網(wǎng)絡(luò)罪犯最近翻新分散式阻斷服務(wù)(DDOS)攻擊的手法，開始用形同互聯(lián)網(wǎng)黃頁的域名系統(tǒng)服務(wù)器來發(fā)動攻擊，擾亂在線商務(wù)。

　　VeriSign上周表示，今年初發(fā)現(xiàn)該公司系統(tǒng)承受的攻擊規(guī)模甚于以往，而且來源不是被綁架的“殭尸”(bot)電腦，而是出自于域名系統(tǒng)(DNS)服務(wù)器。

　　安全研究員Dan Kaminsky說:“DNS已成為DDOS重要的一環(huán)。門檻已降低了。人們現(xiàn)在可憑更少的資源，發(fā)動可能極具破壞力的攻擊。”

　　一旦成為DDOS攻擊的箭靶，目標(biāo)系統(tǒng)不論是網(wǎng)頁服務(wù)器、域名服務(wù)器或電子郵件服務(wù)器，都會被網(wǎng)絡(luò)上四面八方的系統(tǒng)所傳來的巨量信息給淹沒。黑客的用意是借大量垃圾信息妨礙系統(tǒng)正常的信息處理，借此切斷攻擊目標(biāo)對外的連線。

　　以往，這類攻擊是青少年閑得無聊時(shí)的杰作，圖得只是看網(wǎng)站掛掉的那種快感。但如今，DDOS攻擊常被歹徒拿來當(dāng)作勒索網(wǎng)絡(luò)公司的武器，賭博網(wǎng)站和成人娛樂網(wǎng)站尤其首當(dāng)其沖。

　　不同于被綁架的僵尸電腦，DNS服務(wù)器是合法的網(wǎng)絡(luò)良民，其作用是把文字型域名名稱(例如www.cnet.com)轉(zhuǎn)換成相對應(yīng)的數(shù)字型互聯(lián)網(wǎng)協(xié)定(IP)位址，以引導(dǎo)使用者上他們想到的網(wǎng)站。

　　現(xiàn)在，黑客常用僵尸電腦連成的網(wǎng)絡(luò)(botnet)，把大量的查詢要求傳至開放的DNS服務(wù)器。這些查詢信息會假造得像是被巨量信息攻擊的目標(biāo)所傳出的，因此DNS服務(wù)器會把回應(yīng)信息傳到那個(gè)網(wǎng)址。

　　黑客用DNS服務(wù)器來發(fā)動攻擊有多重好處，可隱匿自己的系統(tǒng)，讓受害者難以追查攻擊的原始來源，更可讓攻擊效果加倍。Baylor大學(xué)信息系教授Randal Vaughn說，單一的DNS查詢，可啟動比原始查詢大73倍的回應(yīng)。

　　DNS發(fā)明人兼Nominum公司首席科學(xué)家Paul Mockapetris打個(gè)比方說，若你企圖讓垃圾郵件塞爆某人的信箱，基本的方法就是寄很多信到該地址，但你必須費(fèi)很多時(shí)間寫信，而且發(fā)信來源追查得出來。

　　Mockapetris說:“更好的方法，是寄出雜志里常見的那種廣告回函卡，勾選各種想索取的信息，然后把回信地址填上目標(biāo)信箱，就會讓那個(gè)信箱爆掉，同時(shí)消除與你有關(guān)的鏈接。”他說，用DNS服務(wù)器發(fā)動DDOS攻擊，就是運(yùn)用這種原理。

　　但如果攔阻一臺DNS服務(wù)器對外的連線，可能造成合法使用者無法傳電子郵件或?yàn)g覽某網(wǎng)站。問題出在所謂的“遞回域名服務(wù)” (recursive name service)服務(wù)器，是開放給網(wǎng)絡(luò)上任何人查詢的DNS服務(wù)器，估計(jì)數(shù)量從60萬臺到560萬臺不等。

　　Mockapetris說:“使用這些開放服務(wù)器的人士，必須好自為之。不論知不知情，或是否怠惰，他們現(xiàn)在已成為這類攻擊的幫兇。他們是互聯(lián)網(wǎng)上的傷寒瑪麗�！�

　　專家建議，要保護(hù)自家系統(tǒng)，企業(yè)可解除DNS服務(wù)器中允許人人查詢網(wǎng)址的遞回(recursive)功能，轉(zhuǎn)而調(diào)整服務(wù)器設(shè)定，只對內(nèi)部人士開放遞回功能。目前使用DNS服務(wù)器者包括互聯(lián)網(wǎng)服務(wù)供應(yīng)商(ISP)以及企業(yè)和個(gè)人。