情資卡編號:TCCY-RCDC-ANA-202304-0002
事件主旨:網軍針對政府機關發動地毯式DNS攻擊,請自建DNS客戶提高警覺
內容說明:
1. 近期DDoS事件觀察:
近日多個政府單位遭到DDoS攻擊,主要是消耗用戶DNS服務的資源達到WEB或DNS服務無法使用的目的,攻擊量控制在100Mbps左右讓SOC難以發現,多數用戶一開始會誤認是效能問題而拉長查測時間,往往發現問題的時候攻擊已經結束。
2. 攻擊手法/樣態:
(1) 針對DNS服務(UDP/Port 53)作攻擊。
(2) 攻擊手法為 NXDOMAIN Flood DDoS攻擊,屬於資源消耗攻擊。
(3) 攻擊者要求大量不存在的紀錄,或對數個不存在的隨機子網域傳送DNS查詢,藉以癱瘓客戶自建DNS伺服器。
3. 受影響對象:自建DNS用戶,因此類用戶的頻寬或DNS服務能量有限,不須太大的攻擊量就能癱瘓用戶服務。
4. 攻擊事件影響:消耗DNS伺服器資源處理錯誤請求,從而減慢對合法請求的回應速度,或耗盡DNS伺服器的資源,導致無法從DNS伺服器找對應的網站。
風險等級:3
建議措施:
(1) 申請DNS Hosting強化DNS服務韌性。 (申請網址:https://domain.hinet.net/dns_manage_c/faq.php、https://gsn.nat.gov.tw/GSNFAQ/FAQContents/6)
(2) 針對DNS訊務加強監控。
(3) 如有其他混和式攻擊,請洽DDoS清洗業者。(業者網址:https://www.cht.com.tw/home/enterprise/security/hinet-security/advance-ddos)