雖然近日針對歐洲反垃圾郵件組織Spamhaus發(fā)動的大規(guī)模DDoS攻擊其危害程度不如早期傳聞聲稱的那么大，但是此事件值得關(guān)注的原因在于，它們暴露了互聯(lián)網(wǎng)眾多根本薄弱環(huán)節(jié)當(dāng)中的幾個。其中一個就是開放式DNS解析器，這種解析器為一種名為DNS放大（DNS amplification）的攻擊手法提供了可趁之機(jī)。而這種攻擊手法具體指，目標(biāo)服務(wù)器每向外發(fā)送1個字節(jié)，攻擊者就向這些服務(wù)器發(fā)送多達(dá)100個字節(jié)的網(wǎng)絡(luò)擁塞流量。

既有技術(shù)專長又有影響力的有關(guān)組織會不會開始以一種整體性、實(shí)質(zhì)性的方式解決這些不足，從而提高互聯(lián)網(wǎng)的安全性，這仍需拭目以待。遺憾的是，恐怕需要發(fā)生破壞性和危害性更大的安全事件才會促使有關(guān)組織積極行動起來。

卡巴斯基安全新聞網(wǎng)站Threat Post刊登了一篇精彩的報道（詳見http://threatpost.com/en_us/blogs/open-dns-resolvers-center-stage-massive-ddos-attacks-032813），深入淺出地介紹了開放式解析器、DNS放大攻擊及其在針對Spamhaus的DDoS攻擊中扮演的角色：

這方面息息相關(guān)的一個根本性、普遍性的問題與開放式DNS解析器被用來針對瑞士這家反垃圾郵件組織發(fā)動DDoS攻擊有關(guān)。開放式解析器在送回DNS答復(fù)之前并不對數(shù)據(jù)包發(fā)送者的IP地址進(jìn)行驗(yàn)證。因此，攻擊者騙過受害者IP地址后，就能夠向受害者發(fā)送大量的攻擊流量，攻擊流量與請求流量之比達(dá)到了100：1。諸如此類的DNS放大攻擊最近被黑客行動主義者、敲詐勒索者以及上了黑名單的網(wǎng)站主機(jī)所使用，而且大獲成功。

開放式DNS解析器項(xiàng)目組織的Jared Mauch告訴Threat Post，參與Spamhaus攻擊的僵尸網(wǎng)絡(luò)使用了30000多個獨(dú)特的DNS解析器，"如果實(shí)施一起更大范圍的攻擊，這些解析器的共同威力可能會被不法分子用來讓這個全球網(wǎng)絡(luò)的大部分系統(tǒng)陷入癱瘓。"

據(jù)Threat Post聲稱，解決辦法就是："開放式DNS解析器項(xiàng)目組織及其他組織（如DNS服務(wù)提供商Afilias）建議實(shí)施源地址驗(yàn)證機(jī)制。現(xiàn)已存在的IETF RFC, BCP-38（詳見http://tools.ietf.org/html/bcp38）具體明確了如何使用源地址驗(yàn)證機(jī)制，以及如何建立這種架構(gòu)，以挫敗IP源地址欺騙手法。"

另外，系統(tǒng)管理員Trevor Pott在The Register網(wǎng)站上發(fā)表了一篇內(nèi)容翔實(shí)的博文（詳見http://www.theregister.co.uk/2013/03/28/i_accidentally_the_internet/），他坦誠自己無意中淪為了DDoS攻擊的幫兇，起因是"他在搭建位于其網(wǎng)絡(luò)邊緣上的一臺DNS服務(wù)器時，犯下了一個簡單的配置錯誤。"他稱之為充當(dāng)路由器的"邊緣洗滌器"（edge scrubber），它向數(shù)據(jù)中心里面的服務(wù)器和路由器分發(fā)IP地址。它還代表網(wǎng)絡(luò)上的所有其他設(shè)備，"起到了各種"枯燥粗活"的功能"。它是數(shù)據(jù)中心/本地網(wǎng)絡(luò)時間服務(wù)器、外部DNS服務(wù)器、邊緣服務(wù)器和帶寬限制器。

他表示，問題在于，他忘了禁用服務(wù)器上的遞歸查詢，這使得他那臺服務(wù)器成了被DNS放大攻擊利用的一個工具。他解釋："DNS服務(wù)器能夠以兩種基本方式當(dāng)中的一種方式來配置。在一種可能的配置下，DNS服務(wù)器只為它負(fù)責(zé)服務(wù)的對象提供域名服務(wù)（命令式）。在另一種配置下，DNS服務(wù)器除了提供那些域名服務(wù)外，還在更廣泛的互聯(lián)網(wǎng)上尋找它原本無權(quán)管理的任何域（遞歸式）。正是遞歸式DNS服務(wù)器讓互聯(lián)網(wǎng)得以正常運(yùn)行。它們也是一種攻擊途徑。"

他詳細(xì)地解釋了如何修復(fù)他那臺服務(wù)器存在的配置問題。簡而言之，問題源自于這種假定：BIND（實(shí)現(xiàn)DNS協(xié)議的系統(tǒng)）在默認(rèn)情況下禁用遞歸；解決辦法需要"指令BIND只受理來自其數(shù)據(jù)中心里面的服務(wù)器的遞歸請求。"

原文地址：http://www.infoworld.com/t/security/fix-your-dns-servers-or-risk-aiding-ddos-attacks-215510