迄今為止，中國(guó)臺(tái)灣和菲律賓就漁船槍擊事件的談判還未平息，菲律賓方面態(tài)度依然強(qiáng)硬。不過(guò)，在兩地民間黑客戰(zhàn)爭(zhēng)中，菲律賓黑客已經(jīng)公開(kāi)求饒：“請(qǐng)對(duì)準(zhǔn)菲政府，別再搞我們了”。此前，在這場(chǎng)黑客戰(zhàn)爭(zhēng)中，先是菲律賓黑客攻擊了中國(guó)臺(tái)灣“政府”網(wǎng)站，導(dǎo)致后者多個(gè)官方網(wǎng)站一度不能正常連網(wǎng)，接著，臺(tái)灣黑客也不甘示弱予以反擊，侵入了菲律賓政府的DNS服務(wù)器并要求菲律賓政府道歉，否則黑客不會(huì)停止類(lèi)似攻擊。

臺(tái)菲黑客大戰(zhàn)技術(shù)揭秘

撇開(kāi)其他不談，從安全技術(shù)的角度看，在這場(chǎng)臺(tái)菲黑客大戰(zhàn)中，雙方都用到了哪些攻擊手段？攻擊力度有多大呢？

曾著有《Web前端黑客技術(shù)揭秘》、現(xiàn)任知道創(chuàng)宇公司研究部總監(jiān)的鐘晨鳴告訴記者，對(duì)于這次臺(tái)菲黑客大戰(zhàn)用到的攻擊手段，安全界說(shuō)法有很多。其中，菲律賓對(duì)臺(tái)灣用到最多的是DDoS攻擊，臺(tái)灣對(duì)菲律賓目標(biāo)網(wǎng)站的入侵屬于常見(jiàn)的DNS劫持。

DNS是DomainNameSystem的縮寫(xiě)，域名系統(tǒng)以分布式數(shù)據(jù)庫(kù)的形式將域名和IP地址相互映射，DNS在網(wǎng)絡(luò)實(shí)現(xiàn)過(guò)程中擔(dān)當(dāng)著重要的角色。一旦DNS服務(wù)癱瘓，空間服務(wù)器將無(wú)法正確反饋網(wǎng)絡(luò)用戶(hù)的域名訪問(wèn)請(qǐng)求。

DNSPod創(chuàng)始人、網(wǎng)絡(luò)安全專(zhuān)家吳洪聲認(rèn)為，這次黑客大戰(zhàn)跟之前“中美”黑客大戰(zhàn)的情況有點(diǎn)類(lèi)似（51CTO編者注：“中美”黑客大戰(zhàn)發(fā)生在2001年，是由一起撞機(jī)事件引發(fā)的網(wǎng)絡(luò)戰(zhàn)爭(zhēng)，攻擊手法以你來(lái)我往地篡改對(duì)方網(wǎng)頁(yè)為主），不過(guò)，在這次臺(tái)菲黑客大戰(zhàn)使用的技術(shù)中，DDoS攻擊出現(xiàn)得非常多，在雙方的攻擊手段中都占有較大比重。另外，臺(tái)灣黑客已經(jīng)入侵到菲律賓的DNS服務(wù)器，由于一臺(tái)DNS服務(wù)器可以控制一大批網(wǎng)站，攻擊成本明顯降低，效果卻大大加強(qiáng)了。

菲律賓黑客為何討?zhàn)垼颗_(tái)灣黑客攻陷菲律賓的DNS服務(wù)器后究竟能做什么？吳洪聲說(shuō)，無(wú)論是什么類(lèi)型的DNS服務(wù)器，如果被黑客完全控制都是極端危險(xiǎn)的。有一種常見(jiàn)的詐騙方法是釣魚(yú)網(wǎng)站，即：使用與正常域名非常相似的詐騙用域名（比如用數(shù)字1替換字母i，看起來(lái)非常相似）做一個(gè)界面完全一樣的網(wǎng)站騙人。DNS服務(wù)器被攻陷以后，就可以使用完全正確的域名來(lái)進(jìn)行釣魚(yú)了。用戶(hù)訪問(wèn)時(shí)輸入的是正確的網(wǎng)址，實(shí)際訪問(wèn)的服務(wù)器卻有可能將你引向黑客自己搭建的惡意網(wǎng)站。這種情況很難用技術(shù)手段檢測(cè)出來(lái)，一旦發(fā)生，肯定會(huì)有巨大損失。

