10月21日上午，Dyn遭受到拒絕服務(wù)（DoS）攻擊，造成了托管DNS網(wǎng)絡(luò)的中斷。成千上萬(wàn)的網(wǎng)站因此變得不可訪問(wèn)，其中包括Amazon EC2。當(dāng)天晚些時(shí)候，當(dāng)攻擊者發(fā)起第二輪針對(duì)Dyn DNS系統(tǒng)的攻擊時(shí)，問(wèn)題又進(jìn)一步加劇了。Dyn的攻擊緩解措施可以通過(guò)RIPE網(wǎng)站查看，視頻介紹了BGP切換。

　　域名服務(wù)器（DNS）就像電話簿或互聯(lián)網(wǎng)路徑圖。這些服務(wù)保存了域名和相應(yīng)IP地址的目錄。相對(duì)于IP地址，人們更容易記住域名，因此，當(dāng)用戶在瀏覽器中鍵入Radware.com時(shí)，他們實(shí)際上指向的是91.240.147.21。

　　研究人員早就警告過(guò)絕大多數(shù)互聯(lián)網(wǎng)客戶采用多個(gè)DNS提供商進(jìn)行網(wǎng)絡(luò)管理的風(fēng)險(xiǎn)。許多只采用一個(gè)DNS提供商作為他們的主DNS和輔助DNS的互聯(lián)網(wǎng)客戶就存在問(wèn)題。當(dāng)Dyn DNS遭受攻擊時(shí)，沒(méi)有采用冗余DNS服務(wù)的客戶就發(fā)現(xiàn)服務(wù)不可用，用戶也無(wú)法訪問(wèn)其網(wǎng)站。

　　這并不是DNS服務(wù)提供商第一次遭受攻擊。5月16日，NS1的托管DNS網(wǎng)絡(luò)就遭遇了同類(lèi)攻擊。僅一周，NS1就持續(xù)遭受了多個(gè)DDoS攻擊，從簡(jiǎn)單的大流量攻擊到惡意直接DNS查詢和畸形數(shù)據(jù)包。據(jù)報(bào)道，此次攻擊廣泛來(lái)源于真實(shí)客戶域及變體的查詢，因此更難于檢測(cè)并和緩解。

　　DNS洪水是攻擊者針對(duì)一個(gè)或多個(gè)DNS解析器發(fā)起的UDP洪水。DNS洪水是對(duì)稱(chēng)攻擊，利用海量的UDP請(qǐng)求耗盡服務(wù)器資源、內(nèi)存或CPU。攻擊者發(fā)送精心設(shè)計(jì)的UDP流量進(jìn)行域名解析。通過(guò)向目標(biāo)DNS服務(wù)器發(fā)送海量請(qǐng)求，攻擊者可以消耗服務(wù)器資源，進(jìn)而導(dǎo)致合法請(qǐng)求的服務(wù)降級(jí)。

　　這些攻擊針對(duì)的并非網(wǎng)絡(luò)中的客戶，而是DNS提供商本身。攻擊者試圖通過(guò)利用垃圾DNS查詢淹沒(méi)DNS提供商的方式耗盡網(wǎng)絡(luò)資源。DNS服務(wù)器是通往互聯(lián)網(wǎng)的路徑圖，可以幫助用戶找到他們要尋找的網(wǎng)站。當(dāng)攻擊者占用了所有的DNS資源時(shí)，合法客戶的請(qǐng)求就無(wú)法處理了。

　　DNS服務(wù)提供商每天都會(huì)收到海量流量，可以輕松應(yīng)對(duì)多個(gè)20-60 Gbps的攻擊。但當(dāng)攻擊流量增長(zhǎng)到600 Gbps，網(wǎng)絡(luò)資源無(wú)法承載時(shí)，就會(huì)導(dǎo)致資源耗盡進(jìn)而引發(fā)服務(wù)降級(jí)。規(guī)模超過(guò)1 Tbps的流量會(huì)帶來(lái)更大的威脅。這樣的攻擊規(guī)模很大，部分網(wǎng)絡(luò)基礎(chǔ)設(shè)施無(wú)法處理流量，最終會(huì)向攻擊目標(biāo)發(fā)送空路由信息，預(yù)防進(jìn)一步的中斷。物聯(lián)網(wǎng)（IoT）僵尸網(wǎng)絡(luò)在這一全新的領(lǐng)域占據(jù)領(lǐng)先地位。

