歡迎大家前往騰訊雲+社區,獲取更多騰訊海量技術實踐干貨哦~
你在沙發上看世界杯,黑客在做什么?
深夜,當電視機屏幕上那個小小的足球牽動着億萬人的心弦時,猜一猜黑客在做什么?
黑客也沒閑着。
6月29日凌晨,無數球迷正放下小龍蝦、握緊啤酒杯,屏氣凝神觀看三獅軍團英格蘭鏖戰歐洲紅魔比利時。
就在這時,為成千上萬用戶提供域名解析服務的騰訊雲DNSPOD業務正在遭受超大流量DDoS攻擊,所幸,騰訊雲新一代高防系統成功防御。
首先我們需要明白的是,域名解析是個什么鬼?
域名解析,簡單來說,就是將某個著名地標轉換成實際地址,例如,說起“大褲衩”,域名解析之后就是“北京市朝陽區東三環中路32號”。再舉個栗子,比如網民們要訪問騰訊網看新聞,只要記住www.qq.com並在瀏覽器中輕輕鍵入這個地址,然后域名解析就會把www.qq.com轉換成騰訊網的服務器的IP地址。很明顯,www.qq.com比一堆數字組合成的IP地址好記很多,網友負責記住“qq.com”,域名解析負責來處理“qq.com”背后的一長串IP地址。
一旦域名解析系統出問題,大量的網絡請求就會不知道自己的歸宿,整個網絡世界就會陷入混亂。
2016年10月21日,美國域名解析服務商DYN遭受高達800G的大流量DDoS攻擊,導致半個美國斷網,包括Amazon, Twitter, Github, Spotify, Netflix, Etsy, Reddit在內的一大批知名站點都跪了,都跪了,跪了,了。
而本次針對騰訊雲DNSPOD系統的攻擊,峰值達到了560G,是16年那次引發半個美國斷網的攻擊峰值的7成,攻擊整整持續了近6個小時。依托於騰訊雲新一代高防系統的高達上T的強大防護能力,整個防護過程波瀾不驚。
誰該為這次事件負責?
本次攻擊,黑客綜合使用了包括DNS反射,ICMP大包攻擊,UDP分片攻擊,ICMP分片攻擊,SYN小包攻擊等在內的多種攻擊手法,而捕獲的攻擊流量來源多達148個國家,也就是全球超過2/3的國家的IP參與了本次攻擊,94%的IP來自中國以外的國家,簡直就是發生在cyber空間的世界大戰。
更為有趣的是,對捕獲的攻擊源的屬性進行分析后發現,94%的攻擊源之后居然是台路由器!!!
是的,你沒有看錯,是路由器。
通過分析,發現本次攻擊是由臭名昭著的"Hajime "僵屍網絡發起。具體說來,部分搭載了某東歐國家的出產的廣泛用於中小企業網絡的路由器操作系統“Mikrotik RouterOS”,因為遠程執行漏洞或者弱口令的緣故,成為了"Hajime "僵屍網絡的一部分。在今年3月,radware就曾報道,捕獲到1起該僵屍網絡發起的DDoS攻擊。
黑客的小心思
本次攻擊,黑客的主要目的就是通過構造大量攻擊流量,造成機房網絡擁塞,達到讓正常用戶無法訪問的目的。其中的DNS反射手法,放大效率高達50倍,看似簡單粗暴,其實黑客也動了不少小心思。
本次攻擊中,幾乎所有的DNS反射攻擊報文,都是針對db.org這個域名的應答報文。全球可用的域名數以億計,為何黑客對這個域名如此鍾愛?
在db.org的主頁上,可以看到這個域名開價2萬5千歐元。而根據360 Netlab的數據,在所有被濫用於DDoS反射攻擊的域名里,db.org這個域名排名第四。而且,近期的活躍程度在持續增加,估計不久的將來,成為第一也不一定。估計那時候,這個域名的售價,或許就不止2萬5千歐元了。
后記
正在騰訊雲新一代高防解決方案團隊分析數據的時候,收到一個客戶的求助電話。他的一台服務器被人黑了對外發起DDoS攻擊,而之前都是被人黑了種挖礦木馬的。就是這樣一通電話,讓騰訊雲新一代高防解決方案團隊發現了一個驚天秘密。
比特幣自今年年初以來,長期處於下跌通道。大量原本被用來挖礦的肉雞,因為挖礦變得無利可圖,開始跨界流動到DDoS攻擊者手中,成為發起攻擊的利器。騰訊雲新一代高防解決方案團隊願意為廣大互聯網企業提供高性能,大帶寬,高可靠性的抗DDoS服務,共同對抗DDoS攻擊這一網絡安全毒瘤。
問答
相關閱讀
此文已由作者授權騰訊雲+社區發布,原文鏈接:https://cloud.tencent.com/developer/article/1165485?fromSource=waitui
歡迎大家前往騰訊雲+社區或關注雲加社區微信公眾號(QcloudCommunity),第一時間獲取更多海量技術實踐干貨哦~
海量技術實踐經驗,盡在雲加社區!