注册 登录  
 加关注
   显示下一条  |  关闭
温馨提示!由于新浪微博认证机制调整,您的新浪微博帐号绑定已过期,请重新绑定!立即重新绑定新浪微博》  |  关闭

amei@纯真年代

感恩的心,知足者常乐!

 
 
 

日志

 
 

DNS怎么被这么多黑客琢磨着!  

2010-10-03 00:12:03|  分类: 工作小记 |  标签: |举报 |字号 订阅

  下载LOFTER 我的照片书  |

今年国庆,约了闺蜜在逛街,没想到刚开始逛街电话就来了,一看来电,网监来电!暗自嘀咕不妙!

果然,网监申告不少分公司有个别用户反映无法打开网页,但是QQ能上,网监自己测试都是好的。一听申告心里拔凉拔凉的:不是DNS又出啥问题了吧!NND黑客这么不放过我们,现在我们的防护已经还不错了啊,不至于这么轻易又出问题吧。一阵匆忙的思索之后,立即让网监做几个测试:1、找申告用户ping我们的DNS看通不通,2、如果ping的通就让用户改成我们的DNS看看能不能恢复,3、询问集团其他省有无类似问题。此外,联系同事立即查我们DNS自身看是否存在攻击等异常情况。经过前几次DNS问题处理,现在基本上一遇到DNS申告立即就进入戒备状态了。

很快网监来电:让用户改成我们的DNS后立刻能好;集团说也有其他省在申告,但都是很少量用户申告,申告量不大但是范围挺广。部门同事也来电:已经详细检查了一遍我们自己的DNS,没有发现任何异常情况。这真是有点让人摸不着头脑了!不管怎么样,如果有申告就先引导用户自己手工设DNS恢复业务吧!

后来查明,申告有问题的用户都有自架小型路由器的情况,这次故障和用户自己家的这个小路由器有关系,应该是可以判断为一次DNS劫持事件。

 

下面是08年的一个新闻,这次故障与之类似:

新木马可篡改路由器设定 监控网络流量

http://tech.sina.com.cn/s/2008-06-13/1733692703.shtml

据研究人员报告,一种被称之为“zlob”(又称dnschanger)的特洛伊木马病毒已经被发现,这种病毒可以攻击受害者的互联网路由器,并监控受害人的网络流量。

研究人员指出,当受害人自己的Windows系统被感染之后,zlob木马会尝试猜测路由器的用户名和密码组合,如果成功,此木马会改变受害者路由器的DNS,使所有的网络流量都可以被监控。

很早之前研究人员就警告说总有一天恶意软件会威胁到路由器产品,zlob则是首次被发现可以实现此功能的木马病毒。

研究人员目前已经截获了此病毒,在病毒中包括的几个文件引起了研究人员的注意:

“/index.asp”(一些Linksys路由器)

“dlink/hwiz.html”(D-link路由器)

“Wizard.htm”(多家路由器制造商使用,包括Linksys)

“Home.asp”(未知)

很明显,病毒在攻破了路由器之后会替换这些文件。研究人员通过对31个不同杀毒软件的测试表明,目前仅有11个防病毒产品可以检测到这款木马病毒。

这里想谈谈为什么以前没有怎么听说DNS安全事件,为什么近几年不断出现DNS安全问题,为什么黑客总盯着DNS而DNS也常常中招?

其实DNS有史以来就是非常脆弱的,使用的开源代码BIND,提供着域名解析如此重要和基础性的服务。近几年以来,DNS各类事件不断,时不时的成为互联网新闻的头版头条,519暴风影音事件,把全国的网络折腾了一大下,究其根本,其实不需要下多大功夫,甚至都算不上黑客行为,就导致了全国DNS如此大的连锁反应,这又是为什么呢?

519事件给我们运营商一个极其深刻的教训:不是别有用心者太强大,也不是我们能力太差,而是我们意识落伍了!我们的思维落在了互联网黑客产业链发展的后面。

之所以以前DNS平安无事,是因为它还没有成为这条产业链的重要元素,没有多少利用价值,黑客也就看不上眼。正是因为DNS稳定、没出什么问题,所以原本脆弱但又重要的DNS却成为了网络管理员忽视的环节。

这几年以来,IDC之间的互相争斗、游戏网站的互相PK、互联网产业链的快速延伸发展,众多曾经看来不起眼被忽略的地方,都成为了有利可图的元素,黑客们突然发现,原来为互联网提供基础解析业务的DNS可以这么轻易的被利用,成为他们手中的利器,推动他们黑客产业的蓬勃发展,而这些技术含量也无需多高的域名劫持、缓存投毒、FLOOD攻击也都纷纷出现,目标指向DNS,脆弱的DNS也就这样突然进入公众视野,成为了安全事件的主角。

不管怎么样,现在我们已经行动起来了,亡羊补牢,犹未晚矣!SOC建设已经很多年了,但是直到去年才被推到了全网重点工作上来,而我到了今年才深切认识到SOC究竟是怎么回事,这个认知时间是有点长,有一点晚了但是还来得及。经过几次事件,现在感受到SOC建设对于我们电信运营商来说,现在是一个多么急切的需求。科技日新月异,产业链快速渗透,不由得我们墨守陈规,黑客跑得比我们快,我们只有抓紧脚步,不断的去追。

安全的工作是永无止尽的,作为防御者,我们必须正确认识这样一句话:道高一尺魔高一丈。这句话听起来是有点让人泄气,但是大实话,这句话时刻提醒我们,安全工作永远不要过于自信,没有绝对的安全。虽然我们跑不过所有的黑客,更跑不过黑客的未来发展,但我们能做的却有很多很多。我们可以想办法紧紧跟着黑客的脚步,不断的和已知的黑客行为PK,努力的掌控我们认知范围内的事物,提高黑客的门槛,努力跑过大部分的黑客,让我们的网络和系统安全系数越来越高。

  评论这张
 
阅读(398)| 评论(0)
推荐 转载

历史上的今天

评论

<#--最新日志,群博日志--> <#--推荐日志--> <#--引用记录--> <#--博主推荐--> <#--随机阅读--> <#--首页推荐--> <#--历史上的今天--> <#--被推荐日志--> <#--上一篇,下一篇--> <#-- 热度 --> <#-- 网易新闻广告 --> <#--右边模块结构--> <#--评论模块结构--> <#--引用模块结构--> <#--博主发起的投票-->
 
 
 
 
 
 
 
 
 
 
 
 
 
 

页脚

网易公司版权所有 ©1997-2017