　　這些海量DDoS攻擊的背后是被感染的IoT設(shè)備。Flashpoint 和Level3都能夠識(shí)別并確認(rèn)，用于針對(duì)Dyn DNS的拒絕服務(wù)攻擊的基礎(chǔ)架構(gòu)是與Mirai惡意軟件相關(guān)的僵尸網(wǎng)絡(luò)。在本月初針對(duì)Brian Krebs和OVH的攻擊中，Mirai僵尸網(wǎng)絡(luò)名聲大振，攻擊規(guī)模達(dá)到了破紀(jì)錄的1.1Tbps。攻擊發(fā)生不久之后，HackForums的用戶Anna_Senpai就發(fā)布了Mirai僵尸網(wǎng)絡(luò)的源代碼。自此之后，許多攻擊者都可以自己修改并部署僵尸網(wǎng)絡(luò)了。目前，Radware還未確定可租用的Mirai僵尸網(wǎng)絡(luò)的位置，但在Darknet市場(chǎng)中可以找到很多其它可租用的僵尸網(wǎng)絡(luò)。

　　Mirai和許多其它針對(duì)IoT設(shè)備的惡意軟件變體都是利用預(yù)設(shè)密碼來(lái)感染這些設(shè)備的。攻擊者會(huì)掃描互聯(lián)網(wǎng)，查找使用缺省憑證、很容易通過(guò)暴力破解攻入的設(shè)備。由于主動(dòng)掃描可以生成海量永遠(yuǎn)在線的僵尸網(wǎng)絡(luò)，因此攻擊者僅用一天就可以快速招募超過(guò)100000臺(tái)設(shè)備。

　　為了破壞互聯(lián)網(wǎng)，攻擊者會(huì)通過(guò)攻擊DNS、CDN和其它網(wǎng)絡(luò)基礎(chǔ)架構(gòu)來(lái)攻擊DNS服務(wù)提供商。目前還不清楚攻擊的幕后主使是誰(shuí)，但有一點(diǎn)很清楚，互聯(lián)網(wǎng)客戶需要實(shí)現(xiàn)更好的DNS管理和53端口出口過(guò)濾。

　　許多人都在猜測(cè)誰(shuí)是攻擊的幕后黑手，從俄羅斯、中國(guó)到匿名組織和Anna_Senpai。隨著美國(guó)總統(tǒng)選舉的日益臨近，多數(shù)人傾向于猜測(cè)是俄羅斯，但這卻不符合國(guó)家攻擊的模式。該攻擊也不符合匿名者的方式。通常，匿名者都會(huì)提前宣布要發(fā)起攻擊活動(dòng)，隨后會(huì)列出攻擊目標(biāo)列表，并調(diào)整攻擊。匿名者之后在第一波和第二波的攻擊之間伺機(jī)發(fā)表攻擊聲明，如Julian Assange的互聯(lián)網(wǎng)中斷。

　　預(yù)計(jì)攻擊者還將繼續(xù)考驗(yàn)DNS和互聯(lián)網(wǎng)基礎(chǔ)架構(gòu)的極限，直到企業(yè)真正能解決了與DNS和IoT安全相關(guān)的漏洞。

　　如果互聯(lián)網(wǎng)客戶采用了第二方作為輔助DNS，他們就可以避免10月21日的宕機(jī)。互聯(lián)網(wǎng)客戶需要花費(fèi)時(shí)間部署更好的DNS管理方法并主動(dòng)過(guò)濾53端口出口流量。

　　Radware是為虛擬數(shù)據(jù)中心和云數(shù)據(jù)中心提供應(yīng)用交付和應(yīng)用安全解決方案的全球領(lǐng)導(dǎo)者。Radware屢獲殊榮的解決方案為關(guān)鍵業(yè)務(wù)應(yīng)用提供充分的彈性、最大的IT效率和完整的業(yè)務(wù)靈敏性。Radware解決方案幫助全球上萬(wàn)家企業(yè)和運(yùn)營(yíng)商快速應(yīng)對(duì)市場(chǎng)挑戰(zhàn)，保持業(yè)務(wù)的連續(xù)性，在實(shí)現(xiàn)最高生產(chǎn)效率的同時(shí)有效降低成本。