站長俱樂部:站长论坛


返回   站長俱樂部:站长论坛 > 電腦與網路軟硬體綜合討論 > 電腦與網路相關新聞
Blog 論壇幫助 社區 日曆事件 今日新文章 搜尋

 
 
主題工具 顯示模式
  #1  
舊 2006-03-27, 07:42 PM
哈啦 的頭像
哈啦 哈啦 目前離線
論壇管理員
 
註冊日期: 2005-12-25
文章: 2,892
Blog 文章: 1
預設 DNS伺服器成為駭客的幫兇

CNET新聞專區:Joris Evers 27/3/2006
原文網址 : http://taiwan.cnet.com/news/comms/0,...0105227,00.htm

網路罪犯最近翻新分散式阻斷服務(DDOS)攻擊的手法,開始用形同網際網路黃頁的域名系統伺服器來發動攻擊,擾亂線上商務。

VeriSign上周表示,今年初發現該公司系統承受的攻擊規模甚於以往,而且來源不是被綁架的「殭屍」(bot)電腦,而是出自於域名系統(DNS)伺服器。

安全研究員Dan Kaminsky說:「DNS已成為DDOS重要的一環。門檻已降低了。人們現在可憑更少的資源,發動可能極具破壞力的攻擊。」

一旦成為DDOS攻擊的箭靶,目標系統不論是網頁伺服器、域名伺服器或電子郵件伺服器,都會被網路上四面八方的系統所傳來的巨量資料給淹沒。駭客的用意是藉大量垃圾訊息妨礙系統正常的資料處理,藉此切斷攻擊目標對外的連線。

以往,這類攻擊是青少年閒得無聊時的傑作,圖得只是看網站掛掉的那種快感。但如今,DDOS攻擊常被歹徒拿來當作勒索網路公司的武器,賭博網站和成人娛樂網站尤其首當其衝。

不同於被綁架的殭屍電腦,DNS伺服器是合法的網路良民,其作用是把文字型網域名稱(例如www.webmasterclub.org )轉換成相對應的數字型網際網路協定(IP)位址,以引導使用者上他們想到的網站。

現在,駭客常用殭屍電腦連成的網路(botnet),把大量的查詢要求傳至開放的DNS伺服器。這些查詢訊息會假造得像是被巨量訊息攻擊的目標所傳出的,因此DNS伺服器會把回應訊息傳到那個網址。

駭客用DNS伺服器來發動攻擊有多重好處,可隱匿自己的系統,讓受害者難以追查攻擊的原始來源,更可讓攻擊效果加倍。Baylor大學資訊系教授Randal Vaughn說,單一的DNS查詢,可啟動比原始查詢大73倍的回應。

DNS發明人兼Nominum公司首席科學家Paul Mockapetris打個比方說,若你企圖讓垃圾郵件塞爆某人的信箱,基本的方法就是寄很多信到該地址,但你必須費很多時間寫信,而且發信來源追查得出來。

Mockapetris說:「更好的方法,是寄出雜誌裡常見的那種廣告回函卡,勾選各種想索取的資料,然後把回信地址填上目標信箱,就會讓那個信箱爆掉,同時消除與你有關的連結。」他說,用DNS伺服器發動DDOS攻擊,就是運用這種原理。

但如果攔阻一台DNS伺服器對外的連線,可能造成合法使用者無法傳電子郵件或瀏覽某網站。問題出在所謂的「遞迴域名服務」 (recursive name service)伺服器,是開放給網路上任何人查詢的DNS伺服器,估計數量從60萬台到560萬台不等。

Mockapetris說:「使用這些開放伺服器的人士,必須好自為之。不論知不知情,或是否怠惰,他們現在已成為這類攻擊的幫兇。他們是網際網路上的傷寒瑪麗。」

專家建議,要保護自家系統,企業可解除DNS伺服器中允許人人查詢網址的遞迴(recursive)功能,轉而調整伺服器設定,只對內部人士開放遞迴功能。目前使用DNS伺服器者包括網際網路服務供應商(ISP)以及企業和個人。(唐慧文)
__________________
A.一文請勿多貼。
B.請選擇相關屬性的版面發文。
C.各類廣告有專版,請勿隨意發至不相干之版面。
----------------------------------------------
發佈您網站的新聞請到 What's New 新聞發佈網來。
回覆時引用此篇文章
 

書籤


發文規則
不可以發表新主題
不可以發表回覆
不可以上傳附件
不可以編輯自己的文章

啟用 BB 代碼
論壇啟用 表情符號
論壇啟用 [IMG] 代碼
論壇禁用 HTML 代碼

論壇跳轉

 

所有時間均為 +8。現在的時間是 11:46 AM


本站主機由網易虛擬主機代管
Powered by vBulletin® 版本 3.8.4
版權所有 ©2000 - 2024,Jelsoft Enterprises Ltd.