迄今為止，中國臺灣和菲律賓就漁船槍擊事件的談判還未平息，菲律賓方面態度依然強硬。不過，在兩地民間黑客戰爭中，菲律賓黑客已經公開求饒：“請對準菲政府，別再搞我們了”。此前，在這場黑客戰爭中，先是菲律賓黑客攻擊了中國臺灣“政府”網站，導致后者多個官方網站一度不能正常連網，接著，臺灣黑客也不甘示弱予以反擊，侵入了菲律賓政府的DNS服務器并要求菲律賓政府道歉，否則黑客不會停止類似攻擊。

臺菲黑客大戰技術揭秘

撇開其他不談，從安全技術的角度看，在這場臺菲黑客大戰中，雙方都用到了哪些攻擊手段？攻擊力度有多大呢？

曾著有《Web前端黑客技術揭秘》、現任知道創宇公司研究部總監的鐘晨鳴告訴記者，對于這次臺菲黑客大戰用到的攻擊手段，安全界說法有很多。其中，菲律賓對臺灣用到最多的是DDoS攻擊，臺灣對菲律賓目標網站的入侵屬于常見的DNS劫持。

DNS是DomainNameSystem的縮寫，域名系統以分布式數據庫的形式將域名和IP地址相互映射，DNS在網絡實現過程中擔當著重要的角色。一旦DNS服務癱瘓，空間服務器將無法正確反饋網絡用戶的域名訪問請求。

DNSPod創始人、網絡安全專家吳洪聲認為，這次黑客大戰跟之前“中美”黑客大戰的情況有點類似（51CTO編者注：“中美”黑客大戰發生在2001年，是由一起撞機事件引發的網絡戰爭，攻擊手法以你來我往地篡改對方網頁為主），不過，在這次臺菲黑客大戰使用的技術中，DDoS攻擊出現得非常多，在雙方的攻擊手段中都占有較大比重。另外，臺灣黑客已經入侵到菲律賓的DNS服務器，由于一臺DNS服務器可以控制一大批網站，攻擊成本明顯降低，效果卻大大加強了。

菲律賓黑客為何討饒？臺灣黑客攻陷菲律賓的DNS服務器后究竟能做什么？吳洪聲說，無論是什么類型的DNS服務器，如果被黑客完全控制都是極端危險的。有一種常見的詐騙方法是釣魚網站，即：使用與正常域名非常相似的詐騙用域名（比如用數字1替換字母i，看起來非常相似）做一個界面完全一樣的網站騙人。DNS服務器被攻陷以后，就可以使用完全正確的域名來進行釣魚了。用戶訪問時輸入的是正確的網址，實際訪問的服務器卻有可能將你引向黑客自己搭建的惡意網站。這種情況很難用技術手段檢測出來，一旦發生，肯定會有巨大損失。

對于臺灣對菲律賓DNS攻擊的細節，《臺灣駭客已取得菲律賓DNS資料庫帳號與密碼》（http://netsecurity.51cto.com/art/201305/393408.htm）一文有詳細闡述，該文作者“豬哥靚”稱，臺灣黑客已經控制了菲律賓所有gov.ph網址的DNS。DNS負責將網址轉換成IP，取得了dns.gov.ph，就可以對菲律賓全部gov.ph的網站改IP，改成自己的服務器，由此將對方整個網站換掉。另外，取得DNS，還可以修改電子郵件服務器的IP，讓所有@***.gov.ph的電子郵件癱瘓。#p#

細數DNS攻擊：誰又被黑了

DNS系統是所有互聯網應用的基礎，在網站運維中至關重要，因此已經成為黑客攻擊的重點目標。針對DNS的攻擊大致有三類：第一類是DNS域名劫持，是通過某些手段取得域名解析控制權，修改該域名解析結果，導致對該域名的訪問由原IP地址轉入到修改后的指定IP，其結果就是對特定的網址不能訪問或訪問的是假網址；第二類是域名欺騙(緩存投毒)，其方式不止一種，但都是利用網民ISP端的DNS緩存服務器的漏洞進行攻擊或控制，將錯誤的域名記錄存入緩存中，使所有使用該緩存服務器的用戶得到錯誤的DNS解析結果；第三類是針對DNS服務器的拒絕服務攻擊（DDoS攻擊），其中，一種是針對DNS服務器軟件本身，利用BIND軟件程序中的漏洞，導致DNS服務器崩潰或拒絕服務，另一種是利用DNS服務器作為“攻擊放大器”，去攻擊其他互聯網上的主機，導致被攻擊主機拒絕服務。

以往，曾經給人們留下深刻印象的DNS安全事件有：新網被黑、百度被黑等。今天，針對DNS系統的種種攻擊事件仍在不斷發生：

今年3月，歐洲反垃圾郵件組織Spamhaus突然遭受到高達300Gbps的大流量DDoS攻擊。此次攻擊是典型的DNS反射/放大攻擊，這種攻擊通過使用多個客戶端肉機(bots僵尸肉機)將查詢發送到多個開放DNS解析器中，從而使大量的攻擊流量從廣泛分布源中產生(在Spamhaus襲擊期間，使用了超過30K開放解析器)。

在國內的最新案例是：5月12日，知名視頻網站土豆網被黑。土豆網官方微博發布消息稱，當天晚間確實出現土豆網部分用戶無法正常瀏覽網頁的情況，經核實，該情況是因新網（互聯）漏洞致使DNS遭受劫持造成。

DNSPod相關技術負責人近日透露，今年4月底，國內某大型網游平臺突然遭到高達70Gbps的DNSFlood攻擊，經過必要的防護升級，長達一天后，“洪水式”攻擊才被成功化解。

