叙利亚电子部队用什么方法黑掉Twitter ?
本周二《纽约时报》和Twitter英国的部分用户无法访问网站,此外赫芬顿邮报网站也遭受了攻击。 《纽约时报》CIO马克·弗朗斯(Marc Frons)本周二向员工发布声明称,此次攻击源于“叙利亚电子战部队或其他努力扮作他们的组织”。而所谓的叙利亚电子战部队——SEA(Syrian Electronic Army),是一个支持叙利亚前总统阿萨德领导的黑客组织。
与流行的DDoS拒绝服务攻击不同,SEA攻击Twitter和纽约时报的方法有些特别,那就是通过修改域名注册系统的DNS地址来劫持网站。
关于DNS攻击的方法,云DNS服务商Dyn的首席技术官Cory von Wallentein接受媒体采访时表示,企业们之所以采用类似Dyn这样的云DNS服务来绕过ISP提供的普通DNS服务器,就是为了提高网站访问速度和安全性。
Wallentein指出,针对DNS主要有三种攻击方法,第一种是“cache投毒”攻击:
在这种攻击方法中,黑客会试图向ISP常用的递归DNS服务器的DNS数据中注入恶意DNS数据。从网络拓扑的角度看,这些DNS服务器通常距离用户最近,因此攻击影响的通常是服务器就近的访客。
DNSSEC这样的标准能够帮助防止“cache投毒”类攻击,但叙利亚电子军用的并不是这种方法。
第二种DNS攻击方法是劫持某个域名的一个或多个授权DNS服务器并修改DNS数据。但Wallenstesin认为,如果攻击者能够搞定授权DNS服务器,将能影响到全球范围,而且要绕过Dyn或OpenDNS这样的安全防范严密,经受过反社交工程培训的专业DNS服务企业,因此这第二种DNS攻击手法也不是叙利亚电子军攻击Twitter和《纽约时报》采用的攻击手法。
第三种DNS攻击方法,同时也是叙利亚电子军采用的方法,就是攻入域名注册商的系统,修改授权DNS服务器的指向地址。这恐怕也是最难恢复的攻击之一。众所周知,在域名管理界面指向授权DNS服务器可以瞬间生效,但是回滚操作因为DNS服务器会缓存信息,往往需要一整天时间,除非管理员手动清除缓存数据。
《纽约时报》周二表示,针对该网站的攻击是通过其域名注册商Melbourne IT展开的。Melbourne IT早在2009年就开始管理Twitter的域名,该公司2008年收购VeriSign时获得了后者的高端DNS业务。
有趣的是,《纽约时报》和Twitter的域名服务器似乎都是通过Melbourne IT注册的,所以有人怀疑,是该域名注册商的漏洞让黑客可以改变域名服务器,漏洞可能源自管理员账号。这也可以解释此次攻击为何会影响多家公司。
虽然业界纷传Melbourne IT很可能遭受了社交工程攻击,但OpenDNS的首席执行官David Ulevitch认为,MelbourneIT遭受攻击毫无疑问,但被修改DNS信息的网站太多,不太可能是社交工程手法所为。
对于Twitter、纽约时报和赫芬顿邮报这样的大型媒体来说,ISP通常会注意到攻击并及时清理DNS服务器缓存,但是如果是小型网站遭受第三类DNS攻击,往往需要一天甚至更长的时间才能恢复。让人哭笑不得的是,上次《纽约时报》DNS解析出现问题时,采用了在Twitter上发布网站IP地址的应急措施,这次,纽约时报在Twitter上发布了一个移动新闻源子站。
第一时间获取面向IT决策者的独家深度资讯,敬请关注IT经理网微信号:ctociocom
除非注明,本站文章均为原创或编译,未经许可严禁转载。
相关文章: