国家首届网络信息安全宣传周才刚刚过去, 12月10日就爆发了国内今年规模最大的针对运营商DNS网络的恶性DDoS攻击事件。攻击正在发生,后续可能有很多变化,先来分析一下,截至目前发生的事情。
攻击背景:
从12月10日凌晨开始,现网监控到攻击流量突增的情况,到上午11点开始,攻击开始活跃,多个省份不断出现网页访问缓慢,甚至无法打开等故障现象。下图是某省运营商的流量监控截图,从图中可看出正常访问流量都在百兆以内,高峰时竟然出现了高达6G的攻击混合流量,对DNS网络的冲击可想而知。
经过分析样本发现,12月10日的攻击主要是针对多个域名(包括arkhamnetwork.org、arkhamnetwork.com、getfastinstagramfollowers.net)的随机查询攻击;11日凌晨攻击出现变种,出现针对其他域名的攻击,攻击源主要来自各省内。攻击者不仅在短暂的时间内发起了峰值大于6G bps的查询请求(全国范围内大于100G的攻击),而且连续的变换二级域名,造成各省的DNS递归服务器延迟增大,核心解析业务受到严重影响。
,这次攻击发起的方式有两种可能:一是攻击者控制了大量被攻击省内的肉鸡;二是利用攻击工具模拟被攻击省份的内网IP。向DNS的递归节点发起随机域名Flood,由于二级域名随机,且在递归服务器的缓存中并不存在,递归服务器需要不断的迭代去查询最终的结果,从而能进一步加剧了递归服务器的负载,造成服务器性能耗尽。
攻击者调用大量肉鸡发起针对多个域名的随机查询攻击,由于本地DNS服务器上没有相应的记录,需要向外递归查询,极大的消耗了服务器性能。
本次攻击仍在继续,攻击的动机不明确,所以暂时不能从根源处彻底解决问题。网络的运维人员只能见招拆招,灵活应对。
在防护工具的选择上,建议用具备专业DDoS防护能力的专业设备。因为基础的网络安全设备(FW、IPS等)不具备精准识别此类攻击的能力,而且他们在攻击过程中,本身就是脆弱的,极易成为第一块倒下的多米诺骨牌;其次设备的处理性能要高,本次攻击从目前监测到的数据看,峰值流量已经接近10G,要求防护设备具备高性能的特点。
在具体部署中,建议旁路部署,借助灵活的路由策略可实现清洗能力的共享。清洗能力可轻松覆盖全省,不留死角。
最后,在应急响应支持团队的支持中,要联系应急支持服务经验丰富的团队,以免造成大面积断网。
绿盟科技攻防团队在监控到攻击发生后,立即启动应急处理流程,截至目前,协助处理的各省的DDoS攻击现象均已得到有效控制。