迄今为止，中国台湾和菲律宾就渔船枪击事件的谈判还未平息，菲律宾方面态度依然强硬。不过，在两地民间黑客战争中，菲律宾黑客已经公开求饶：“请对准菲政府，别再搞我们了”。此前，在这场黑客战争中，先是菲律宾黑客攻击了中国台湾“政府”网站，导致后者多个官方网站一度不能正常连网，接着，台湾黑客也不甘示弱予以反击，侵入了菲律宾政府的DNS服务器并要求菲律宾政府道歉，否则黑客不会停止类似攻击。

台菲黑客大战技术揭秘

撇开其他不谈，从安全技术的角度看，在这场台菲黑客大战中，双方都用到了哪些攻击手段？攻击力度有多大呢？

曾著有《Web前端黑客技术揭秘》、现任知道创宇公司研究部总监的钟晨鸣告诉记者，对于这次台菲黑客大战用到的攻击手段，安全界说法有很多。其中，菲律宾对台湾用到最多的是DDoS攻击，台湾对菲律宾目标网站的入侵属于常见的DNS劫持。

DNS是DomainNameSystem的缩写，域名系统以分布式数据库的形式将域名和IP地址相互映射，DNS在网络实现过程中担当着重要的角色。一旦DNS服务瘫痪，空间服务器将无法正确反馈网络用户的域名访问请求。

DNSPod创始人、网络安全专家吴洪声认为，这次黑客大战跟之前“中美”黑客大战的情况有点类似（51CTO编者注：“中美”黑客大战发生在2001年，是由一起撞机事件引发的网络战争，攻击手法以你来我往地篡改对方网页为主），不过，在这次台菲黑客大战使用的技术中，DDoS攻击出现得非常多，在双方的攻击手段中都占有较大比重。另外，台湾黑客已经入侵到菲律宾的DNS服务器，由于一台DNS服务器可以控制一大批网站，攻击成本明显降低，效果却大大加强了。

菲律宾黑客为何讨饶？台湾黑客攻陷菲律宾的DNS服务器后究竟能做什么？吴洪声说，无论是什么类型的DNS服务器，如果被黑客完全控制都是极端危险的。有一种常见的诈骗方法是钓鱼网站，即：使用与正常域名非常相似的诈骗用域名（比如用数字1替换字母i，看起来非常相似）做一个界面完全一样的网站骗人。DNS服务器被攻陷以后，就可以使用完全正确的域名来进行钓鱼了。用户访问时输入的是正确的网址，实际访问的服务器却有可能将你引向黑客自己搭建的恶意网站。这种情况很难用技术手段检测出来，一旦发生，肯定会有巨大损失。

