网络罪犯最近
翻新分散式阻断服务(DDOS)***的手法,开始用形同互联网
黄页的域名系统服务器来发动***,扰乱在线商务。
VeriSign表示,今年初发现该公司系统承受的***规模甚于以往,而且来源不是被绑架的“殭尸”(bot)电脑,而是出自于域名系统(DNS)服务器。
安全研究员Dan Kaminsky说:“DNS已成为DDOS重要的一环。门槛已降低了。人们现在可凭更少的资源,发动可能极具破坏力的***。”
一旦成为DDOS***的箭靶,目标系统不论是网页服务器、域名服务器或电子邮件服务器,都会被网络上四面八方的系统所传来的巨量信息给淹没。***的用意是借大量垃圾信息妨碍系统正常的信息处理,借此切断***目标对外的连线。
以往,这类***是青少年闲得无聊时的杰作,图得只是看网站挂掉的那种快感。但如今,DDOS***常被歹徒拿来当作勒索网络公司的武器,×××和成人娱乐网站尤其首当其冲。
不同于被绑架的僵尸电脑,DNS服务器是合法的网络良民,其作用是把文字型域名名称(例如[url]www.cnet.com[/url])转换成相对应的数字型互联网协定(IP)位址,以引导使用者上他们想到的网站。
现在,***常用僵尸电脑连成的网络(botnet),把大量的查询要求传至开放的DNS服务器。这些查询信息会假造得像是被巨量信息***的目标所传出的,因此DNS服务器会把回应信息传到那个网址。
***用DNS服务器来发动***有多重好处,可隐匿自己的系统,让受害者难以追查***的原始来源,更可让***效果加倍。Baylor大学信息系教授Randal Vaughn说,单一的DNS查询,可启动比原始查询大73倍的回应。
DNS发明人兼Nominum公司首席科学家Paul Mockapetris打个比方说,若你企图让垃圾邮件塞爆某人的信箱,基本的方法就是寄很多信到该地址,但你必须费很多时间写信,而且发信来源追查得出来。
Mockapetris说:“更好的方法,是寄出杂志里常见的那种广告回函卡,勾选各种想索取的信息,然后把回信地址填上目标信箱,就会让那个信箱爆掉,同时消除与你有关的链接。”他说,用DNS服务器发动DDOS***,就是运用这种原理。
但如果拦阻一台DNS服务器对外的连线,可能造成合法使用者无法传电子邮件或浏览某网站。问题出在所谓的“递回
域名服务” (recursive name service)服务器,是开放给网络上任何人查询的DNS服务器,估计数量从60万台到560万台不等。
Mockapetris说:“使用这些开放服务器的人士,必须好自为之。不论知不知情,或是否怠惰,他们现在已成为这类***的帮凶。他们是互联网上的伤寒玛丽。”
专家建议,要保护自家系统,企业可解除DNS服务器中允许人人查询网址的递回(recursive)功能,转而调整服务器设定,只对内部人士开放递回功能。目前使用DNS服务器者包括互联网服务供应商(ISP)以及企业和个人。
2
收藏
推荐专栏更多
猜你喜欢
我的友情链接
明天就要种甲流疫苗了
DNS域名系统
DNS原理及其解析过程【精彩剖析】
linux下DNS解析(nslookup、dig、host)
呕心沥血之作:DNS and BIND配置指南
DDNS配置实例(DHCP+DNS=DDNS)
详解DNS的常用记录(上):DNS系列之二
CentOS 7.3 搭建DNS服务器
清空DNS缓存和重置TCP/IP堆栈的命令
centos 修改DNS,网关,IP地址
Java线程:线程的调度-休眠
简述centOS 7系统用户和组的管理及配置
解析DELL R710服务器迁移操作内容
开学季出大事:某教育局丢失3台虚拟机
EVA4400存储虚拟机+数据库数据恢复成功案例
服务器数据恢复通用方法+服务器分区丢失恢复案例
在CentOS7上部署squid缓存服务器及代理功能
EMC 5400服务器raid阵列瘫痪数据恢复成功案例
服务器数据恢复案例 / raid5阵列多块硬盘离线处理方法
扫一扫,领取大礼包
转载于:https://blog.51cto.com/starger/17265
Ctrl+Enter 发布
发布
取消