Anonymous攻击DNS服务器的武器有哪些？(1)(4)

  有什么能做的吗?

重新使用Smurf

在某些方面，DNS放大攻击类似于“smurf”拒绝服务攻击，在上世纪90年代更常见。“Smurf”攻击用伪造地址的封包——带有互联网控制报文协议(ICMP)广播ping请求。但是“smurf”攻击可以通过设置路由器和电脑系统而停止。只要把它们设置成不应答广播或ping请求即可，并且不要这些发送给其他系统。

但是DNS放大攻击更狡猾。在与Ars的电子邮件采访时，Vaughan说，伪造的报头在可预见的未来仍是一个问题。互联网工程任务组提出一个方法，用来“入口过滤”数据包，被称为BCP 38，它将阻止像DNS放大攻击这样的伪造流量。但这一提议自2000年首次提出以来一直没有进展。

“BCP 38在未来十年不会实施”，Vaughan说，“除非其他压力导致紧急情况采取这项措施。”

对付DNS放大的最佳措施是需要在DNS服务器端着手——但那通常在目标控制之外。DNS服务器可以被设置成不回应“.”查询或者作出简短回应，两者都能减少或消除放大问题。DNS服务器的管理员也可以尝试限制授权用户的DNS请求，或者限制他们通过UDP接收请求的数量。但在性能上有取舍，而且做这些事情是域名服务器管理员工作之外的事。

操作全球巨人

考虑到最近由在巴基斯坦自称为Anonymous成员的一人发布的一个文档之后，DNS放大攻击的浮现。文档中扬言“Operation Global Blackout”，一项对互联网根DNS服务器发起的攻击。攻击的计划是对一个预先备好的清单上的递归DNS服务器使用大量DNS请求，用“伪造的”IP地址使之看上去好像它们是由根服务器发出的;这次攻击被描述为针对整个DNS体系，让整个网络彻底瘫痪。

这其中的原因之一是“任播法”——一种路由修改方法，允许同一DNS服务器上的多个版本表面上驻留在相同的IP地址上，使流量路由到最近的系统。由于攻击者只关注每个根服务器的IP地址，它们将被路由到由初始机器开始跳转最少的服务器上。更重要的是，根域名服

务器的可用带宽是巨大的，减少任何对根服务器DoS攻击的可能性将严重影响他们的行动。即使那样，根服务器也必须在受到ISP的DNS服务器停运影响前脱机几天。

在攻击文档发出后不久，Anonymous的成员否认这是一个出于善意的行动。有人称其为“巨人”，说公布的实施攻击的工具不是真的，或者说它的目的为收集使用者身份信息的(就像去年黑客TheJester制作的臭名昭著的Anonymous的DHN攻击工具一样)。在二月底，一批

Anonymous IRC管理员进入#opglobalblackout聊天室并把它关闭了，重新定向到一个叫#opglobalnig---out的聊天室。

正在筹备中

不过，这并不意味着Anonymous对DNS放大攻击不感兴趣。虽然该组织正在推动一个30天的抵制版权内容的行动，作为部分成员所称的黑色三月行动的一部分，但仍有沉重打击内容提供商的意愿。但推动这种类型的攻击需要的复杂程度超出了一般的Anonymous的“积极分子”的能力，它们一般就是依靠可下载的一些相对简单的工具用于攻击。

这些攻击者是有用的，因为Anonymous需要大量的参与者。让这些缺乏经验的人来安装虚拟机软件和如Backtrack的渗透工具Linux需要一定的技术支持，即使是最有耐心的专家志愿者也不能提供。Windows自己的网络驱动不允许伪造要发送的数据包，所以做任何像是DNS放大这种的伪造报头的攻击都需要一个特制的操纵网络流量的驱动(如WinPcap数据包捕获库)。而且，软件通常用于这类攻击，比如Hping封包分析工具，往往是面向命令行操作的。

考虑到Anonymous目前大多数用户的DDoS工具经常对他们自己拒绝服务甚于他们的目标。“人们似乎无法理解任何事情”，在一次IRC对话时，一个Anon对Ars谈到，关于组织成员试图在TOR网络使用高轨道离子炮而之后又抱怨它如何之慢。

一些Anonymous成员正打算用一种新的工具，那“非常好使(由于我们一些使用者的情况)”，一个成员告诉Ars。这个想法是制作一些像LOIC工具的东西——但没有LOIC的缺陷。新的工具(如果成功的话)将结合WinPcap库和“hive mind”远程控制(一个通过给客户端

传送配置信息和协调攻击的用于Anonymous成员的系统)，带有一套攻击，包括DNS放大，使用伪造地址的IP洪水攻击和一种像是用于Slowloris的那种“慢发送”攻击。

现在，这个工具仍然只是一个概念。截至2月中旬，Anonymous成员才开始真正为它编写的代码。而且代码现在写没写好还不好说，因为该项目的一个开发者是黑客Avunit，原LulzSec成员，他最近告诉Ars他要离开Anonymous。同时，Anonymous更复杂的攻击可能被局限于更精明的成员所能处理的问题上，而大家都放弃了方便执行的HOIC攻击。