对于台湾对菲律宾DNS攻击的细节，《台湾骇客已取得菲律宾DNS资料库帐号与密码》（51eK9s2c8@1M7q4)9K6b7g2)9J5c8W2)9J5c8X3&6W2N6s2y4W2j5%4g2J5K9i4c8&6i4K6u0W2y4e0q4U0N6r3!0Q4x3X3g2U0L8$3#2Q4x3V1k6S2M7Y4c8Q4x3V1j5J5x3o6p5K6x3o6g2Q4x3V1j5K6z5e0x3@1x3o6S2Q4x3X3g2Z5N6r3#2Q4c8f1k6Q4b7V1y4Q4z5o6W2Q4c8e0c8Q4b7U0S2Q4z5o6m8Q4c8e0k6Q4z5e0k6Q4z5o6N6Q4c8e0k6Q4z5f1y4Q4z5o6W2Q4c8e0S2Q4b7f1k6Q4b7e0k6Q4c8e0N6Q4b7V1u0Q4z5o6k6Q4c8e0W2Q4z5e0S2Q4z5e0m8Q4c8e0S2Q4b7V1k6Q4b7U0m8Q4c8f1k6Q4b7V1y4Q4z5p5y4Q4c8e0S2Q4b7f1k6Q4b7e0g2Q4c8e0k6Q4z5e0k6Q4z5o6N6Q4c8e0c8Q4b7V1c8Q4z5f1y4Q4c8e0S2Q4z5o6m8Q4z5o6g2Q4c8e0u0Q4z5o6m8Q4z5f1y4Q4c8e0N6Q4z5p5y4Q4b7f1q4Q4c8e0g2Q4z5e0y4Q4b7e0g2Q4c8e0W2Q4z5f1c8Q4z5e0y4Q4c8e0u0Q4z5o6m8Q4z5f1c8Q4c8e0N6Q4b7e0N6Q4b7U0m8Q4c8f1k6Q4b7V1y4Q4z5p5y4Q4c8e0g2Q4z5p5k6Q4b7U0m8Q4c8e0k6Q4b7U0W2Q4b7V1g2Q4c8e0W2Q4b7V1u0Q4z5e0q4Q4c8e0g2Q4b7f1g2Q4b7e0u0Q4c8e0g2Q4b7U0N6Q4b7U0u0Q4c8e0N6Q4b7V1u0Q4z5p5k6Q4c8e0k6Q4z5p5g2Q4b7e0N6Q4c8e0g2Q4z5o6S2Q4b7U0k6Q4c8e0c8Q4b7V1q4Q4z5o6k6Q4c8e0S2Q4z5p5k6Q4b7U0u0Q4c8e0g2Q4b7V1g2Q4z5p5u0Q4c8e0g2Q4b7f1g2Q4b7V1g2Q4c8e0k6Q4z5o6W2Q4z5o6m8Q4c8e0k6Q4z5f1y4Q4z5o6W2Y4L8%4k6Q4x3X3g2H3K9q4!0q4y4#2!0n7c8q4)9&6x3g2!0q4y4g2)9&6c8q4)9^5x3q4!0q4y4#2)9&6b7g2)9^5y4p5c8z5f1#2!0q4x3#2)9^5x3q4)9^5x3V1c8z5f1#2!0q4z5q4!0n7y4q4)9&6c8W2!0q4z5q4!0n7y4q4!0m8x3#2!0q4y4g2!0n7x3q4)9^5y4W2!0q4y4#2!0n7c8q4)9&6x3g2!0q4y4g2)9&6c8q4)9^5x3q4!0q4z5q4!0n7c8q4!0m8b7#2!0q4y4W2)9^5c8q4!0m8x3W2!0q4y4W2)9^5z5q4)9&6x3p5W2b7i4@1g2r3i4@1u0o6i4K6S2o6i4@1f1#2i4K6S2r3i4K6V1$3i4@1f1#2i4@1u0q4i4K6V1%4i4@1f1@1i4@1u0m8i4K6R3$3k6r3&6K6i4K6u0W2k6$3!0$3i4K6u0W2M7r3S2Q4c8f1k6Q4b7V1y4Q4z5p5y4Q4c8e0g2Q4b7U0m8Q4b7U0q4Q4c8e0g2Q4z5p5k6Q4b7f1k6Q4c8e0c8Q4b7V1u0Q4b7e0g2Q4c8e0g2Q4b7f1k6Q4b7U0W2Q4c8e0S2Q4z5p5k6Q4b7U0u0Q4c8e0g2Q4b7V1g2Q4z5p5u0Q4c8e0g2Q4b7f1g2Q4b7V1g2Q4c8e0g2Q4z5o6g2Q4b7e0S2Q4c8e0W2Q4z5o6y4Q4b7e0S2Y4L8%4k6Q4x3X3g2H3K9q4!0q4y4#2)9&6b7g2)9^5y4q4!0q4y4#2!0n7c8q4)9&6x3g2!0q4y4#2!0m8b7W2)9&6z5g2!0q4y4W2)9&6y4q4!0n7z5f1W2b7i4@1g2r3i4@1u0o6i4K6S2o6i4@1f1$3i4K6V1@1i4@1t1&6i4@1f1$3i4K6R3^5i4K6V1H3i4@1f1^5i4K6R3%4i4@1q4m8i4@1f1#2i4@1t1%4i4@1t1I4i4@1f1%4i4K6W2m8i4K6R3@1i4@1f1$3i4K6W2o6i4K6S2p5i4@1f1#2i4K6S2m8i4@1p5I4i4@1f1#2i4K6V1&6i4@1p5^5i4@1g2r3i4@1u0o6i4K6S2o6i4@1f1%4i4K6V1@1i4@1t1I4i4@1f1$3i4@1q4p5i4@1p5@1i4@1f1#2i4@1t1H3i4K6R3$3i4@1f1#2i4@1q4r3i4@1t1&6i4@1f1$3i4K6V1$3i4@1t1&6i4@1f1$3i4K6V1#2i4@1t1@1i4@1f1@1i4@1t1^5i4@1q4m8i4@1f1%4i4@1u0p5i4K6V1I4i4@1f1%4i4@1q4n7i4K6V1&6i4@1f1$3i4K6S2p5i4@1p5J5i4@1f1$3i4K6S2q4i4K6R3&6i4@1f1K6i4K6R3H3i4K6R3J5i4@1f1#2i4K6S2r3i4@1p5$3i4@1f1#2i4@1p5@1i4K6V1$3i4@1g2r3i4@1u0o6i4K6S2o6i4@1f1#2i4K6S2r3i4K6V1$3i4@1f1#2i4@1u0q4i4K6V1%4c8p5&6e0i4@1g2r3i4@1u0o6i4K6S2o6i4@1f1^5i4@1u0r3i4K6V1^5i4@1f1#2i4K6S2r3i4@1q4r3i4@1f1@1i4@1u0n7i4@1p5#2i4@1f1@1i4@1u0r3i4@1q4q4i4@1f1$3i4K6V1@1i4@1t1&6i4@1f1%4i4K6V1@1i4@1t1#2i4@1f1#2i4@1q4p5i4K6V1H3i4@1f1&6i4K6R3J5i4@1q4q4i4@1f1@1i4@1u0n7i4@1t1$3i4@1f1$3i4K6W2o6i4K6S2p5i4@1f1#2i4K6S2m8i4@1p5I4i4@1f1#2i4K6V1&6i4@1p5^5i4@1f1%4i4K6W2m8i4K6R3@1d9g2m8Q4c8f1k6Q4b7V1y4Q4z5p5y4Q4c8e0S2Q4b7f1g2Q4b7e0W2Q4c8e0k6Q4z5o6W2Q4z5o6m8Q4c8e0k6Q4z5f1y4Q4z5o6W2Q4y4o6m8Q4x3V1q4Q4x3V1q4Q4x3V1q4Q4x3X3g2Y4L8%4k6Q4x3X3g2H3K9q4!0q4y4#2)9&6b7g2)9^5y4q4!0q4y4#2)9&6y4q4!0n7y4g2!0q4y4g2!0m8c8q4)9&6x3q4!0q4z5g2)9^5x3W2!0m8c8g2!0q4y4q4!0n7b7W2!0n7y4W2!0q4y4#2)9&6z5q4!0m8b7W2!0q4y4#2)9&6y4#2!0m8b7g2!0q4x3#2)9^5x3q4)9^5x3R3`.`.

