在最近一連串由于關(guān)閉文件共享網(wǎng)站Megaupload而引發(fā)的報(bào)復(fù)性攻擊之后，Anonymous的拒絕服務(wù)“大炮”已經(jīng)大大減少了后期發(fā)射炮彈的數(shù)量。

雖然Anonymous組織的成員打算在2月28日攻破國(guó)際刑警組織的網(wǎng)站(主要是通過使用網(wǎng)絡(luò)版的“低軌道離子炮”拒絕服務(wù)工具)，并且已經(jīng)破壞了一些脆弱的網(wǎng)站(包括最近大多數(shù)隸屬于Panda Security的網(wǎng)站)，要攻擊更大目標(biāo)的威脅并未能實(shí)現(xiàn)。有人認(rèn)為該組織最大膽的計(jì)劃——試圖令互聯(lián)網(wǎng)整個(gè)的域名系統(tǒng)(DNS)癱瘓——現(xiàn)在被該組織成員稱為“巨人”。

但這并不意味著更有針對(duì)性的基于DNS攻擊的拒絕服務(wù)攻擊的威脅消失了。由于對(duì)當(dāng)前的拒絕服務(wù)工具頗為失望，Anonymous的成員正在開發(fā)下一代的攻擊工具，出了其他選項(xiàng)之外，它將把DNS本身當(dāng)成一種武器。

#p# 放大器

一種擴(kuò)大和隱蔽性的技術(shù)，叫作DNS放大，它是Anonymous的主要手段。DNS放大劫持互聯(lián)網(wǎng)全球地址簿的一個(gè)組成部門，把一個(gè)從攻擊機(jī)發(fā)送的相對(duì)較小的請(qǐng)求轉(zhuǎn)變成大量數(shù)據(jù)發(fā)送到目標(biāo)機(jī)器上，可能造成每秒幾十或幾百G的網(wǎng)絡(luò)擁堵，且不會(huì)暴露攻擊源頭。它之所能夠如此，全是因?yàn)槭褂靡环N在至少2002年就已被得知的脆弱的DNS服務(wù)造成的。

DNS系統(tǒng)是有層次組織起來的。在層次結(jié)構(gòu)的頂部是“根”域名服務(wù)器。這些服務(wù)器包含了可以找到下一層次域名服務(wù)器的所有信息，如“.com”，“.org”和“.uk”之類的。按順序，這些域名服務(wù)器包括了下一層的信息，因此“.com”域名服務(wù)器提供了可以找到“arstechnica”域名服務(wù)器的信息。之后“arstechnica”域名服務(wù)器就可以提供實(shí)際的從一個(gè)描述性的名字到一個(gè)以數(shù)字表示的IP地址的映射。

做一次DNS查詢需要訪問所有這些不同的層次。有兩種DNS解析的方式(一種軟件查找DNS條目，它可以是一臺(tái)客戶機(jī)上的獨(dú)立存在，也可以成為DNS服務(wù)器的一部分)可行：迭代模式和遞歸模式。在迭代模式下，解析器首先在根域名服務(wù)器下查詢頂級(jí)域名服務(wù)器，然后在頂級(jí)域名服務(wù)器下查詢二級(jí)域名服務(wù)器，等等。解析器直接與不同的域名服務(wù)器聯(lián)系，一個(gè)接一個(gè)，直到它要么找到了它需要的應(yīng)答，要么因?yàn)閼?yīng)答不存在而放棄。

在遞歸模式中，解析器的工作是非常簡(jiǎn)單的：它詢問一個(gè)域名解析服務(wù)器的全稱，然后把它交給服務(wù)器，代表它來執(zhí)行所有必要的要求(無論是遞歸或迭代)。

所有牽涉其中的服務(wù)器都有廣泛緩存;許多請(qǐng)求都由存儲(chǔ)在緩存中的信息受理，而不必每次在一個(gè)機(jī)器想知道比如“google.com”時(shí)都要查詢其它服務(wù)器。

