一个域名引发的血案……

你在沙发上看世界杯,黑客在做什么?

深夜,当电视机屏幕上那个小小的足球牵动着亿万人的心弦时,猜一猜黑客在做什么?

黑客也没闲着。

6月29日凌晨,无数球迷正放下小龙虾、握紧啤酒杯,屏气凝神观看三狮军团英格兰鏖战欧洲红魔比利时。

就在这时,为成千上万用户提供域名解析服务的腾讯云DNSPOD业务正在遭受超大流量DDoS攻击,所幸,腾讯云新一代高防系统成功防御。

首先我们需要明白的是,域名解析是个什么鬼?

域名解析,简单来说,就是将某个著名地标转换成实际地址,例如,说起“大裤衩”,域名解析之后就是“北京市朝阳区东三环中路32号”。再举个栗子,比如网民们要访问腾讯网看新闻,只要记住www.qq.com并在浏览器中轻轻键入这个地址,然后域名解析就会把www.qq.com转换成腾讯网的服务器的IP地址。很明显,www.qq.com比一堆数字组合成的IP地址好记很多,网友负责记住“qq.com”,域名解析负责来处理“qq.com”背后的一长串IP地址。

一旦域名解析系统出问题,大量的网络请求就会不知道自己的归宿,整个网络世界就会陷入混乱。

2016年10月21日,美国域名解析服务商DYN遭受高达800G的大流量DDoS攻击,导致半个美国断网,包括Amazon, Twitter, Github, Spotify, Netflix, Etsy, Reddit在内的一大批知名站点都跪了,都跪了,跪了,了。

而本次针对腾讯云DNSPOD系统的攻击,峰值达到了560G,是16年那次引发半个美国断网的攻击峰值的7成,攻击整整持续了近6个小时。依托于腾讯云新一代高防系统的高达上T的强大防护能力,整个防护过程波澜不惊。

谁该为这次事件负责?

本次攻击,黑客综合使用了包括DNS反射,ICMP大包攻击,UDP分片攻击,ICMP分片攻击,SYN小包攻击等在内的多种攻击手法,而捕获的攻击流量来源多达148个国家,也就是全球超过2/3的国家的IP参与了本次攻击,94%的IP来自中国以外的国家,简直就是发生在cyber空间的世界大战。

更为有趣的是,对捕获的攻击源的属性进行分析后发现,94%的攻击源之后居然是台路由器!!!

是的,你没有看错,是路由器。

通过分析,发现本次攻击是由臭名昭著的"Hajime "僵尸网络发起。具体说来,部分搭载了某东欧国家的出产的广泛用于中小企业网络的路由器操作系统“Mikrotik RouterOS”,因为远程执行漏洞或者弱口令的缘故,成为了"Hajime "僵尸网络的一部分。在今年3月,radware就曾报道,捕获到1起该僵尸网络发起的DDoS攻击。

黑客的小心思

本次攻击,黑客的主要目的就是通过构造大量攻击流量,造成机房网络拥塞,达到让正常用户无法访问的目的。其中的DNS反射手法,放大效率高达50倍,看似简单粗暴,其实黑客也动了不少小心思。

本次攻击中,几乎所有的DNS反射攻击报文,都是针对db.org这个域名的应答报文。全球可用的域名数以亿计,为何黑客对这个域名如此钟爱?

在db.org的主页上,可以看到这个域名开价2万5千欧元。而根据360 Netlab的数据,在所有被滥用于DDoS反射攻击的域名里,db.org这个域名排名第四。而且,近期的活跃程度在持续增加,估计不久的将来,成为第一也不一定。估计那时候,这个域名的售价,或许就不止2万5千欧元了。

后记

正在腾讯云新一代高防解决方案团队分析数据的时候,收到一个客户的求助电话。他的一台服务器被人黑了对外发起DDoS攻击,而之前都是被人黑了种挖矿木马的。就是这样一通电话,让腾讯云新一代高防解决方案团队发现了一个惊天秘密。

比特币自今年年初以来,长期处于下跌通道。大量原本被用来挖矿的肉鸡,因为挖矿变得无利可图,开始跨界流动到DDoS攻击者手中,成为发起攻击的利器。腾讯云新一代高防解决方案团队愿意为广大互联网企业提供高性能,大带宽,高可靠性的抗DDoS服务,共同对抗DDoS攻击这一网络安全毒瘤。

原创声明,本文系作者授权云+社区发表,未经许可,不得转载。

如有侵权,请联系 yunjia_community@tencent.com 删除。

编辑于

我来说两句

0 条评论
登录 后参与评论

相关文章

来自专栏域名资讯

DN榜:最近3个域名成交金额均达到六位数美金

在新一期的DN榜中,有三枚域名达到六位数美金,分别是域名“音乐”Music.ai、“加密世界”CryptoWorld.com、“超自然”Super...

2295
来自专栏域名资讯

劲爆消息!中国投资人拿下“金币”jb.com

劲爆消息!劲爆消息!一金币域名jb.com漂洋过海,被中国投资人拿下!

22610
来自专栏域名资讯

上市公司*ST华泽官网打不开,域名已被挂出售卖

深交所主板上市公司*ST华泽(000693,SZ)的官网已打不开,公司称因欠费遭暂停。

2247
来自专栏FreeBuf

2017年上半年重大黑客事件盘点

在过去的2016年,发生了许多大规模和令人震惊的网络攻击事件。正如我们所预料的,2017年我们将面对更严峻的安全挑战!下面让我们共同回顾下截至当前,网络上所发生...

3117
来自专栏SAP最佳业务实践

SAP最佳业务实践:FI–应收帐款(157)-12银行对帐-主数据

4.13 手动银行对帐单 银行可从客户帐户贷记托收、直接借记、存入支票和银行转帐到您的帐户。考虑到目前的情况,一些未清项目已通过自动付款和支票存款方式清算。...

3599
来自专栏FreeBuf

京东千万条账户数据泄露?京东回应称系2013年的漏洞所致

昨天晚间,来自网络媒体一本财经的消息,12GB京东账户数据在暗网流通,数据多达数千万条。据说本次泄露的账户数据包括了用户名、密码、邮箱地址、QQ号、电话号码、身...

2975
来自专栏FreeBuf

安全奥斯卡(Pwnie Awards 2016)获奖名单

这是一场有关“精彩极了”和“糟糕透了”的安全评选活动,历经10年的安全界奥斯卡这一次又会为我们呈现怎样的精彩… ? 关于Pwnie Awards “Pwnie ...

2746
来自专栏安恒信息

间谍软件商被黑 40GB源码泄露

上周,有黑客声称入侵了Gamma Group的内网,获取了多达40GB的内部文档和恶意程序源代码。其中就包括了finfisher的代码及文档。finfis...

3557
来自专栏FreeBuf

2018年上半年物联网恶意活动&僵尸网络数据摘要

在F5实验室最新发布的物联网安全报告中,分析了2018年1月至6月期间全球物联网(IoT)设备受攻击的数据,涵盖物联网设备使用的主流服务和20个端口的分析数据。

1424
来自专栏玄魂工作室

安全快讯合集

3. DEF CON 2018 | macOS零日漏洞可模拟鼠标点击以加载内核扩展

751

扫码关注云+社区

领取腾讯云代金券