分布式拒绝服务(DDoS)在过去几天抨击域名管理和DNS托管服务中的至少三家提供商的DNS服务器可能被相关的攻击。
周一,DNSimple、easyDNS和TPP都报告称DNS服务出现临时中断和退化,原因是DDoS攻击。有些袭击发生在几天前,目前仍在进行中。
[ 案例分析:在线博彩公司志不求生存与DDoS攻击的战斗]
TPP批发,总部位于悉尼的Netregistry的子公司,澳大利亚最大的虚拟主机,域名管理等在线服务的供应商之一,提醒客户通过其在周一的网站,它的DNS服务器八个经历了“计划的服务中断。”
Netregistry Group的安全团队在一份声明中表示,在过去几天里,TPP批发公司的DNS名称服务器遭遇了一系列DDoS攻击博客。该公司设法减轻,通过采取限速DNS查询的“激烈的一步”造成的服务中断整个周一的DDoS攻击,球队说。
这种激进的过滤很容易出现误报,并可能导致一些客户被拒绝DNS服务。“在接下来的几天里,我们将继续把这些误报的信息列入白名单,”研究小组说。
EasyDNS,总部设在多伦多的一个DNS托管服务提供商,由一个DDoS攻击也报道DNS服务中断攻击在周一。
该公司首席执行官马克·杰夫托维克周一在新闻发布会上说:“这看起来像是昨天的小型DDoS的放大版,可能只是试运行。博客。“这DDoS攻击是从我们以前的不同,它看起来好像目标我们,easyDNS,我们的客户一个也没有。”
Jeftovic说,很难区分真正的流量和DDoS流量,但公司设法部分缓解了攻击解决方法公布为受影响的客户。“这是DNS提供商的‘噩梦’,因为它是不反对,我们可以隔离和减轻特定的域,但它是针对easyDNS本身,它是相当不错的构造,”他说。
Aetrion,总部设在马拉巴,佛罗里达州,名为经营一个DNSimple DNS托管服务,这也遭到攻击,周一。据DNSimple创始人安东尼·艾登,DDoS攻击是持续的,但该公司设法减轻它。
“我们的权威名称服务器被用作攻击第三方网络的扩大器,”Eden周二通过电子邮件表示。“攻击者对我们DNS服务管理的各种域名进行了大量‘任何’查询,目的是将这些小查询放大为针对特定网络的大响应。”
这种攻击技术被称为DNS反射或DNS扩增。为了从大量的计算机到DNS服务器来触发长回应接触到这些服务器很短的内发送到受害者的IP地址 - 通常是受害人的地址 - 它涉及一个欺骗性的源IP(互联网协议)地址发送查询时间窗口。如果使用了足够的电脑和DNS服务器,所产生的流氓DNS流量将耗尽受害者的可用互联网带宽。
DNS反射技术已经存在很长时间了。不过,它最近使用推出DDoS攻击规模空前, 喜欢在一个三月攻击的目标是一个名为Spamhaus的垃圾邮件打击组织,这可能重新激起了攻击者的兴趣。
Eden表示,DNSimple周一遭受的攻击在数量和持续时间上都明显大于过去对该公司服务器的其他攻击。
他认为,这次袭击与由easyDNS和TPP批发经历的人。“关于TPP批发的博客中显示的模式类似于我们所看到的,我们已经与easyDNS沟通,并找到攻击之间的相似之处。”
EasyDNS和TPP Wholesale没有立即回应有关最近针对其服务器的攻击的更多信息,以及有关它们正在使用DNS反射技术的确认。
这有可能是由其他公司运营的DNS服务器也受到这种攻击,Eden表示。“A DNS提供商将有显著较高的客户,因此,因为它影响较大的一群人攻击得到多少注意早,”他说。
Eden表示,DNSimple的权威名称服务器被用来放大针对名为Sharktech的服务器托管公司或其客户的DDoS攻击。
Sharktech已经注意到的滥用报告在过去24小时内从互联网服务供应商来和托管出现从Sharktech发起企业抱怨对他们的DNS服务器的DDoS攻击的激增,说添Timrawi,Sharktech的总裁兼首席执行官,通过电子邮件。经进一步调查,公司确定这些报告实际上是对自己的客户是滥用了这些公司的权威DNS服务器一个DNS放大攻击的结果,他说。
大多数受影响的DNS服务器进行了适当的保护,并正在查询了他们负责的域,Timrawi说。“中,攻击者使用的开放递归DNS服务器,在这一个不同于以往的DNS放大攻击,攻击者正在收集所有的DNS服务器,他们可以找到并使用伪造发送MX(和其他类型的查询),以他们的域名记录目标主机的来源,”他说。
放大的DDoS攻击目标Sharktech客户比40Gbps的大,Timrawi说。“我们不知道的攻击背后的原因,”他说。
DDoS缓解供应商Arbor Networks销售工程和运营副总裁Carlos Morales表示,在DNS反射攻击中滥用权威名称服务器并不常见,因为攻击者需要知道每个被滥用服务器的确切域名。他说,获取这些信息并不难,但与滥用开放的DNS解析器相比,确实需要额外的工作,而且攻击者通常倾向于使用最容易的路径来达到他们的目标。
打开DNS解析器是递归DNS服务器,配置为接受来自互联网上任何计算机的查询。它们充当用户和权威DNS服务器之间的中继;他们接收任何域名的查询,找到负责该域名的权威域名服务器,然后将从该服务器获得的信息传回给用户。
与此同时,权威域名服务器,如DNSimple、easyDNS、TPP Wholesale等,只对其所服务的域名进行查询。
瞄准这些服务器所需要的额外的工作表明,这些DNS托管服务提供商最近的袭击背后的攻击者充分的准备,并提前做了功课,莫拉莱斯说。
针对这种攻击的一个缓解措施是配置DNS服务器软件,强制通过UDP(用户数据报协议)发送的所有“任何”查询通过TCP(传输控制协议)重新发送,Eden说。这可以通过发送一个设置了TC位和一个空应答部分的UDP响应来完成。合法的DNS客户端将通过TCP重试,而虚假客户端将得不到任何好处,他说。
莫拉莱斯说,在开放解析器的情况下,这个问题可以通过限制其IP地址允许它们进行查询得到缓解。例如,ISP经营DNS解析为它的客户可以限制其使用来自其网络唯一的IP地址,他说。
然而,这类缓解不适用于权威域名服务器,因为任何人在互联网上想要获得他们所提供的特定域名的信息时,都会对他们进行查询,Morales说。Eden描述的缓解效果非常好,实际上Arbor也使用它来保护权威名称服务器,他说。他说,另一个缓解措施是对源IP地址实施查询速率限制。