通常情況下，DNS解析器內(nèi)建于客戶操作系統(tǒng)中，讓域名服務(wù)器(通常由互聯(lián)網(wǎng)服務(wù)提供商提供)代表它們來進(jìn)行遞歸查詢。在這些服務(wù)器完成查詢之后，再來滿足通常地迭代請(qǐng)求。

這里就是問題所在。對(duì)于一個(gè)DNS查詢的回應(yīng)可以大大超過查詢本身。在最好(或最壞)情況下，只有十幾個(gè)字節(jié)的查詢可以請(qǐng)求一個(gè)域名內(nèi)的每個(gè)名字，并收到成百上千字節(jié)的回應(yīng)。發(fā)送到DNS服務(wù)器每個(gè)請(qǐng)求都有一個(gè)源地址——一個(gè)回應(yīng)要發(fā)送到這的IP地址——但是這些源地址可以被偽造。那樣的話，從一個(gè)IP地址發(fā)來的請(qǐng)求卻被DNS服務(wù)器當(dāng)成是由另一個(gè)不同地址發(fā)送來的。

利用這兩種方式——小的請(qǐng)求卻返回大量數(shù)據(jù)的遞歸查詢，和偽造源地址——攻擊將得以實(shí)現(xiàn)。攻擊者首先找到一個(gè)被配置成遞歸查詢的服務(wù)器，然后他向服務(wù)器發(fā)送大量請(qǐng)求，偽造源地址，另服務(wù)器認(rèn)為受害目標(biāo)計(jì)算機(jī)正在發(fā)送請(qǐng)求。這些請(qǐng)求中的每一個(gè)都會(huì)被選中，因此它將產(chǎn)生大量回應(yīng)，遠(yuǎn)遠(yuǎn)大于查詢自身。之后，服務(wù)器將把這些大量回應(yīng)發(fā)送給受害計(jì)算機(jī)，使之被大量數(shù)據(jù)癱瘓。請(qǐng)求和回應(yīng)之間的大小差距是這些攻擊被稱為“放大”攻擊的原因。

雖然共識(shí)是公開訪問的DNS服務(wù)器應(yīng)該關(guān)閉遞歸查詢，這是為了避免類似問題，但現(xiàn)實(shí)是，不是所有服務(wù)器都這樣做。有了足夠的使用遞歸的服務(wù)器，大量的數(shù)據(jù)擁堵就會(huì)被這些相對(duì)輕微數(shù)量的查詢制造出來。

#p#  攻擊者的好處

一份由貝勒大學(xué)的Randal Vaughan和以色列安全顧問Gadi Evron于2006年DefCon安全大會(huì)上提交的論文(PDF)列舉了2005年末和2006年初一系列的DNS放大攻擊——包括一起對(duì)互聯(lián)網(wǎng)服務(wù)提供商Sharktech，收到“高達(dá)10Gbps并且使用了140,000個(gè)有漏洞的域名服務(wù)器”的海量攻擊。根據(jù)目標(biāo)服務(wù)器的數(shù)量和網(wǎng)絡(luò)容量， 假設(shè)Anonymous的攻擊可以數(shù)倍于那個(gè)數(shù)量是合理的。

正如Vaughan和Evron所寫，“一個(gè)包含60字節(jié)請(qǐng)求的DNS查詢可以得到超過4000字節(jié)的應(yīng)答，回應(yīng)數(shù)據(jù)包被放大了60倍。”

在一個(gè)被SecureWorks的Don Jackson描述的攻擊變種中，查詢簡(jiǎn)單地向服務(wù)器請(qǐng)求“root hint”：域名服務(wù)器中“.”域名的地址，互聯(lián)網(wǎng)根DNS服務(wù)器的源頭。因?yàn)橛袛?shù)量眾多的根域名服務(wù)器，還因?yàn)閷?shí)施了DNS-SEC為根域名服務(wù)器加入驗(yàn)證數(shù)據(jù)，每次請(qǐng)求返回的數(shù)據(jù)比查詢包大出約20倍。

