雖然近日針對歐洲反垃圾郵件組織Spamhaus發動的大規模DDoS攻擊其危害程度不如早期傳聞聲稱的那么大，但是此事件值得關注的原因在于，它們暴露了互聯網眾多根本薄弱環節當中的幾個。其中一個就是開放式DNS解析器，這種解析器為一種名為DNS放大（DNS amplification）的攻擊手法提供了可趁之機。而這種攻擊手法具體指，目標服務器每向外發送1個字節，攻擊者就向這些服務器發送多達100個字節的網絡擁塞流量。

既有技術專長又有影響力的有關組織會不會開始以一種整體性、實質性的方式解決這些不足，從而提高互聯網的安全性，這仍需拭目以待。遺憾的是，恐怕需要發生破壞性和危害性更大的安全事件才會促使有關組織積極行動起來。

卡巴斯基安全新聞網站Threat Post刊登了一篇精彩的報道（詳見http://threatpost.com/en_us/blogs/open-dns-resolvers-center-stage-massive-ddos-attacks-032813），深入淺出地介紹了開放式解析器、DNS放大攻擊及其在針對Spamhaus的DDoS攻擊中扮演的角色：

這方面息息相關的一個根本性、普遍性的問題與開放式DNS解析器被用來針對瑞士這家反垃圾郵件組織發動DDoS攻擊有關。開放式解析器在送回DNS答復之前并不對數據包發送者的IP地址進行驗證。因此，攻擊者騙過受害者IP地址后，就能夠向受害者發送大量的攻擊流量，攻擊流量與請求流量之比達到了100：1。諸如此類的DNS放大攻擊最近被黑客行動主義者、敲詐勒索者以及上了黑名單的網站主機所使用，而且大獲成功。

開放式DNS解析器項目組織的Jared Mauch告訴Threat Post，參與Spamhaus攻擊的僵尸網絡使用了30000多個獨特的DNS解析器，"如果實施一起更大范圍的攻擊，這些解析器的共同威力可能會被不法分子用來讓這個全球網絡的大部分系統陷入癱瘓。"

據Threat Post聲稱，解決辦法就是："開放式DNS解析器項目組織及其他組織（如DNS服務提供商Afilias）建議實施源地址驗證機制?，F已存在的IETF RFC, BCP-38（詳見http://tools.ietf.org/html/bcp38）具體明確了如何使用源地址驗證機制，以及如何建立這種架構，以挫敗IP源地址欺騙手法。"

另外，系統管理員Trevor Pott在The Register網站上發表了一篇內容翔實的博文（詳見http://www.theregister.co.uk/2013/03/28/i_accidentally_the_internet/），他坦誠自己無意中淪為了DDoS攻擊的幫兇，起因是"他在搭建位于其網絡邊緣上的一臺DNS服務器時，犯下了一個簡單的配置錯誤。"他稱之為充當路由器的"邊緣洗滌器"（edge scrubber），它向數據中心里面的服務器和路由器分發IP地址。它還代表網絡上的所有其他設備，"起到了各種"枯燥粗活"的功能"。它是數據中心/本地網絡時間服務器、外部DNS服務器、邊緣服務器和帶寬限制器。

他表示，問題在于，他忘了禁用服務器上的遞歸查詢，這使得他那臺服務器成了被DNS放大攻擊利用的一個工具。他解釋："DNS服務器能夠以兩種基本方式當中的一種方式來配置。在一種可能的配置下，DNS服務器只為它負責服務的對象提供域名服務（命令式）。在另一種配置下，DNS服務器除了提供那些域名服務外，還在更廣泛的互聯網上尋找它原本無權管理的任何域（遞歸式）。正是遞歸式DNS服務器讓互聯網得以正常運行。它們也是一種攻擊途徑。"

他詳細地解釋了如何修復他那臺服務器存在的配置問題。簡而言之，問題源自于這種假定：BIND（實現DNS協議的系統）在默認情況下禁用遞歸；解決辦法需要"指令BIND只受理來自其數據中心里面的服務器的遞歸請求。"

原文地址：http://www.infoworld.com/t/security/fix-your-dns-servers-or-risk-aiding-ddos-attacks-215510