究竟哪一類網站最容易遭到DNS攻擊？吳洪聲告訴記者，從目前來看，在國內，與游戲相關的網站，以及與減肥醫藥相關的行業網站比較容易遭到DNS攻擊，占到了攻擊總數量的70%以上。究其原因，是這些行業從業者較多，競爭激烈而無序，有些人便使用攻擊競爭對手的方式來贏得市場份額。#p#

黑客產業鏈讓DNS攻擊愈演愈烈

來自DNSPod的數據顯示，在DNS中，簡單的漏洞（如：域傳送漏洞）雖然時不時依然會出現，但出現的次數已經越來越少了。不過，與此同時，DDoS和Flood攻擊所占比重越來越大，這也是最嚴重的兩類DNS攻擊。DNSPod的服務器組每天要抵御十幾次大大小小的這樣的攻擊。這兩種攻擊并不需要特別高深的系統入侵技術，攻擊者只要投入相應的資金就可以達到攻擊對手的目的。而利用DNS污染進行攻擊對技術要求比較高，通常用于針對大型公司的攻擊。

近些年，企業對各個方面安全系統越來越重視，DNS安全狀況是否有所提高？對此，鐘晨鳴表示，他并未看到DNS攻擊問題有緩和的趨勢。相反，網絡攻擊帶來的利益正被越來越多的人所看到，因此，DNS安全狀況有沒有變得更糟都很難說。

全球知名防DDoS攻擊廠商Arbor公司最近推出的2012年《全球基礎設施安全報告》顯示，調查對象中有超過1/4的人在調查期間遭到針對DNS基礎設施的DDoS攻擊，在上一年的調查中，只有12％的調查對象表示遭到此類攻擊。這份報告同時顯示，大多數互聯網的DNS基礎設施仍然開放和不受保護，缺乏專門的安全人員和無限制的遞歸服務器，這為攻擊者創造了一個理想的環境。

在國內，也有數據表明，2012年，國內存在高危漏洞的網站比例高達75.6%，網頁篡改、拖庫、流量攻擊成為網站面臨的嚴重威脅。

今天，高額的利潤催生了國內的黑客產業鏈不斷擴大，以利益為導向的黑客行動在游戲行業尤其普遍。據業內人士介紹，地下黑客產業鏈極其龐大且分工明確，一些私服每月甚至會花費200-300萬元去黑對手，類似問題也廣泛存在于國內各大一線電商企業中。DNSPod技術負責人提到，“地下市價一度為1Gbps流量打1小時花費2萬元，現在，1G流量的價格已經降到200-300元/小時。”#p#

DNS系統攻防對抗賽

被設計成開放式協議的DNS已成為網絡攻擊的重點。攻的一方早已經盯上了DNS，那么，防的一方是否也對DNS安全予以了同等的重視呢？

Arbor2012年《全球基礎設施安全報告》顯示，有高達33％的調查對象表示，他們并不知道自己是否經歷過DNS攻擊，這表明，一些運營商在DNS服務器流量的可見性上還存在嚴重的缺陷。

在針對DNS的各類攻擊中，特征比較明顯的DDoS和Flood攻擊相對來說比較容易被發現，針對這種攻擊，今天已經有了相當成熟的防御技術。吳洪聲說，類似攻擊發生時，算法程序可以在10秒左右學習到攻擊特征，只需要人工確認一下就可以添加有針對性的防護，整個過程自動化程度非常高。不過，與這種攻擊不同，DNS污染或以其他服務器為跳板入侵DNS服務器等安全問題更值得關注，因為這些攻擊都是靜悄悄地發生，可能黑客攻擊結束的時候系統管理員還不知道，因而其危害也相對更大。

在鐘晨鳴看來，很多安全問題并不是漏洞導致，而是管理缺陷所造成。今年年初，國際上有個黑客公布，它去年對全球IP掃描后發現，有四、五十萬主機都用的是弱口令，這些主機類型多種多樣，利用它攻入系統后，又可以成為新的掃描節點；另外，一些應用服務軟件版本仍然較低，攻擊者通過遠程移除，可拿到相關權限。更值得一提的是，雖然有些漏洞已被公布，但并不是所有設備都由此進行了相應的修復。吳洪聲也認為，對付DNS攻擊，除了對DDoS、Flood攻擊和DNS污染攻擊進行防御外，更重要的是，要做好管理安全。鏈條總會在最薄弱的地方斷掉，如果相關的管理安全沒有做好，那前面兩個環節的工作也會徒勞無功。為應對上述威脅，組織首先要做好系統本身的安全建設。鐘晨鳴認為，對付DNS威脅，需要兩個方面來保證安全：一是Web層面入口環節，二是DNS服務器本身的安全。

Arbor全球報告顯示，如今，組織正使用各種安全措施和工具防止他們的DNS基礎設施遭受DDoS攻擊，其中，有超過53％的人表示他們已經部署了智能DDoS防護系統IDMS，而超過2/3的人部署了網絡邊緣的接口iACL，更多組織采用了防火墻、IPS/IDS和其他措施。

對于普通中小網站而言，怎樣應對DNS攻擊？吳洪聲建議，普通中小網站把關于DNS安全的任務交給一家安全可靠的專業服務商來做。由于針對DDoS或者Flood攻擊需要較高的軟硬件成本，而DNS系統的安全建設又需要特別高的人力成本，中小網站很難依靠自己就做好這樣的工作。與此同時，企業同時還應該加強對于DNS安全的認識和重視，不要讓DNS安全成為鏈條中最弱的一環，影響到業務甚至是企業的命運。