由于通過偽造報(bào)頭采用UDP攻擊隱藏源頭是可能的，還因?yàn)樗诠舳诵枰鄬?duì)較少的帶寬，因此DNS放大攻擊對(duì)像Anonymous這樣的組織來說有明顯的好處。雖然攻擊者們不能使用Tor anonymizing網(wǎng)絡(luò)(Tor不會(huì)造成UDP擁堵)，他們?nèi)阅苁褂酶鞣NVPN來為安全造成隱患。

除了一次DNS放大攻擊可以產(chǎn)生的大量數(shù)據(jù)外，攻擊者還能從技術(shù)上獲得其他好處。DNS放大攻擊依賴于UDP，一種“無連接的”協(xié)議，數(shù)據(jù)包通過它發(fā)送到目的地不需要進(jìn)行“握手”甚至是任何保險(xiǎn)。因?yàn)闆]有所謂的協(xié)調(diào)(也由于DNS數(shù)據(jù)通常不是由應(yīng)用程序防火墻或其他系統(tǒng)過濾的)，這不是一種很容易預(yù)防的攻擊。

#p#  有什么能做的嗎?

重新使用Smurf

在某些方面，DNS放大攻擊類似于“smurf”拒絕服務(wù)攻擊，在上世紀(jì)90年代更常見。“Smurf”攻擊用偽造地址的封包——帶有互聯(lián)網(wǎng)控制報(bào)文協(xié)議(ICMP)廣播ping請(qǐng)求。但是“smurf”攻擊可以通過設(shè)置路由器和電腦系統(tǒng)而停止。只要把它們?cè)O(shè)置成不應(yīng)答廣播或ping請(qǐng)求即可，并且不要這些發(fā)送給其他系統(tǒng)。

但是DNS放大攻擊更狡猾。在與Ars的電子郵件采訪時(shí)，Vaughan說，偽造的報(bào)頭在可預(yù)見的未來仍是一個(gè)問題。互聯(lián)網(wǎng)工程任務(wù)組提出一個(gè)方法，用來“入口過濾”數(shù)據(jù)包，被稱為BCP 38，它將阻止像DNS放大攻擊這樣的偽造流量。但這一提議自2000年首次提出以來一直沒有進(jìn)展。

“BCP 38在未來十年不會(huì)實(shí)施”，Vaughan說，“除非其他壓力導(dǎo)致緊急情況采取這項(xiàng)措施。”

對(duì)付DNS放大的最佳措施是需要在DNS服務(wù)器端著手——但那通常在目標(biāo)控制之外。DNS服務(wù)器可以被設(shè)置成不回應(yīng)“.”查詢或者作出簡(jiǎn)短回應(yīng)，兩者都能減少或消除放大問題。DNS服務(wù)器的管理員也可以嘗試限制授權(quán)用戶的DNS請(qǐng)求，或者限制他們通過UDP接收請(qǐng)求的數(shù)量。但在性能上有取舍，而且做這些事情是域名服務(wù)器管理員工作之外的事。

操作全球巨人

考慮到最近由在巴基斯坦自稱為Anonymous成員的一人發(fā)布的一個(gè)文檔之后，DNS放大攻擊的浮現(xiàn)。文檔中揚(yáng)言“Operation Global Blackout”，一項(xiàng)對(duì)互聯(lián)網(wǎng)根DNS服務(wù)器發(fā)起的攻擊。攻擊的計(jì)劃是對(duì)一個(gè)預(yù)先備好的清單上的遞歸DNS服務(wù)器使用大量DNS請(qǐng)求，用“偽造的”IP地址使之看上去好像它們是由根服務(wù)器發(fā)出的;這次攻擊被描述為針對(duì)整個(gè)DNS體系，讓整個(gè)網(wǎng)絡(luò)徹底癱瘓。

這其中的原因之一是“任播法”——一種路由修改方法，允許同一DNS服務(wù)器上的多個(gè)版本表面上駐留在相同的IP地址上，使流量路由到最近的系統(tǒng)。由于攻擊者只關(guān)注每個(gè)根服務(wù)器的IP地址，它們將被路由到由初始機(jī)器開始跳轉(zhuǎn)最少的服務(wù)器上。更重要的是，根域名服

