520.com和cqxqjx.com也有類似的情況，如下圖：

從上面的請求情況來看，我們認為攻擊者很可能對Public DNS并沒有精準構(gòu)造具體網(wǎng)段的IP，而是類似爆破的方式將大量的無論公網(wǎng)還是內(nèi)網(wǎng)的源IP都構(gòu)造了一遍。只有這樣，才會出現(xiàn)公網(wǎng)同網(wǎng)段IP的請求量較為平均、某些出口IP請求量巨大的結(jié)果。

與此同時，我們與Panabit的研究人員取得了聯(lián)系，他們提到“在園區(qū)網(wǎng)自建的私有DNS里，偽造的攻擊源地址都位于被攻擊IP的同一個B段，這點是非常確定的，基本在所有位置都有一致的觀察結(jié)果，所以才引發(fā)了部分局點大量的ARP請求掛死。這和奇安信觀察的不一致，我們推測攻擊者對Public DNS和私有DNS采取了不相同的攻擊手段。每個私有DNS的攻擊數(shù)據(jù)，源地址都是針對被攻擊IP來變換的，是這次攻擊一個很大的特點。”

結(jié)合我們的觀察結(jié)果與Panabit的觀察結(jié)果，我們認為Panabit的推測很可能是正確的，攻擊者對Public DNS和私有DNS采取了不同的攻擊手法。

那么攻擊者為什么要這么做？請求的域名到底與攻擊者有什么關(guān)系？

fow757.com、lzn376.com、wym317.com這三個域名解析有一個共同點：大量解析到了國外類似TWITTER、FACEBOOK的ip上，出現(xiàn)這種情況通常是因為域名被封禁，通常封禁的方式是重定向到無效IP，所以這些解析結(jié)果不一定是域名本身的解析IP。

進一步分析我們發(fā)現(xiàn)這三個域名都有ssl證書，例如lzn376.com的證書sha1為f75ffba0f272c4fca36455cd3d2bafcb2223b014， 這個證書曾經(jīng)在2023-04-09~ 2023-04-11期間出現(xiàn)在IP 20.187.191.29、20.187.248.155、20.187.166.163、20.239.11.193上。這幾個IP 都是微軟Azure香港節(jié)點， 并且上面綁定了大量的域名，其中許多域名的都是與前面三個域名一致的格式：[a-z]{3}[0-9]{3}.com ，如下圖；從站點標(biāo)題更可以看出，這類域名應(yīng)該都是手機端的色情網(wǎng)站。

點開一個訪問，發(fā)現(xiàn)微信已經(jīng)將其標(biāo)記為色情網(wǎng)站，所以這些域名應(yīng)該都是色情網(wǎng)站、色情APP相關(guān)的站點。另一方面，訪問 cqxqjx.com也有類似的色情網(wǎng)站提示; 如果開啟科學(xué)上網(wǎng)并且從手機端訪問www.cqxqjx.com, 則會跳轉(zhuǎn)到www.honghaoyj.com/，看起來是一個盜版小說網(wǎng)站。雖然cqxqjx.com是一個有備案的域名，但是從目前的情況來看，很可能已經(jīng)被黑客攻陷并用來做灰黑產(chǎn)相關(guān)的內(nèi)容投放。結(jié)合前面請求曲線的分析，我們懷疑hongmao520.com、cqxqjx.com、fow757.com、lzn376.com、wym317.com可能都是色情、盜版小說等灰黑產(chǎn)相關(guān)的站點，并且可能是同一個團伙所持有。

至于攻擊者與這幾個域名的關(guān)系，目前沒有太多的證據(jù)，我們猜測可能攻擊者本身也是做色情網(wǎng)站、色情APP或者盜版小說等等的灰黑產(chǎn)團伙，他們試圖用這樣的方式ddos競爭對手的站點或者將競爭對手的站點暴露出來。

總結(jié)

本次事件的攻擊者通過向公網(wǎng)上的DNS服務(wù)器大量發(fā)送了偽造的DNS請求， 對于Public DNS， 其源IP地址可能是批量遍歷生成的；對自建的DNS，其偽造成DNS權(quán)威服務(wù)器同網(wǎng)段的IP后，發(fā)起大量相關(guān)域名解析查詢，請求涉及的域名主要為hongmao520.com、cqxqjx.com、fow757.com、lzn376.com、wym317.com；由于源IP地址是偽造的，DNS服務(wù)器需要又會發(fā)出大量ARP請求等待響應(yīng)，從而消耗大量的網(wǎng)絡(luò)資源， 造成DNS服務(wù)器癱瘓。

hongmao520.com、cqxqjx.com、fow757.com、lzn376.com、wym317.com這五個域名是色情、盜版小說等灰黑產(chǎn)相關(guān)的站點， 目前尚無法確定攻擊者與這些域名的關(guān)系，我們推測有可能攻擊者本身與這些色情域名的擁有者是競爭對手的關(guān)系，試圖用這樣的方式ddos競爭對手的站點或者將競爭對手的站點暴露出來。

來源：奇安信威脅情報中心