细数DNS攻击：谁又被黑了

DNS系统是所有互联网应用的基础，在网站运维中至关重要，因此已经成为黑客攻击的重点目标。针对DNS的攻击大致有三类：第一类是DNS域名劫持，是通过某些手段取得域名解析控制权，修改该域名解析结果，导致对该域名的访问由原IP地址转入到修改后的指定IP，其结果就是对特定的网址不能访问或访问的是假网址；第二类是域名欺骗(缓存投毒)，其方式不止一种，但都是利用网民ISP端的DNS缓存服务器的漏洞进行攻击或控制，将错误的域名记录存入缓存中，使所有使用该缓存服务器的用户得到错误的DNS解析结果；第三类是针对DNS服务器的拒绝服务攻击（DDoS攻击），其中，一种是针对DNS服务器软件本身，利用BIND软件程序中的漏洞，导致DNS服务器崩溃或拒绝服务，另一种是利用DNS服务器作为“攻击放大器”，去攻击其他互联网上的主机，导致被攻击主机拒绝服务。

以往，曾经给人们留下深刻印象的DNS安全事件有：新网被黑、百度被黑等。今天，针对DNS系统的种种攻击事件仍在不断发生：

今年3月，欧洲反垃圾邮件组织Spamhaus突然遭受到高达300Gbps的大流量DDoS攻击。此次攻击是典型的DNS反射/放大攻击，这种攻击通过使用多个客户端肉机(bots僵尸肉机)将查询发送到多个开放DNS解析器中，从而使大量的攻击流量从广泛分布源中产生(在Spamhaus袭击期间，使用了超过30K开放解析器)。

在国内的最新案例是：5月12日，知名视频网站土豆网被黑。土豆网官方微博发布消息称，当天晚间确实出现土豆网部分用户无法正常浏览网页的情况，经核实，该情况是因新网（互联）漏洞致使DNS遭受劫持造成。

DNSPod相关技术负责人近日透露，今年4月底，国内某大型网游平台突然遭到高达70Gbps的DNSFlood攻击，经过必要的防护升级，长达一天后，“洪水式”攻击才被成功化解。

究竟哪一类网站最容易遭到DNS攻击？吴洪声告诉记者，从目前来看，在国内，与游戏相关的网站，以及与减肥医药相关的行业网站比较容易遭到DNS攻击，占到了攻击总数量的70%以上。究其原因，是这些行业从业者较多，竞争激烈而无序，有些人便使用攻击竞争对手的方式来赢得市场份额。

黑客产业链让DNS攻击愈演愈烈

来自DNSPod的数据显示，在DNS中，简单的漏洞（如：域传送漏洞）虽然时不时依然会出现，但出现的次数已经越来越少了。不过，与此同时，DDoS和Flood攻击所占比重越来越大，这也是最严重的两类DNS攻击。DNSPod的服务器组每天要抵御十几次大大小小的这样的攻击。这两种攻击并不需要特别高深的系统入侵技术，攻击者只要投入相应的资金就可以达到攻击对手的目的。而利用DNS污染进行攻击对技术要求比较高，通常用于针对大型公司的攻击。

