Infoblox Advanced DNS Protection Distributed Denial of Service Security Operation Center Domain Name System Threat Rule Server HiNet DDoS進階防護服務 Amplification Clean pipe Reflection 中華電信數據通信分 Infoblox 網域名稱解析 流量清洗 DHCP IPAM DDoS DNS SOC DDI

阻斷服務攻擊手法肆虐 DNS易成為駭客目標

2014-06-30
不論是產業惡意競爭、報復性、經濟利益等目的,近年來網域名稱解析系統(Domain Name System,DNS)的特性經常被駭客利用進行攻擊,例如以破壞IT服務可用性為主要目的之分散式阻斷服務(Distributed Denial of Service,DDoS),或是經由作業系統漏洞滲入,竄改網域名稱解析記錄資訊,將所有用戶端的查詢連線皆導向特定網站,導致該網站服務癱瘓。
因應這些攻擊行為,企業可在內網增添抵抗DNS攻擊防禦機制,以避免DNS伺服器遭到入侵或利用,至於DDoS則可透過流量清洗(Clean Pipe)服務緩解。

通訊協定簡單易被IT人員忽略

在台灣,由中華電信數據通信分公司加值系統處所維運的168.95.1.1與168.95.192.1,開放服務全台的網域名稱查詢系統,可說是IT人員最熟悉的DNS位址,自然也是最顯著的攻擊標的。中華電信數據通信分公司加值系統處處長吳坤榮即指出,攻擊行為幾乎是天天上演。「我們是一個團隊專門在維護,平時就會分析封包與監看異常狀態,若發現則立即依據標準作業程序進行處理。隨著每天所發現的攻擊手法不盡相同,處理程序也會因此更加精進。」

去年歐洲反垃圾郵件組織Spamhaus遭受DDoS攻擊的事件,中華電信數據通信分公司加值系統處工程師范揚麟認為,其實攻擊手法並不新,甚至技術門檻也不高,合法查詢DNS即可辦到。只是一般企業的狀況是,熟悉DNS知識領域的IT人並不多,畢竟DNS服務性質較其他網路服務簡單,通常只要一開始設定完成網域與IP的解析記錄,日後再更新或異動的次數相當少。

於是在穩定運行下,DNS服務運行逐漸被視為理所當然,而忽略該服務的重要性,也就不會深究技術內容。「其實維護DNS,並非一定得研讀高深的技術,平日實戰經驗更重要。因為通訊協定很簡單,除非在實務上經常在處理相關問題,才有足夠經驗辨識連線行為屬於正常或異常。」吳坤榮強調。

從頻寬利用率留意可能的DNS攻擊

針對企業端所面臨的DNS攻擊問題,中華電信數據通信分公司資安辦公室專案工程師黃柏森說明,可分為兩種:被當作跳板以及遭受針對性攻擊。若是遭受攻擊行為較為明顯,基本上DDoS最常見的就是消耗頻寬與消耗資源,或混合式進行。只要頻寬先塞爆,透過上游的ISP進行確認,或是網管人員可透過工具監看頻寬使用率來發現,敏感度較高的IT人員即可藉此發現正遭受消耗頻寬的DDoS攻擊,開始尋求ISP或相關廠商協助處理。

但是若為消耗資源的DDoS攻擊,確實要有資安技術能力的人員進行分析封包內容,才能清楚掌握問題。因為DDoS攻擊手法有許多種類,典型的是消耗主機連線資源,這部份可透過系統監控來查看,例如連線數量增多甚至滿載。但是其他少量封包的攻擊,會利用Layer 3/Layer 4通訊協定的特性予以消耗,就不容易被察覺,必須經由資安專家經過封包內容分析才能得知。

至於DNS伺服器本身成為跳板或殭屍電腦成員,則會被駭客利用其發送查詢網域封包,並將封包內標記的來源IP位址指向攻擊標的,且查詢要求往往是網域名稱記錄集,造成回應封包過大現象,形成放大(Amplification)或反射(Reflection)攻擊。一旦發生,連外的頻寬勢必激增,甚至可能呈現滿載的情況,第一時間直接影響對外連線速度,目前一般企業租用的對外頻寬皆有限,只要有大量封包產生很容易被察覺。


▲HiNet DDoS進階防護服務從源頭進行辨識與阻擋偽裝的DNS查詢,只允許正常流量通過,減少與緩解攻擊行為造成的影響。 (資料來源:secure365.hinet.net)

從源頭或自建防堵DNS攻擊

面對外來的駭客攻擊行為,一般企業大多是以防火牆、IPS等資安設施來抵禦,但是近年來DDoS常見是以正常流量發動,資安設施較難以從網路封包判斷,必須要更深入解析至Layer 7封包,且能夠學習並累積經驗,才能準確指出惡意的查詢行為,並予以阻斷。

只是多數企業較少見專職的資安人員,市場上才會出現針對因應DNS或DDoS攻擊而設計的專屬設備。「多數仍少不了客製化配置,仍舊無法一體適用。從客戶端實測的狀況來看,誤擋的機率偏高,因為流量是循正常管道查詢DNS,只是背後的目的並非為了解析網域名稱,而是一起攻擊行為,這類行為並非自動化設備藉由龐大的雲端資料庫得以比對發現,因此容易發生誤擋現象。」范揚麟指出。

為降低誤擋率,往往必須要經過客製化配置,或是一段時間學習正常與異常狀況,才有能力正確判斷。范揚麟舉例,Google.com的網域名稱查詢量相當大,自動化設備可能就因此判定為阻斷攻擊,實際上卻是使用者經常仰賴搜尋引擎查找資料,為正常行為模式,若未經學習或給予參數條件,即無法精準判斷哪一類龐大的網域名稱解析查詢行為屬於異常,亦可說是DNS的阻斷式攻擊得以有效的原因。

HiNet DDoS進階防護服務是由資安監控中心(SOC)團隊負責,提供流量清洗服務。黃柏森說明,此程序在用戶端不需要變更設定,完全是由HiNet進行流量的導向,過濾分析也是由SOC團隊來執行。「只是該服務目前僅針對租用HiNet頻寬的用戶提供,因為我們目前所使用的技術,需搭配內部頻寬路由調整,才能把訊務導向清洗中心,其他ISP業者的頻寬用戶自然無法提供服務。」

他進一步提及,「被當跳板」與「被攻擊」兩種處理方式完全不同。跳板的話可能是開放過多設定,導致有心人士可以利用開放的服務發動攻擊;至於被DDoS攻擊,是其他跳板造成的狀況,而流量清洗即可把偽裝為合法的流量進行分析與清洗,避免服務被擊潰。

另一種因應方式是強化DNS設備本身的防禦能力,例如Infoblox Advanced DNS Protection,透過內建加速卡來進行封包的偵測、過濾DNS型態攻擊封包,像放大/反 射、偵查探測、DNS快取毒害等行為,一邊緩解可能形成的DDoS攻擊,同時仍可回應合法流量的存取。Infoblox技術顧問張哲綱說明,Infoblox多年來提供DDI(DHCP、DNS、IPAM)解決方案,近年來發現駭客利用DNS服務弱點發動攻擊日漸增多,於是設計推出Advanced DNS Protection設備。透過Infoblox架設的Threat Rule Server,Advanced DNS Protection亦可自動更新近期最新研究與發現的DNS攻擊行為模式,在事發時降低影響內部應用系統服務的風險。


追蹤我們Featrue us

本站使用cookie及相關技術分析來改善使用者體驗。瞭解更多

我知道了!