前几天我们发表了关于2016信息安全发展趋势的文章,其中就有对于ddos相关攻击的内容。
而就在2016年10月22日,美国当地时间的早上7:00,我们见证了互联网建立有史以来的最大ddos攻击,twitter、netflix、paypal、reddit、pinterest、cnn、whatsapp、亚马逊云服务、最大的编程合作网站github、纽约日报等统统挂掉。虽然现在修复工作仍在紧急进行中,但是造成这种广域范围的影响,让人不得不想到过去一万二千年前传说中那场灭世的大洪水。让我们慢慢还原此次事件的过程。
据外国媒体报道,这次的核心受害者是一家位于New-hampshire的dns服务商, Dyn. 我们知道人们习惯记忆域名,但机器间互相只认IP地址,域名与IP地址之间是多对一的关系,一个ip地址不一定只对应一个域名,且一个域名只可以对应一个ip地址,它们之间的转换工作称为域名解析,域名解析需要由专门的域名解析服务器来完成,整个过程是自动进行的。而提供域名解析服务的正是dns服务商,如果dns服务商域名解析环节出现障碍的话,这意味着我们将无法通过域名解析接入到目标网页,Things We Lost in the NET。
我们上面说了,本次攻击者使用的是DDOS攻击,即distributed denial of service"攻击,是一种通过大流量的垃圾访问迅速造成网络带宽堵塞,从而使得网站瘫痪。目前针对这种简单粗暴的攻击方式的防御手段非常少,有也只是正面的流量清洗与流量对冲等防御手段=》大概可以类比为发洪水时用伞去挡……世界第一黑客组织匿名者曾用过DDOS的手法瘫痪过FBI,SONY和FACEBOOK等网站。然而,这次的黑客巧妙地绕过了直接攻击网站的方式,而是攻击DNS的服务商的方式发起DDOS。
攻击的当时数亿万计的IP地址向Dyn的系统攻来,此次攻击就好比把一个国家的高速系统里所含有的路标导向全部被扫荡一空。相关安全机构称,此次攻击是非常复杂且成熟的手段,攻击仍在继续。这是教科书一般的DDOS攻击。
Dyn提供DNS服务,可以看成是通往访问这些网站的一条主干道,而受到DDOS攻击,则会使他提供服务的网站都受到影响,而事实上,这种针对数字域名的DDOS使得这些网站全部瘫痪了。不得不说,攻击者实在是使用了非常先进的信息安全攻击思想,利用了不大的资源即造成横扫美国网络的DDOS洪水攻击,真正做到了射人先射马,打蛇打七寸。
图为本次受到网络攻击的地区,近半个美国沉浸在网络洪水之中。而身处GFW中的我们没有受到影响。这次洪水事件给我们不少启示,咳咳,那边那个DNS供应商!快搞好防御这种攻击的手段啊!
目前事件真相还在调查之中,请关注我们的微信,了解后续报道
长按二维码识别马上进入具有防御DDOS攻击的,整合云WAF功能的安犬漏洞扫描云平台。
附录:本次受影响的网站
ActBlue
Basecamp
Big cartel
Box
Business Insider
CNN
Cleveland.com
Etsy
Github
Grubhub
Guardian.co.uk
HBO Now
Iheart.com (iHeartRadio)
Imgur
Intercom
Intercom.com
Okta
PayPal
People.com
Playstation Network
Recode
Seamless
Spotify
Squarespace Customer Sites
Starbucks rewards/gift cards
Storify.com
The Verge
Twillo
Urbandictionary.com (lol)
Weebly
Wired.com
Wix Customer Sites
Yammer
Yelp
Zendesk.com
Zoho CRM
Credit Karma
Eventbrite
Netflix
NHL.com
Fox News
Disqus
Shopify
Soundcloud
Atom.io
Ancersty.com
ConstantContact
Indeed.com
New York Times
Weather.com
WSJ.com
time.com
xbox.com
dailynews.com
Wikia
donorschoose.org
Wufoo.com
Genonebiology.com
BBC
Elder Scrolls Online
Eve Online
PagerDuty
Kayak
youneedabudget.com
Speed Test
Freshbooks
Braintree
Blue Host
Qualtrics
SBNation
Salsify.com
Zillow.com
nimbleschedule.com
Vox.com
Livestream.com
IndieGoGo
Fortune
CNBC.com
FT.com
Survey Monkey
Paragon Game
Runescape
文章转载自微信公众号“柯力士信息安全”
