迄今為止，中國臺灣和菲律賓就漁船槍擊事件的談判還未平息，菲律賓方面態(tài)度依然強(qiáng)硬。不過，在兩地民間黑客戰(zhàn)爭中，菲律賓黑客已經(jīng)公開求饒：“請對準(zhǔn)菲政府，別再搞我們了”。此前，在這場黑客戰(zhàn)爭中，先是菲律賓黑客攻擊了中國臺灣“政府”網(wǎng)站，導(dǎo)致后者多個官方網(wǎng)站一度不能正常連網(wǎng)，接著，臺灣黑客也不甘示弱予以反擊，侵入了菲律賓政府的DNS服務(wù)器并要求菲律賓政府道歉，否則黑客不會停止類似攻擊。

臺菲黑客大戰(zhàn)技術(shù)揭秘

撇開其他不談，從安全技術(shù)的角度看，在這場臺菲黑客大戰(zhàn)中，雙方都用到了哪些攻擊手段？攻擊力度有多大呢？

曾著有《Web前端黑客技術(shù)揭秘》、現(xiàn)任知道創(chuàng)宇公司研究部總監(jiān)的鐘晨鳴告訴記者，對于這次臺菲黑客大戰(zhàn)用到的攻擊手段，安全界說法有很多。其中，菲律賓對臺灣用到最多的是DDoS攻擊，臺灣對菲律賓目標(biāo)網(wǎng)站的入侵屬于常見的DNS劫持。

DNS是DomainNameSystem的縮寫，域名系統(tǒng)以分布式數(shù)據(jù)庫的形式將域名和IP地址相互映射，DNS在網(wǎng)絡(luò)實(shí)現(xiàn)過程中擔(dān)當(dāng)著重要的角色。一旦DNS服務(wù)癱瘓，空間服務(wù)器將無法正確反饋網(wǎng)絡(luò)用戶的域名訪問請求。

DNSPod創(chuàng)始人、網(wǎng)絡(luò)安全專家吳洪聲認(rèn)為，這次黑客大戰(zhàn)跟之前“中美”黑客大戰(zhàn)的情況有點(diǎn)類似（51CTO編者注：“中美”黑客大戰(zhàn)發(fā)生在2001年，是由一起撞機(jī)事件引發(fā)的網(wǎng)絡(luò)戰(zhàn)爭，攻擊手法以你來我往地篡改對方網(wǎng)頁為主），不過，在這次臺菲黑客大戰(zhàn)使用的技術(shù)中，DDoS攻擊出現(xiàn)得非常多，在雙方的攻擊手段中都占有較大比重。另外，臺灣黑客已經(jīng)入侵到菲律賓的DNS服務(wù)器，由于一臺DNS服務(wù)器可以控制一大批網(wǎng)站，攻擊成本明顯降低，效果卻大大加強(qiáng)了。

菲律賓黑客為何討?zhàn)?？臺灣黑客攻陷菲律賓的DNS服務(wù)器后究竟能做什么？吳洪聲說，無論是什么類型的DNS服務(wù)器，如果被黑客完全控制都是極端危險的。有一種常見的詐騙方法是釣魚網(wǎng)站，即：使用與正常域名非常相似的詐騙用域名（比如用數(shù)字1替換字母i，看起來非常相似）做一個界面完全一樣的網(wǎng)站騙人。DNS服務(wù)器被攻陷以后，就可以使用完全正確的域名來進(jìn)行釣魚了。用戶訪問時輸入的是正確的網(wǎng)址，實(shí)際訪問的服務(wù)器卻有可能將你引向黑客自己搭建的惡意網(wǎng)站。這種情況很難用技術(shù)手段檢測出來，一旦發(fā)生，肯定會有巨大損失。

對于臺灣對菲律賓DNS攻擊的細(xì)節(jié)，《臺灣駭客已取得菲律賓DNS資料庫帳號與密碼》（http://netsecurity.51cto.com/art/201305/393408.htm）一文有詳細(xì)闡述，該文作者“豬哥靚”稱，臺灣黑客已經(jīng)控制了菲律賓所有g(shù)ov.ph網(wǎng)址的DNS。DNS負(fù)責(zé)將網(wǎng)址轉(zhuǎn)換成IP，取得了dns.gov.ph，就可以對菲律賓全部gov.ph的網(wǎng)站改IP，改成自己的服務(wù)器，由此將對方整個網(wǎng)站換掉。另外，取得DNS，還可以修改電子郵件服務(wù)器的IP，讓所有@***.gov.ph的電子郵件癱瘓。#p#

