前兩天訪問Google越南站的網(wǎng)民都收到了一個大大的驚喜：他們看到的不是Google的搜索界面，而是一個男人的自拍照，頁面上還留下一段文字：你已經被黑客組織Lizard Squad黑了。

科普：關于黑客組織Lizard Squad

Lizard Squad是2014年最活躍的黑客組織之一，他們曾在去年圣誕節(jié)成功“調戲”了IT巨頭微軟和索尼。當時這個黑客組織攻陷了PlayStation Network和Xbox在線服務，影響了全球數(shù)億用戶，并自詡為“DDoS攻擊之王”。

值得一提的是，該黑客組織還為他們的DDoS攻擊服務做了廣告，這個服務原來叫Lizard Stresser現(xiàn)在叫Shenron。明碼標價，商業(yè)味十足~

劫持Google

Lizard Squad此次并沒有直接攻擊Google服務器，而是對DNS進行了劫持，將Google越南的訪客重定向到他們的“黑頁”。

根據(jù)Google的DNS服務商OpenDNS所述，這名自稱Lizard Squad成員的黑客通過將Google的域名服務器(ns1.google.com, ns2.google.com)修改成CloudFlare的IP(173.245.59.108, 173.245.58.166)來重定向訪客。

與此同時，這個帶有自拍的黑頁被放在一臺位于荷蘭的DigitalOcean服務器上。

攻擊事件發(fā)生后，CloudFlare和越南互聯(lián)網(wǎng)絡信息中心(VNNIC)迅速作出反應，防止情況惡化。域名服務器記錄幾小時后有被恢復了。

OpenDNS的專家認為，Lizard Squad的狡猾之處在于，他們之所以選擇DigitalOcean是因為它提供了IPv6的IP地址，這能幫助他們迷惑網(wǎng)絡分析人員和傳統(tǒng)的檢測工具。

有問題的IP地址是2a03:b0c0:2:d0::23a:c001。

下面是這個地址的相關信息：

Prefix: 2a03:b0c0:2::/48

Prefix description: DigitalOcean

Country code: NL

Origin AS: 202018

Origin AS Name: DOAMS3 — DigitalOcean Amsterdam

RPKI status: No ROA found First seen: 2014-08-13 Last seen: 2015-02-23 Seen by #peers: 170 - See more

First seen: 2014-08-13 Last seen: 2015-02-23 Seen by #peers: 170 - See more

Last seen: 2015-02-23 Seen by #peers: 170 - See more

黑客使用的是位于荷蘭的虛擬主機，而它與CloudFlare的負載均衡能力結合，這意味著他們至少考慮過要處理來自Google的大量請求。

“在未來，我們懷疑惡意網(wǎng)站和欺詐網(wǎng)站使用IPv6的情況會越來越多，尤其是當VPS服務提供商停止向消費者提供IPv4/IPv6地址的選項的時候”來自OpenDNS的Andrew Hay在一篇博文中寫道。

據(jù)越南互聯(lián)網(wǎng)絡信息中心(VNNIC)所說，Google和被攻擊的域名注冊商正在調查此次事件。

參考來源：http://securityaffairs.co/wordpress/34058/cyber-crime/lizard-squad-dns-hijacking-google-vietnam.html