在过去的几天里,至少有三家提供域名管理和DNS托管服务的提供商的DNS服务器受到了与此相关的分布式拒绝服务攻击。
周一,DNSimple、easyDNS和TPP Wholesale都报告了DNS服务暂时中断和降级的情况,称原因是DDoS攻击。在某些情况下,袭击开始于几天前,目前仍在继续。
【案例研究:在线游戏公司讲述了与DDoS攻击的生存之战]
TPP Wholesale是总部位于悉尼的Netregistry的子公司,Netregistry是澳大利亚最大的网络托管、域名管理和其他在线服务提供商之一,提醒客户该公司周一在其网站上表示,8台DNS服务器遭遇了“计划外服务中断”。
在过去的几天里,TPP Wholesale经历了一系列针对其DNS名称服务器的DDoS攻击,neregistrygroup安全团队在一份声明中说博客.该团队表示,通过采取限制DNS查询速率的“极端措施”,该公司成功减轻了导致整个周一服务中断的DDoS攻击。
这种激进的过滤容易出现误报,并可能导致某些客户被拒绝提供DNS服务。“在接下来的几天里,我们将继续把发现的假阳性名单列入白名单,”该团队说。
总部位于多伦多的DNS主机提供商EasyDNS也报告称,周一的DDoS攻击导致DNS服务中断。
该公司的首席执行官马克·杰夫托维奇周一在一份声明中说:“这看起来像一个更大版本的小型DDoS,可能是一个测试运行。博客.“这次DDoS攻击与我们之前的攻击不同,它的目标似乎是我们,简单的dns,而不是我们的客户端。”
Jeftovic说,很难区分真实的流量和DDoS流量,但该公司设法部分减轻了攻击发布的解决方案对客户的影响。他说:“这对DNS提供商来说是一个‘噩梦般的场景’,因为它不是针对我们可以隔离和缓解的特定领域,而是针对easyDNS本身,而且它构造得相当好。”
总部位于佛罗里达州马拉巴尔的Aetrion运营着一项名为DNSimple的DNS托管服务,该服务也在周一遭到了攻击。据DNSimple创始人安东尼•伊登称,DDoS攻击还在继续,但该公司设法减轻了这种情况。
“我们权威的域名服务器被用作攻击第三方网络的放大器,”Eden周二通过电子邮件表示。“攻击者基本上向我们发送了大量针对我们DNS服务管理的各种域名的‘任意’查询,目的是将这些小查询放大为针对特定网络的明显更大的响应。”
这种攻击技术被称为DNS反射或DNS放大。它包括从大量计算机向DNS服务器发送带有欺骗源IP (Internet Protocol)地址(通常是受害者的地址)的查询,以便在短时间窗口内触发这些服务器向受害者的IP地址发送长的响应。如果使用了足够多的计算机和DNS服务器,由此产生的恶意DNS流量将耗尽受害者可用的互联网带宽。
DNS反射技术早已为人所知。不过,它最近的用途是发射规模空前的DDoS攻击,就像三月的那一次该组织的目标是一个名为Spamhaus的反垃圾邮件组织,这可能让攻击者重新对其感兴趣。
Eden说,DNSimple在周一遭遇的攻击在数量和持续时间上都比过去其他攻击该公司服务器的攻击要大得多。
他认为这次攻击与easyDNS和TPP Wholesale经历的攻击有关。“TPP Wholesale博客上显示的模式与我们看到的类似,我们一直在与easyDNS沟通,并在攻击之间找到了相似之处。”
有人询问EasyDNS和TPP Wholesale,希望获得有关最近针对它们服务器的攻击的更多信息,并确认它们正在使用DNS反射技术,但它们没有立即作出回应。
Eden说,其他公司运营的DNS服务器也可能受到这次攻击的影响。他说:“DNS提供商的客户数量将显著增加,因此攻击会很快被发现,因为它影响的人群更大。”
Eden表示,DNSimple的权威名称服务器被用来放大针对服务器托管公司Sharktech或其客户的DDoS攻击。
Sharktech的总裁兼首席执行官Tim Timrawi通过电子邮件表示,Sharktech已经注意到在过去24小时内,来自isp和主机托管公司的滥用报告激增,他们抱怨针对其DNS服务器的DDoS攻击似乎源自Sharktech。他说,经过进一步调查,该公司确定,这些报告实际上是针对其客户的DNS放大攻击的结果,该攻击滥用了这些公司的权威DNS服务器。
大多数受影响的DNS服务器得到了正确的保护,并被询问他们负责的域名,TIMRAWI表示。“与以前的DNS放大攻击不同,其中攻击者使用开放递归DNS服务器,在此,攻击者正在收集所有DNS服务器,他们可以为其找到并向它们发送MX(和其他类型的查询),以便用欺骗方式为其发送域记录目标主人的来源,“他说。
Timrawi说,针对Sharktech客户的DDoS攻击放大后超过了40Gbps。“我们不知道这些袭击背后的原因,”他说。
DDoS缓解提供商Arbor Networks的销售工程和运营副总裁Carlos Morales说,在DNS反射攻击中滥用权威域名服务器并不常见,因为攻击者需要知道每个被滥用服务器负责的确切域名。他说,获取这些信息并不困难,但与滥用开放DNS解析器相比,它确实需要额外的工作,而攻击者通常更喜欢最简单的途径来达到他们的目标。
打开DNS解析器是递归DNS服务器,它被配置为接受Internet上任何计算机的查询。它们充当用户和权威DNS服务器之间的中继;它们接收对任何域名的查询,找到负责该域名的权威名称服务器,并将从该服务器获得的信息转发给用户。
与此同时,权威的域名服务器,如DNSimple、easyDNS和TPP Wholesale,将只回应有关他们服务的域名的查询。
莫拉莱斯说,针对这些服务器所需的额外工作表明,最近攻击这些DNS主机提供商的攻击者已经做好了充分的准备,并提前做了功课。
Eden说,一种缓解此类攻击的方法是配置DNS服务器软件,强制所有通过UDP(用户数据报协议)发送的“任何”查询通过TCP(传输控制协议)重新发送。这可以通过发送一个带有TC位设置和一个空答案部分的UDP响应来实现。他说,合法的DNS客户端将通过TCP进行重试,而虚假的客户端将得不到任何好处。
在开放解析器的情况下,这个问题可以通过限制哪些IP地址可以查询来缓解,Morales说。他举例说,一家为其客户运营DNS解析器的ISP可以将DNS解析器的使用限制在仅来自其网络的IP地址。
不过,莫拉莱斯说,这种缓解措施不适用于权威域名服务器,因为互联网上任何想要获取其服务的特定域名信息的人都可以查询这些服务器。Eden描述的缓解效果非常好,实际上Arbor也用它来保护权威的名称服务器,他说。他说,另一个缓解措施是对源IP地址执行查询速率限制。