EC-CERT接獲外部情資，據了解近期香港與台灣壹傳媒網站於今年6月18日遭受駭客DDoS攻擊，導致業務無法正常提供服務；且6月19日也發生台灣法人機構疑似遭受DDoS攻擊，故請會員提高警覺。

　　請會員配合協助觀察電子商務相關平台運作狀況，若發現相關流量異常情資請回饋EC-CERT。

※資安人報導

　　蘋果日報日前遭到DDoS攻擊，造成網站無法正常運作。根據媒體報導，在攻擊尖峰時間最高流量達每秒20GB。資安專家指出此次攻擊手法亦為DNS反射/放大攻擊，近期特別常見透過DNS（域名服務）、NTP（校時服務）等基礎設備的弱點來發動的DDoS攻擊，且動輒產生上百GB的攻擊流量。

　　DEVCORE執行長翁浩正指出，此次蘋果日報所遭受的攻擊亦為DNS反射/放大攻擊，此類攻擊因為最簡單、且最不吃資源，已成為近期攻擊者愛用的攻擊方式。DNS反射/放大攻擊是指有些組織的DNS主機錯誤設定為對外開放遞迴查詢服務，攻擊者於是指揮一群殭屍電腦偽冒為蘋果日報，在同一時間對這些主機發動DNS查詢，而這些主機回應的結果就是產生了巨大流量到蘋果日報，造成蘋果日報網站掛點。

　　翁浩正表示這類的攻擊手法在國外已屢見不鮮，且攻擊流量動輒300GB~400GB，此次蘋果日報所遭受的攻擊流量並不算太高。黃繼民在此文也指出，要發動幾GB的攻擊流量並不困難，若以1:35的放大倍率來計算，攻擊者對一台開放遞迴查詢服務的DNS主機發送36 bytes的DNS查詢，其反射到攻擊目標的DNS回應約為1275 bytes；每秒100次的DNS查詢就可製造單機發動1.02MB攻擊量。若依此推算，此次造成蘋果日報瞬間20GB的流量，只要透過殭屍網路同時招換20,000台開放遞迴查詢服務的DNS主機即可產生。根據Black Lotus的2014 Q1威脅報告指出，在接下來的12~18個月，此種新型態的DrDoS（distributed reflect denial- of- service）攻擊可能產生超過800GB的流量。

　　各單位應盡速檢查DNS主機，避免對外開放遞迴查詢服務，成為攻擊幫兇。而受攻擊的企業如蘋果日報，則應確保DNS的處理能力及高可用性，並可透過限縮（rate limit）減緩攻擊量。DNS安全值得企業關注，除了DNS DDoS之外，會導致企業內部網路資訊外洩的Zone Transfer問題也應盡速檢測。

【資料來源：2014/06/23 資安人╱作者張維君】