細(xì)數(shù)DNS攻擊：誰又被黑了

DNS系統(tǒng)是所有互聯(lián)網(wǎng)應(yīng)用的基礎(chǔ)，在網(wǎng)站運(yùn)維中至關(guān)重要，因此已經(jīng)成為黑客攻擊的重點(diǎn)目標(biāo)。針對DNS的攻擊大致有三類：第一類是DNS域名劫持，是通過某些手段取得域名解析控制權(quán)，修改該域名解析結(jié)果，導(dǎo)致對該域名的訪問由原IP地址轉(zhuǎn)入到修改后的指定IP，其結(jié)果就是對特定的網(wǎng)址不能訪問或訪問的是假網(wǎng)址；第二類是域名欺騙(緩存投毒)，其方式不止一種，但都是利用網(wǎng)民ISP端的DNS緩存服務(wù)器的漏洞進(jìn)行攻擊或控制，將錯誤的域名記錄存入緩存中，使所有使用該緩存服務(wù)器的用戶得到錯誤的DNS解析結(jié)果；第三類是針對DNS服務(wù)器的拒絕服務(wù)攻擊（DDoS攻擊），其中，一種是針對DNS服務(wù)器軟件本身，利用BIND軟件程序中的漏洞，導(dǎo)致DNS服務(wù)器崩潰或拒絕服務(wù)，另一種是利用DNS服務(wù)器作為“攻擊放大器”，去攻擊其他互聯(lián)網(wǎng)上的主機(jī)，導(dǎo)致被攻擊主機(jī)拒絕服務(wù)。

以往，曾經(jīng)給人們留下深刻印象的DNS安全事件有：新網(wǎng)被黑、百度被黑等。今天，針對DNS系統(tǒng)的種種攻擊事件仍在不斷發(fā)生：

今年3月，歐洲反垃圾郵件組織Spamhaus突然遭受到高達(dá)300Gbps的大流量DDoS攻擊。此次攻擊是典型的DNS反射/放大攻擊，這種攻擊通過使用多個客戶端肉機(jī)(bots僵尸肉機(jī))將查詢發(fā)送到多個開放DNS解析器中，從而使大量的攻擊流量從廣泛分布源中產(chǎn)生(在Spamhaus襲擊期間，使用了超過30K開放解析器)。

在國內(nèi)的最新案例是：5月12日，知名視頻網(wǎng)站土豆網(wǎng)被黑。土豆網(wǎng)官方微博發(fā)布消息稱，當(dāng)天晚間確實(shí)出現(xiàn)土豆網(wǎng)部分用戶無法正常瀏覽網(wǎng)頁的情況，經(jīng)核實(shí)，該情況是因新網(wǎng)（互聯(lián)）漏洞致使DNS遭受劫持造成。

DNSPod相關(guān)技術(shù)負(fù)責(zé)人近日透露，今年4月底，國內(nèi)某大型網(wǎng)游平臺突然遭到高達(dá)70Gbps的DNSFlood攻擊，經(jīng)過必要的防護(hù)升級，長達(dá)一天后，“洪水式”攻擊才被成功化解。

究竟哪一類網(wǎng)站最容易遭到DNS攻擊？吳洪聲告訴記者，從目前來看，在國內(nèi)，與游戲相關(guān)的網(wǎng)站，以及與減肥醫(yī)藥相關(guān)的行業(yè)網(wǎng)站比較容易遭到DNS攻擊，占到了攻擊總數(shù)量的70%以上。究其原因，是這些行業(yè)從業(yè)者較多，競爭激烈而無序，有些人便使用攻擊競爭對手的方式來贏得市場份額。#p#

黑客產(chǎn)業(yè)鏈讓DNS攻擊愈演愈烈

來自DNSPod的數(shù)據(jù)顯示，在DNS中，簡單的漏洞（如：域傳送漏洞）雖然時不時依然會出現(xiàn)，但出現(xiàn)的次數(shù)已經(jīng)越來越少了。不過，與此同時，DDoS和Flood攻擊所占比重越來越大，這也是最嚴(yán)重的兩類DNS攻擊。DNSPod的服務(wù)器組每天要抵御十幾次大大小小的這樣的攻擊。這兩種攻擊并不需要特別高深的系統(tǒng)入侵技術(shù)，攻擊者只要投入相應(yīng)的資金就可以達(dá)到攻擊對手的目的。而利用DNS污染進(jìn)行攻擊對技術(shù)要求比較高，通常用于針對大型公司的攻擊。

近些年，企業(yè)對各個方面安全系統(tǒng)越來越重視，DNS安全狀況是否有所提高？對此，鐘晨鳴表示，他并未看到DNS攻擊問題有緩和的趨勢。相反，網(wǎng)絡(luò)攻擊帶來的利益正被越來越多的人所看到，因此，DNS安全狀況有沒有變得更糟都很難說。

全球知名防DDoS攻擊廠商Arbor公司最近推出的2012年《全球基礎(chǔ)設(shè)施安全報(bào)告》顯示，調(diào)查對象中有超過1/4的人在調(diào)查期間遭到針對DNS基礎(chǔ)設(shè)施的DDoS攻擊，在上一年的調(diào)查中，只有12％的調(diào)查對象表示遭到此類攻擊。這份報(bào)告同時顯示，大多數(shù)互聯(lián)網(wǎng)的DNS基礎(chǔ)設(shè)施仍然開放和不受保護(hù)，缺乏專門的安全人員和無限制的遞歸服務(wù)器，這為攻擊者創(chuàng)造了一個理想的環(huán)境。