對(duì)于臺(tái)灣對(duì)菲律賓DNS攻擊的細(xì)節(jié)，《臺(tái)灣駭客已取得菲律賓DNS資料庫(kù)帳號(hào)與密碼》（http://netsecurity.51cto.com/art/201305/393408.htm）一文有詳細(xì)闡述，該文作者“豬哥靚”稱(chēng)，臺(tái)灣黑客已經(jīng)控制了菲律賓所有g(shù)ov.ph網(wǎng)址的DNS。DNS負(fù)責(zé)將網(wǎng)址轉(zhuǎn)換成IP，取得了dns.gov.ph，就可以對(duì)菲律賓全部gov.ph的網(wǎng)站改IP，改成自己的服務(wù)器，由此將對(duì)方整個(gè)網(wǎng)站換掉。另外，取得DNS，還可以修改電子郵件服務(wù)器的IP，讓所有@***.gov.ph的電子郵件癱瘓。#p#

細(xì)數(shù)DNS攻擊：誰(shuí)又被黑了

DNS系統(tǒng)是所有互聯(lián)網(wǎng)應(yīng)用的基礎(chǔ)，在網(wǎng)站運(yùn)維中至關(guān)重要，因此已經(jīng)成為黑客攻擊的重點(diǎn)目標(biāo)。針對(duì)DNS的攻擊大致有三類(lèi)：第一類(lèi)是DNS域名劫持，是通過(guò)某些手段取得域名解析控制權(quán)，修改該域名解析結(jié)果，導(dǎo)致對(duì)該域名的訪問(wèn)由原IP地址轉(zhuǎn)入到修改后的指定IP，其結(jié)果就是對(duì)特定的網(wǎng)址不能訪問(wèn)或訪問(wèn)的是假網(wǎng)址；第二類(lèi)是域名欺騙(緩存投毒)，其方式不止一種，但都是利用網(wǎng)民ISP端的DNS緩存服務(wù)器的漏洞進(jìn)行攻擊或控制，將錯(cuò)誤的域名記錄存入緩存中，使所有使用該緩存服務(wù)器的用戶(hù)得到錯(cuò)誤的DNS解析結(jié)果；第三類(lèi)是針對(duì)DNS服務(wù)器的拒絕服務(wù)攻擊（DDoS攻擊），其中，一種是針對(duì)DNS服務(wù)器軟件本身，利用BIND軟件程序中的漏洞，導(dǎo)致DNS服務(wù)器崩潰或拒絕服務(wù)，另一種是利用DNS服務(wù)器作為“攻擊放大器”，去攻擊其他互聯(lián)網(wǎng)上的主機(jī)，導(dǎo)致被攻擊主機(jī)拒絕服務(wù)。

以往，曾經(jīng)給人們留下深刻印象的DNS安全事件有：新網(wǎng)被黑、百度被黑等。今天，針對(duì)DNS系統(tǒng)的種種攻擊事件仍在不斷發(fā)生：

今年3月，歐洲反垃圾郵件組織Spamhaus突然遭受到高達(dá)300Gbps的大流量DDoS攻擊。此次攻擊是典型的DNS反射/放大攻擊，這種攻擊通過(guò)使用多個(gè)客戶(hù)端肉機(jī)(bots僵尸肉機(jī))將查詢(xún)發(fā)送到多個(gè)開(kāi)放DNS解析器中，從而使大量的攻擊流量從廣泛分布源中產(chǎn)生(在Spamhaus襲擊期間，使用了超過(guò)30K開(kāi)放解析器)。

在國(guó)內(nèi)的最新案例是：5月12日，知名視頻網(wǎng)站土豆網(wǎng)被黑。土豆網(wǎng)官方微博發(fā)布消息稱(chēng)，當(dāng)天晚間確實(shí)出現(xiàn)土豆網(wǎng)部分用戶(hù)無(wú)法正常瀏覽網(wǎng)頁(yè)的情況，經(jīng)核實(shí)，該情況是因新網(wǎng)（互聯(lián)）漏洞致使DNS遭受劫持造成。

DNSPod相關(guān)技術(shù)負(fù)責(zé)人近日透露，今年4月底，國(guó)內(nèi)某大型網(wǎng)游平臺(tái)突然遭到高達(dá)70Gbps的DNSFlood攻擊，經(jīng)過(guò)必要的防護(hù)升級(jí)，長(zhǎng)達(dá)一天后，“洪水式”攻擊才被成功化解。