近些年，企业对各个方面安全系统越来越重视，DNS安全状况是否有所提高？对此，钟晨鸣表示，他并未看到DNS攻击问题有缓和的趋势。相反，网络攻击带来的利益正被越来越多的人所看到，因此，DNS安全状况有没有变得更糟都很难说。

全球知名防DDoS攻击厂商Arbor公司最近推出的2012年《全球基础设施安全报告》显示，调查对象中有超过1/4的人在调查期间遭到针对DNS基础设施的DDoS攻击，在上一年的调查中，只有12％的调查对象表示遭到此类攻击。这份报告同时显示，大多数互联网的DNS基础设施仍然开放和不受保护，缺乏专门的安全人员和无限制的递归服务器，这为攻击者创造了一个理想的环境。

在国内，也有数据表明，2012年，国内存在高危漏洞的网站比例高达75.6%，网页篡改、拖库、流量攻击成为网站面临的严重威胁。

今天，高额的利润催生了国内的黑客产业链不断扩大，以利益为导向的黑客行动在游戏行业尤其普遍。据业内人士介绍，地下黑客产业链极其庞大且分工明确，一些私服每月甚至会花费200-300万元去黑对手，类似问题也广泛存在于国内各大一线电商企业中。DNSPod技术负责人提到，“地下市价一度为1Gbps流量打1小时花费2万元，现在，1G流量的价格已经降到200-300元/小时。”

DNS系统攻防对抗赛

被设计成开放式协议的DNS已成为网络攻击的重点。攻的一方早已经盯上了DNS，那么，防的一方是否也对DNS安全予以了同等的重视呢？

Arbor2012年《全球基础设施安全报告》显示，有高达33％的调查对象表示，他们并不知道自己是否经历过DNS攻击，这表明，一些运营商在DNS服务器流量的可见性上还存在严重的缺陷。

在针对DNS的各类攻击中，特征比较明显的DDoS和Flood攻击相对来说比较容易被发现，针对这种攻击，今天已经有了相当成熟的防御技术。吴洪声说，类似攻击发生时，算法程序可以在10秒左右学习到攻击特征，只需要人工确认一下就可以添加有针对性的防护，整个过程自动化程度非常高。不过，与这种攻击不同，DNS污染或以其他服务器为跳板入侵DNS服务器等安全问题更值得关注，因为这些攻击都是静悄悄地发生，可能黑客攻击结束的时候系统管理员还不知道，因而其危害也相对更大。

在钟晨鸣看来，很多安全问题并不是漏洞导致，而是管理缺陷所造成。今年年初，国际上有个黑客公布，它去年对全球IP扫描后发现，有四、五十万主机都用的是弱口令，这些主机类型多种多样，利用它攻入系统后，又可以成为新的扫描节点；另外，一些应用服务软件版本仍然较低，攻击者通过远程移除，可拿到相关权限。更值得一提的是，虽然有些漏洞已被公布，但并不是所有设备都由此进行了相应的修复。吴洪声也认为，对付DNS攻击，除了对DDoS、Flood攻击和DNS污染攻击进行防御外，更重要的是，要做好管理安全。链条总会在最薄弱的地方断掉，如果相关的管理安全没有做好，那前面两个环节的工作也会徒劳无功。为应对上述威胁，组织首先要做好系统本身的安全建设。钟晨鸣认为，对付DNS威胁，需要两个方面来保证安全：一是Web层面入口环节，二是DNS服务器本身的安全。

Arbor全球报告显示，如今，组织正使用各种安全措施和工具防止他们的DNS基础设施遭受DDoS攻击，其中，有超过53％的人表示他们已经部署了智能DDoS防护系统IDMS，而超过2/3的人部署了网络边缘的接口iACL，更多组织采用了防火墙、IPS/IDS和其他措施。

对于普通中小网站而言，怎样应对DNS攻击？吴洪声建议，普通中小网站把关于DNS安全的任务交给一家安全可靠的专业服务商来做。由于针对DDoS或者Flood攻击需要较高的软硬件成本，而DNS系统的安全建设又需要特别高的人力成本，中小网站很难依靠自己就做好这样的工作。与此同时，企业同时还应该加强对于DNS安全的认识和重视，不要让DNS安全成为链条中最弱的一环，影响到业务甚至是企业的命运。

[培训]科锐逆向工程师培训第53期2025年7月8日开班！