在國內(nèi)，也有數(shù)據(jù)表明，2012年，國內(nèi)存在高危漏洞的網(wǎng)站比例高達(dá)75.6%，網(wǎng)頁篡改、拖庫、流量攻擊成為網(wǎng)站面臨的嚴(yán)重威脅。

今天，高額的利潤催生了國內(nèi)的黑客產(chǎn)業(yè)鏈不斷擴(kuò)大，以利益為導(dǎo)向的黑客行動在游戲行業(yè)尤其普遍。據(jù)業(yè)內(nèi)人士介紹，地下黑客產(chǎn)業(yè)鏈極其龐大且分工明確，一些私服每月甚至?xí)ㄙM(fèi)200-300萬元去黑對手，類似問題也廣泛存在于國內(nèi)各大一線電商企業(yè)中。DNSPod技術(shù)負(fù)責(zé)人提到，“地下市價一度為1Gbps流量打1小時花費(fèi)2萬元，現(xiàn)在，1G流量的價格已經(jīng)降到200-300元/小時。”#p#

DNS系統(tǒng)攻防對抗賽

被設(shè)計(jì)成開放式協(xié)議的DNS已成為網(wǎng)絡(luò)攻擊的重點(diǎn)。攻的一方早已經(jīng)盯上了DNS，那么，防的一方是否也對DNS安全予以了同等的重視呢？

Arbor2012年《全球基礎(chǔ)設(shè)施安全報(bào)告》顯示，有高達(dá)33％的調(diào)查對象表示，他們并不知道自己是否經(jīng)歷過DNS攻擊，這表明，一些運(yùn)營商在DNS服務(wù)器流量的可見性上還存在嚴(yán)重的缺陷。

在針對DNS的各類攻擊中，特征比較明顯的DDoS和Flood攻擊相對來說比較容易被發(fā)現(xiàn)，針對這種攻擊，今天已經(jīng)有了相當(dāng)成熟的防御技術(shù)。吳洪聲說，類似攻擊發(fā)生時，算法程序可以在10秒左右學(xué)習(xí)到攻擊特征，只需要人工確認(rèn)一下就可以添加有針對性的防護(hù)，整個過程自動化程度非常高。不過，與這種攻擊不同，DNS污染或以其他服務(wù)器為跳板入侵DNS服務(wù)器等安全問題更值得關(guān)注，因?yàn)檫@些攻擊都是靜悄悄地發(fā)生，可能黑客攻擊結(jié)束的時候系統(tǒng)管理員還不知道，因而其危害也相對更大。

在鐘晨鳴看來，很多安全問題并不是漏洞導(dǎo)致，而是管理缺陷所造成。今年年初，國際上有個黑客公布，它去年對全球IP掃描后發(fā)現(xiàn)，有四、五十萬主機(jī)都用的是弱口令，這些主機(jī)類型多種多樣，利用它攻入系統(tǒng)后，又可以成為新的掃描節(jié)點(diǎn)；另外，一些應(yīng)用服務(wù)軟件版本仍然較低，攻擊者通過遠(yuǎn)程移除，可拿到相關(guān)權(quán)限。更值得一提的是，雖然有些漏洞已被公布，但并不是所有設(shè)備都由此進(jìn)行了相應(yīng)的修復(fù)。吳洪聲也認(rèn)為，對付DNS攻擊，除了對DDoS、Flood攻擊和DNS污染攻擊進(jìn)行防御外，更重要的是，要做好管理安全。鏈條總會在最薄弱的地方斷掉，如果相關(guān)的管理安全沒有做好，那前面兩個環(huán)節(jié)的工作也會徒勞無功。為應(yīng)對上述威脅，組織首先要做好系統(tǒng)本身的安全建設(shè)。鐘晨鳴認(rèn)為，對付DNS威脅，需要兩個方面來保證安全：一是Web層面入口環(huán)節(jié)，二是DNS服務(wù)器本身的安全。

Arbor全球報(bào)告顯示，如今，組織正使用各種安全措施和工具防止他們的DNS基礎(chǔ)設(shè)施遭受DDoS攻擊，其中，有超過53％的人表示他們已經(jīng)部署了智能DDoS防護(hù)系統(tǒng)IDMS，而超過2/3的人部署了網(wǎng)絡(luò)邊緣的接口iACL，更多組織采用了防火墻、IPS/IDS和其他措施。

對于普通中小網(wǎng)站而言，怎樣應(yīng)對DNS攻擊？吳洪聲建議，普通中小網(wǎng)站把關(guān)于DNS安全的任務(wù)交給一家安全可靠的專業(yè)服務(wù)商來做。由于針對DDoS或者Flood攻擊需要較高的軟硬件成本，而DNS系統(tǒng)的安全建設(shè)又需要特別高的人力成本，中小網(wǎng)站很難依靠自己就做好這樣的工作。與此同時，企業(yè)同時還應(yīng)該加強(qiáng)對于DNS安全的認(rèn)識和重視，不要讓DNS安全成為鏈條中最弱的一環(huán)，影響到業(yè)務(wù)甚至是企業(yè)的命運(yùn)。