究竟哪一類(lèi)網(wǎng)站最容易遭到DNS攻擊？吳洪聲告訴記者，從目前來(lái)看，在國(guó)內(nèi)，與游戲相關(guān)的網(wǎng)站，以及與減肥醫(yī)藥相關(guān)的行業(yè)網(wǎng)站比較容易遭到DNS攻擊，占到了攻擊總數(shù)量的70%以上。究其原因，是這些行業(yè)從業(yè)者較多，競(jìng)爭(zhēng)激烈而無(wú)序，有些人便使用攻擊競(jìng)爭(zhēng)對(duì)手的方式來(lái)贏得市場(chǎng)份額。#p#

黑客產(chǎn)業(yè)鏈讓DNS攻擊愈演愈烈

來(lái)自DNSPod的數(shù)據(jù)顯示，在DNS中，簡(jiǎn)單的漏洞（如：域傳送漏洞）雖然時(shí)不時(shí)依然會(huì)出現(xiàn)，但出現(xiàn)的次數(shù)已經(jīng)越來(lái)越少了。不過(guò)，與此同時(shí)，DDoS和Flood攻擊所占比重越來(lái)越大，這也是最嚴(yán)重的兩類(lèi)DNS攻擊。DNSPod的服務(wù)器組每天要抵御十幾次大大小小的這樣的攻擊。這兩種攻擊并不需要特別高深的系統(tǒng)入侵技術(shù)，攻擊者只要投入相應(yīng)的資金就可以達(dá)到攻擊對(duì)手的目的。而利用DNS污染進(jìn)行攻擊對(duì)技術(shù)要求比較高，通常用于針對(duì)大型公司的攻擊。

近些年，企業(yè)對(duì)各個(gè)方面安全系統(tǒng)越來(lái)越重視，DNS安全狀況是否有所提高？對(duì)此，鐘晨鳴表示，他并未看到DNS攻擊問(wèn)題有緩和的趨勢(shì)。相反，網(wǎng)絡(luò)攻擊帶來(lái)的利益正被越來(lái)越多的人所看到，因此，DNS安全狀況有沒(méi)有變得更糟都很難說(shuō)。

全球知名防DDoS攻擊廠商Arbor公司最近推出的2012年《全球基礎(chǔ)設(shè)施安全報(bào)告》顯示，調(diào)查對(duì)象中有超過(guò)1/4的人在調(diào)查期間遭到針對(duì)DNS基礎(chǔ)設(shè)施的DDoS攻擊，在上一年的調(diào)查中，只有12％的調(diào)查對(duì)象表示遭到此類(lèi)攻擊。這份報(bào)告同時(shí)顯示，大多數(shù)互聯(lián)網(wǎng)的DNS基礎(chǔ)設(shè)施仍然開(kāi)放和不受保護(hù)，缺乏專(zhuān)門(mén)的安全人員和無(wú)限制的遞歸服務(wù)器，這為攻擊者創(chuàng)造了一個(gè)理想的環(huán)境。

在國(guó)內(nèi)，也有數(shù)據(jù)表明，2012年，國(guó)內(nèi)存在高危漏洞的網(wǎng)站比例高達(dá)75.6%，網(wǎng)頁(yè)篡改、拖庫(kù)、流量攻擊成為網(wǎng)站面臨的嚴(yán)重威脅。

今天，高額的利潤(rùn)催生了國(guó)內(nèi)的黑客產(chǎn)業(yè)鏈不斷擴(kuò)大，以利益為導(dǎo)向的黑客行動(dòng)在游戲行業(yè)尤其普遍。據(jù)業(yè)內(nèi)人士介紹，地下黑客產(chǎn)業(yè)鏈極其龐大且分工明確，一些私服每月甚至?xí)ㄙM(fèi)200-300萬(wàn)元去黑對(duì)手，類(lèi)似問(wèn)題也廣泛存在于國(guó)內(nèi)各大一線電商企業(yè)中。DNSPod技術(shù)負(fù)責(zé)人提到，“地下市價(jià)一度為1Gbps流量打1小時(shí)花費(fèi)2萬(wàn)元，現(xiàn)在，1G流量的價(jià)格已經(jīng)降到200-300元/小時(shí)。”#p#

DNS系統(tǒng)攻防對(duì)抗賽

被設(shè)計(jì)成開(kāi)放式協(xié)議的DNS已成為網(wǎng)絡(luò)攻擊的重點(diǎn)。攻的一方早已經(jīng)盯上了DNS，那么，防的一方是否也對(duì)DNS安全予以了同等的重視呢？

