DNS漏洞不容小觑 谨防DDoS攻击乘虚而入
2012-04-09 中国IDC产业联盟
中国IDC产业联盟讯 短暂的平静之后,黑客们又开始蠢蠢欲动。不久前,全球著名黑客组织 Anonymous(匿名者)公开表示会在在3月31日针对DNS域名根服务器发起大规模DDoS攻击行动,让全球的互联网陷入瘫痪;LulzSec 则宣称会在4月1日发起针对性攻击活动。事实上,3月31日全世界网民都度过了平静的一天,因为国内的部分主流微博网站选择在这一天关闭评论功能,所以中国的互联网甚至比以往还要平静许多。作为一个安全专业人士,Radware安全副总裁Carl Herberger却无论如何也无法对黑客们那不负责任的威胁一笑了之,虽然他不认为这种危及全球互联的威胁能够得逞,但是他认为Anonymous、LulzSec以及更多黑客组织并不会停下他们攻击的脚步,看似平静的外表之下也许正暗流涌动。
就算那些嚣张一时的攻击威胁是愚蠢的言论,我们也不妨来假设一下,如果黑客真的要击垮整个互联网,他们将如何下手?在前面提到的威胁中,黑客显然将矛头指向了DNS漏洞,这是否也给IT安全经理们敲响了警钟?他们在未来应该更加关注DNS漏洞,因为一旦DNS的漏洞被利用,就可能带来难性的后果。
四个主要的DNS漏洞:
DNS IPv6漏洞——从“DNS Quad-A attack”攻击场景到IPv4与IPv6的交叉穿织,都为攻击者指出了一条发动DDoS洪水攻击的途径。
公用DNS服务器上的漏洞——公用 DNS(BIND, DJBDNS, MS, OpenDNS) 域名根服务器允许缓存域名记录在被删除的情况下依然活跃。这也许不是什么漏洞和错误,但的确是DNS在设计上的一个瑕疵。
内部威胁——当今黑客发起攻击的目的已经不仅仅是为了获取经济利益。近来,我们看到了一个让人不安的趋势,一些信息安全专业人士也加入了黑客队伍之中,其目的是为了某种意义上的“正义”。
社会工程学——在过去的24个月中,每一起破坏较大的网络攻击在初期所采取的入侵策略都是利用各种社会工程学漏洞 (这一点多见于以经济利益为目的的攻击行为)。
当今黑客得逞的动力:
以Anonymous 和 LulzSec为代表的黑客组织,究竟具备哪些特征才最终得逞呢?黑客攻击之所以得逞,主要源于以下几点:
狂热的激情——黑客的斗志是攻击得逞的关键因素。
不断收集可利用的漏洞——Anonymous的成员会收集全世界范围内所有有关DNS根域名服务器运行、设计和安全的知识,并找出加入利用和攻击的弱点和潜在漏洞。
无穷尽的资源——黑客组织能够利有的资源取决于他们能在全世界激发起多少跟随者的偏执和狂热。
Radware安全副总裁Carl Herberger认为:“只有保持高度警觉,并且团结所有热衷网络安全事业的安全人士才能在网络安全防御战争中的竖起坚固的堡垒。”