日前,全国范围内发生了DNS递归反射攻击,各家运营商均遭受了严重的网络攻击。此次攻击的复杂性和深度引起业内极大关注。12月10日上午,黑客采用拒绝服务攻击和信息炸弹多次轮番进行非破坏性攻击,部分省份出现了DNS查询成功率下降、链路拥塞等情况,“双12”当天,黑客攻击流量峰值为日均值的20倍。
非破坏性攻击作为攻击者,首先需要通过黑客手段使用互联网僵尸网络内的大量肉鸡,向运营商DNS发起伪造域名的递归请求,由于该域名不断变化,且根本无法解析(因为互联网上不存在该域名),使得DNS服务器不断向权威服务器发起递归请求“疲于奔命”,服务器递归请求队列被占满,正常用户的请求无法得到响应。其次,攻击者使用递归反射的方式,利用运营商DNS放大攻击流量,对互联网上的权威DNS服务器进行攻击,试图使其丧失对外提供服务的能力。这种方式攻击的威力巨大,顷刻之间就可以使被攻击目标带宽资源耗尽,导致DNS服务器瘫痪,用户无法打开网站,或无法使用有域名的App等。据了解,目前全国电信运营商均受到了不同程度的攻击,造成部分地区用户打开网页缓慢甚至不能打开,某省电信DNS服务器已经无法远程连接进行管理。
对此,重庆移动在互联网管理中首先采用清洗攻击流量布防和业务监控的方式,不仅在第一时间通过网络探针和监控发现攻击,同时在预警后,在DNS系统前端取消防火墙,使用三层交换机和ACL进行安全保护,避免防火墙成为系统瓶颈,进一步减少了攻击流量对DNS系统的威胁。其次,采用抓包分析,找到关键字,使用流量清洗设备过滤,使DNS系统立即恢复了正常,成功化解了攻击。随后攻击者改变关键字再次攻击,重庆移动同样采用网络安全布防,很快将异常流量过滤,未给攻击者留有一点可乘之机。
记者了解到,对于各种黑客攻击,主要攻击漏洞是在硬件、软件、协议的具体实现或系统安全策略上存在的缺陷。网络安全漏洞可使攻击者能够在未授权的情况下访问或破坏系统。这关乎四个方面,一是计算机网络协议本身的缺陷,二是系统开发的缺陷,三是系统配置不当,四是系统安全管理的问题。对于快速增长的软件复杂性和黑客大量的攻击,拥有一批训练有素的安全技术人员和不断完善的系统安全策略配置就显得格外重要。只有增加网络安全策略系数和增强安全技术人员的能力,才能使得系统免于被攻击。
目前,重庆移动已经对DNS系统进行了保护。首先,在DNS四期工程中布防了流量清洗系统,设计规格能够满足对现有系统攻击流量的清洗。即使攻击流量峰值达到了1.3G,系统仍然能正常工作。其次,重庆移动在DNS四期时已将DNS系统纳入监控,对解析成功率、解析时延等指标全天候监控,并实时告警;使用核心探针系统,也能全天候对DNS系统进行拨测,一旦发现解析失败,将实时告警。最后,针对DDOS攻击,不定时进行自行攻防演练,提高反应速度。
在本次全国范围内的大型攻击中,重庆移动快速抗击攻击的能力得到中国移动集团公司的重视,重庆移动安全专家也积极支援其他省市公司对抗攻击,及时通过飞信、QQ、手机等方式,对被攻击的兄弟省市公司进行了协助支撑,帮助他们完成了攻击流量清洗,将优秀的经验进行传递。重庆移动传输中心安全专家胡梦飞还赶赴江西进行现场支援。由于重庆移动及时有效的网络布放,“双12”当天流量峰值达380M,但网络布放严密,在核心探针和数据网管告警后,公司很快将异常流量过滤,CMNET DNS解析成功率上升,被攻击期间无用户投诉。