Arbor2012年《全球基礎(chǔ)設(shè)施安全報(bào)告》顯示，有高達(dá)33％的調(diào)查對(duì)象表示，他們并不知道自己是否經(jīng)歷過(guò)DNS攻擊，這表明，一些運(yùn)營(yíng)商在DNS服務(wù)器流量的可見(jiàn)性上還存在嚴(yán)重的缺陷。

在針對(duì)DNS的各類(lèi)攻擊中，特征比較明顯的DDoS和Flood攻擊相對(duì)來(lái)說(shuō)比較容易被發(fā)現(xiàn)，針對(duì)這種攻擊，今天已經(jīng)有了相當(dāng)成熟的防御技術(shù)。吳洪聲說(shuō)，類(lèi)似攻擊發(fā)生時(shí)，算法程序可以在10秒左右學(xué)習(xí)到攻擊特征，只需要人工確認(rèn)一下就可以添加有針對(duì)性的防護(hù)，整個(gè)過(guò)程自動(dòng)化程度非常高。不過(guò)，與這種攻擊不同，DNS污染或以其他服務(wù)器為跳板入侵DNS服務(wù)器等安全問(wèn)題更值得關(guān)注，因?yàn)檫@些攻擊都是靜悄悄地發(fā)生，可能黑客攻擊結(jié)束的時(shí)候系統(tǒng)管理員還不知道，因而其危害也相對(duì)更大。

在鐘晨鳴看來(lái)，很多安全問(wèn)題并不是漏洞導(dǎo)致，而是管理缺陷所造成。今年年初，國(guó)際上有個(gè)黑客公布，它去年對(duì)全球IP掃描后發(fā)現(xiàn)，有四、五十萬(wàn)主機(jī)都用的是弱口令，這些主機(jī)類(lèi)型多種多樣，利用它攻入系統(tǒng)后，又可以成為新的掃描節(jié)點(diǎn)；另外，一些應(yīng)用服務(wù)軟件版本仍然較低，攻擊者通過(guò)遠(yuǎn)程移除，可拿到相關(guān)權(quán)限。更值得一提的是，雖然有些漏洞已被公布，但并不是所有設(shè)備都由此進(jìn)行了相應(yīng)的修復(fù)。吳洪聲也認(rèn)為，對(duì)付DNS攻擊，除了對(duì)DDoS、Flood攻擊和DNS污染攻擊進(jìn)行防御外，更重要的是，要做好管理安全。鏈條總會(huì)在最薄弱的地方斷掉，如果相關(guān)的管理安全沒(méi)有做好，那前面兩個(gè)環(huán)節(jié)的工作也會(huì)徒勞無(wú)功。為應(yīng)對(duì)上述威脅，組織首先要做好系統(tǒng)本身的安全建設(shè)。鐘晨鳴認(rèn)為，對(duì)付DNS威脅，需要兩個(gè)方面來(lái)保證安全：一是Web層面入口環(huán)節(jié)，二是DNS服務(wù)器本身的安全。

Arbor全球報(bào)告顯示，如今，組織正使用各種安全措施和工具防止他們的DNS基礎(chǔ)設(shè)施遭受DDoS攻擊，其中，有超過(guò)53％的人表示他們已經(jīng)部署了智能DDoS防護(hù)系統(tǒng)IDMS，而超過(guò)2/3的人部署了網(wǎng)絡(luò)邊緣的接口iACL，更多組織采用了防火墻、IPS/IDS和其他措施。

對(duì)于普通中小網(wǎng)站而言，怎樣應(yīng)對(duì)DNS攻擊？吳洪聲建議，普通中小網(wǎng)站把關(guān)于DNS安全的任務(wù)交給一家安全可靠的專(zhuān)業(yè)服務(wù)商來(lái)做。由于針對(duì)DDoS或者Flood攻擊需要較高的軟硬件成本，而DNS系統(tǒng)的安全建設(shè)又需要特別高的人力成本，中小網(wǎng)站很難依靠自己就做好這樣的工作。與此同時(shí)，企業(yè)同時(shí)還應(yīng)該加強(qiáng)對(duì)于DNS安全的認(rèn)識(shí)和重視，不要讓DNS安全成為鏈條中最弱的一環(huán)，影響到業(yè)務(wù)甚至是企業(yè)的命運(yùn)。