最新消息
近期發生台港壹傳媒遭駭客攻擊事故,促請會員提高警覺,注意防範
2014.06.30

 

  EC-CERT接獲外部情資,據了解近期香港與台灣壹傳媒網站於今年6月18日遭受駭客DDoS攻擊,導致業務無法正常提供服務;且6月19日也發生台灣法人機構疑似遭受DDoS攻擊,故請會員提高警覺。

 

  請會員配合協助觀察電子商務相關平台運作狀況,若發現相關流量異常情資請回饋EC-CERT。

 

※資安人報導

 

  蘋果日報日前遭到DDoS攻擊,造成網站無法正常運作。根據媒體報導,在攻擊尖峰時間最高流量達每秒20GB。資安專家指出此次攻擊手法亦為DNS反射/放大攻擊,近期特別常見透過DNS(域名服務)、NTP(校時服務)等基礎設備的弱點來發動的DDoS攻擊,且動輒產生上百GB的攻擊流量。

 

  DEVCORE執行長翁浩正指出,此次蘋果日報所遭受的攻擊亦為DNS反射/放大攻擊,此類攻擊因為最簡單、且最不吃資源,已成為近期攻擊者愛用的攻擊方式。DNS反射/放大攻擊是指有些組織的DNS主機錯誤設定為對外開放遞迴查詢服務,攻擊者於是指揮一群殭屍電腦偽冒為蘋果日報,在同一時間對這些主機發動DNS查詢,而這些主機回應的結果就是產生了巨大流量到蘋果日報,造成蘋果日報網站掛點。

 

  翁浩正表示這類的攻擊手法在國外已屢見不鮮,且攻擊流量動輒300GB~400GB,此次蘋果日報所遭受的攻擊流量並不算太高。黃繼民在此文也指出,要發動幾GB的攻擊流量並不困難,若以1:35的放大倍率來計算,攻擊者對一台開放遞迴查詢服務的DNS主機發送36 bytes的DNS查詢,其反射到攻擊目標的DNS回應約為1275 bytes;每秒100次的DNS查詢就可製造單機發動1.02MB攻擊量。若依此推算,此次造成蘋果日報瞬間20GB的流量,只要透過殭屍網路同時招換20,000台開放遞迴查詢服務的DNS主機即可產生。根據Black Lotus的2014 Q1威脅報告指出,在接下來的12~18個月,此種新型態的DrDoS(distributed reflect denial- of- service)攻擊可能產生超過800GB的流量。

 

  各單位應盡速檢查DNS主機,避免對外開放遞迴查詢服務,成為攻擊幫兇。而受攻擊的企業如蘋果日報,則應確保DNS的處理能力及高可用性,並可透過限縮(rate limit)減緩攻擊量。DNS安全值得企業關注,除了DNS DDoS之外,會導致企業內部網路資訊外洩的Zone Transfer問題也應盡速檢測。

 

【資料來源:2014/06/23 資安人╱作者張維君】