風險等級: 高度威脅
【影響範圍】自建DNS用戶,因此類用戶的頻寬或DNS服務能量有限,不須太大的攻擊量就能癱瘓用戶服務。
【細節描述】
1. 近期DDoS事件觀察: 近日多個政府單位遭到DDoS攻擊,主要是消耗用戶DNS服務的資源達到WEB或DNS服務無法使用的目的,攻擊量控制在100Mbps左右讓SOC難以發現,多數用戶一開始會誤認是效能問題而拉長查測時間,往往發現問題的時候攻擊已經結束。
2. 攻擊手法/樣態: (1) 針對DNS服務(UDP/Port 53)作攻擊。 (2) 攻擊手法為 NXDOMAIN Flood DDoS攻擊,屬於資源消耗攻擊。 (3) 攻擊者要求大量不存在的紀錄,或對數個不存在的隨機子網域傳送DNS查詢,藉以癱瘓客戶自建DNS伺服器。
3. 受影響對象: 自建DNS用戶,因此類用戶的頻寬或DNS服務能量有限,不須太大的攻擊量就能癱瘓用戶服務。 4. 攻擊事件影響: 消耗DNS伺服器資源處理錯誤請求,從而減慢對合法請求的回應速度,或耗盡DNS伺服器的資源,導致無法從DNS伺服器找對應的網站。
【建議措施】
(1) 申請DNS Hosting強化DNS服務韌性。 (申請網址:https://domain.hinet.net/dns_manage_c/faq.php、https://gsn.nat.gov.tw/GSNFAQ/FAQContents/6)
(2) 針對DNS訊務加強監控。
(3) 如有其他混和式攻擊,請洽DDoS清洗業者。(業者網址:https://www.cht.com.tw/home/enterprise/security/hinet-security/advance-ddos)