務(wù)器的可用帶寬是巨大的，減少任何對(duì)根服務(wù)器DoS攻擊的可能性將嚴(yán)重影響他們的行動(dòng)。即使那樣，根服務(wù)器也必須在受到ISP的DNS服務(wù)器停運(yùn)影響前脫機(jī)幾天。

在攻擊文檔發(fā)出后不久，Anonymous的成員否認(rèn)這是一個(gè)出于善意的行動(dòng)。有人稱其為“巨人”，說公布的實(shí)施攻擊的工具不是真的，或者說它的目的為收集使用者身份信息的(就像去年黑客TheJester制作的臭名昭著的Anonymous的DHN攻擊工具一樣)。在二月底，一批

Anonymous IRC管理員進(jìn)入#opglobalblackout聊天室并把它關(guān)閉了，重新定向到一個(gè)叫#opglobalnig---out的聊天室。

正在籌備中

不過，這并不意味著Anonymous對(duì)DNS放大攻擊不感興趣。雖然該組織正在推動(dòng)一個(gè)30天的抵制版權(quán)內(nèi)容的行動(dòng)，作為部分成員所稱的黑色三月行動(dòng)的一部分，但仍有沉重打擊內(nèi)容提供商的意愿。但推動(dòng)這種類型的攻擊需要的復(fù)雜程度超出了一般的Anonymous的“積極分子”的能力，它們一般就是依靠可下載的一些相對(duì)簡(jiǎn)單的工具用于攻擊。

這些攻擊者是有用的，因?yàn)锳nonymous需要大量的參與者。讓這些缺乏經(jīng)驗(yàn)的人來安裝虛擬機(jī)軟件和如Backtrack的滲透工具Linux需要一定的技術(shù)支持，即使是最有耐心的專家志愿者也不能提供。Windows自己的網(wǎng)絡(luò)驅(qū)動(dòng)不允許偽造要發(fā)送的數(shù)據(jù)包，所以做任何像是DNS放大這種的偽造報(bào)頭的攻擊都需要一個(gè)特制的操縱網(wǎng)絡(luò)流量的驅(qū)動(dòng)(如WinPcap數(shù)據(jù)包捕獲庫)。而且，軟件通常用于這類攻擊，比如Hping封包分析工具，往往是面向命令行操作的。

考慮到Anonymous目前大多數(shù)用戶的DDoS工具經(jīng)常對(duì)他們自己拒絕服務(wù)甚于他們的目標(biāo)。“人們似乎無法理解任何事情”，在一次IRC對(duì)話時(shí)，一個(gè)Anon對(duì)Ars談到，關(guān)于組織成員試圖在TOR網(wǎng)絡(luò)使用高軌道離子炮而之后又抱怨它如何之慢。

一些Anonymous成員正打算用一種新的工具，那“非常好使(由于我們一些使用者的情況)”，一個(gè)成員告訴Ars。這個(gè)想法是制作一些像LOIC工具的東西——但沒有LOIC的缺陷。新的工具(如果成功的話)將結(jié)合WinPcap庫和“hive mind”遠(yuǎn)程控制(一個(gè)通過給客戶端

傳送配置信息和協(xié)調(diào)攻擊的用于Anonymous成員的系統(tǒng))，帶有一套攻擊，包括DNS放大，使用偽造地址的IP洪水攻擊和一種像是用于Slowloris的那種“慢發(fā)送”攻擊。

現(xiàn)在，這個(gè)工具仍然只是一個(gè)概念。截至2月中旬，Anonymous成員才開始真正為它編寫的代碼。而且代碼現(xiàn)在寫沒寫好還不好說，因?yàn)樵擁?xiàng)目的一個(gè)開發(fā)者是黑客Avunit，原LulzSec成員，他最近告訴Ars他要離開Anonymous。同時(shí)，Anonymous更復(fù)雜的攻擊可能被局限于更精明的成員所能處理的問題上，而大家都放棄了方便執(zhí)行的HOIC攻擊。