文/姜開達(dá)

3月底發(fā)生了互聯(lián)網(wǎng)有史以來最大的300G DDoS攻擊事件。此次黑客利用了DNS放大攻擊(DNS Amplification attack，也叫反射攻擊)技術(shù)，這種攻擊方式其實(shí)由來已久，早在2002年就已引起研究人員的關(guān)注，但是造成這么大的攻擊流量還是首次被發(fā)現(xiàn)。由于這種攻擊模式成本低，效果好，追蹤溯源困難，而且由于脆弱的DNS體系具有開放式特點(diǎn)，難以徹底杜絕。潘多拉魔盒已經(jīng)被打開，在未來相當(dāng)長(zhǎng)一段時(shí)間內(nèi)，預(yù)計(jì)這種DNS放大攻擊會(huì)得到越來越多攻擊者的青睞，被廣泛利用。

根據(jù)我們近期對(duì)校園網(wǎng)的監(jiān)測(cè)，大量開放式遞歸DNS服務(wù)器都被頻繁利用進(jìn)行放大攻擊。從近期統(tǒng)計(jì)結(jié)果來看，最頻繁利用的域名是 isc.org。

比如我們向某遞歸DNS服務(wù)器發(fā)送一個(gè)類型為ANY的域名查詢請(qǐng)求(64 byte),

dig any isc.org @202.120.2.101

DNS服務(wù)器返回應(yīng)答報(bào)文為3336 byte, 放大倍數(shù)為52倍。

;; Query time: 1 msec

;; SERVER: 202.120.2.101#53(202.120.2.101)

;; WHEN: Mon Apr 29 21:30:42 2013

;; MSG SIZE rcvd: 3336

圖1是從上海交通大學(xué)校園網(wǎng)截獲的DNS放大攻擊流量?？梢钥吹焦粽邆卧煸吹刂?，不斷發(fā)送小的請(qǐng)求查詢包，從而獲得DNS服務(wù)器的大量返回報(bào)文，實(shí)現(xiàn)定向流量攻擊。

圖1 DNS放大攻擊報(bào)文

表1 Queries per second具體測(cè)試結(jié)果

由于DNS查詢請(qǐng)求通常為無連接的UDP類型，所以攻擊者只要使用1G的偽造源地址DNS查詢流量，理論上就可能獲得超過50G的UDP流量，并且可以控制其流向?qū)б焦裟繕?biāo)。對(duì)于擁有成千上萬臺(tái)被控主機(jī)的僵尸木馬網(wǎng)絡(luò)來說，發(fā)出幾個(gè)G乃至數(shù)十G的DNS查詢流量并不困難，而開放式遞歸服務(wù)器在全球數(shù)量超過千萬臺(tái)，并且這些服務(wù)器接入帶寬往往較高。如果控制每臺(tái)DNS只產(chǎn)生30M的應(yīng)答攻擊流量(太大的DNS流量會(huì)被管理員發(fā)現(xiàn)并可能影響服務(wù)器正常工作)，那么只需要1萬臺(tái)就可以達(dá)到300G DDoS流量攻擊的效果。

針對(duì)DNS放大攻擊，一種主流解決方案是控制遞歸DNS有限度開放來降低被利用程度，但是對(duì)于提供授權(quán)服務(wù)的DNS來說，必須要公開，還是可能會(huì)被利用。我們?cè)趯?shí)際網(wǎng)絡(luò)中也的確監(jiān)測(cè)到大量針對(duì)授權(quán)DNS的流量攻擊。

為了評(píng)估放大攻擊對(duì)目前DNS的服務(wù)影響，我們使用2臺(tái)服務(wù)器做了一次性能測(cè)試。一臺(tái)安裝DNS服務(wù),使用unbound的最新穩(wěn)定發(fā)行版本1.4.20；另一臺(tái)安裝Nominum出的主流DNS性能測(cè)試工具dnsperf 2.0.0.0進(jìn)行壓力測(cè)試，每次批量發(fā)送不同的查詢請(qǐng)求，測(cè)試時(shí)間都為60秒鐘。評(píng)價(jià)DNS性能的關(guān)鍵指標(biāo)為無丟包情況下的最大查詢能力，也就是Queries per second(qps)，具體測(cè)試結(jié)果如表1所示。

從這張表中，我們可以簡(jiǎn)單看出，隨著查詢返回包長(zhǎng)度的增加，DNS服務(wù)器的整體性能是在顯著下降的。DNS放大攻擊利用的一般都是較高放大比的請(qǐng)求包，因此無疑會(huì)干擾DNS服務(wù)器的正常運(yùn)行。

作為互聯(lián)網(wǎng)基礎(chǔ)設(shè)施的DNS，正常服務(wù)關(guān)系到整個(gè)互聯(lián)網(wǎng)的安全穩(wěn)定運(yùn)行。對(duì)DNS安全體系的進(jìn)一步研究，是網(wǎng)絡(luò)安全研究人員當(dāng)前工作的重點(diǎn)，也具有很大的挑戰(zhàn)性。