叙利亚电子部队用什么方法黑掉Twitter ？

本周二《纽约时报》和Twitter英国的部分用户无法访问网站，此外赫芬顿邮报网站也遭受了攻击。 《纽约时报》CIO马克·弗朗斯(Marc Frons)本周二向员工发布声明称，此次攻击源于“叙利亚电子战部队或其他努力扮作他们的组织”。而所谓的叙利亚电子战部队——SEA（Syrian Electronic Army），是一个支持叙利亚前总统阿萨德领导的黑客组织。

与流行的DDoS拒绝服务攻击不同，SEA攻击Twitter和纽约时报的方法有些特别，那就是通过修改域名注册系统的DNS地址来劫持网站。

关于DNS攻击的方法，云DNS服务商Dyn的首席技术官Cory von Wallentein接受媒体采访时表示，企业们之所以采用类似Dyn这样的云DNS服务来绕过ISP提供的普通DNS服务器，就是为了提高网站访问速度和安全性。

Wallentein指出，针对DNS主要有三种攻击方法，第一种是“cache投毒”攻击：

在这种攻击方法中，黑客会试图向ISP常用的递归DNS服务器的DNS数据中注入恶意DNS数据。从网络拓扑的角度看，这些DNS服务器通常距离用户最近，因此攻击影响的通常是服务器就近的访客。

DNSSEC这样的标准能够帮助防止“cache投毒”类攻击，但叙利亚电子军用的并不是这种方法。

第二种DNS攻击方法是劫持某个域名的一个或多个授权DNS服务器并修改DNS数据。但Wallenstesin认为，如果攻击者能够搞定授权DNS服务器，将能影响到全球范围，而且要绕过Dyn或OpenDNS这样的安全防范严密，经受过反社交工程培训的专业DNS服务企业，因此这第二种DNS攻击手法也不是叙利亚电子军攻击Twitter和《纽约时报》采用的攻击手法。

第三种DNS攻击方法，同时也是叙利亚电子军采用的方法，就是攻入域名注册商的系统，修改授权DNS服务器的指向地址。这恐怕也是最难恢复的攻击之一。众所周知，在域名管理界面指向授权DNS服务器可以瞬间生效，但是回滚操作因为DNS服务器会缓存信息，往往需要一整天时间，除非管理员手动清除缓存数据。

《纽约时报》周二表示，针对该网站的攻击是通过其域名注册商Melbourne IT展开的。Melbourne IT早在2009年就开始管理Twitter的域名，该公司2008年收购VeriSign时获得了后者的高端DNS业务。

有趣的是，《纽约时报》和Twitter的域名服务器似乎都是通过Melbourne IT注册的，所以有人怀疑，是该域名注册商的漏洞让黑客可以改变域名服务器，漏洞可能源自管理员账号。这也可以解释此次攻击为何会影响多家公司。

虽然业界纷传Melbourne IT很可能遭受了社交工程攻击，但OpenDNS的首席执行官David Ulevitch认为，MelbourneIT遭受攻击毫无疑问，但被修改DNS信息的网站太多，不太可能是社交工程手法所为。

对于Twitter、纽约时报和赫芬顿邮报这样的大型媒体来说，ISP通常会注意到攻击并及时清理DNS服务器缓存，但是如果是小型网站遭受第三类DNS攻击，往往需要一天甚至更长的时间才能恢复。让人哭笑不得的是，上次《纽约时报》DNS解析出现问题时，采用了在Twitter上发布网站IP地址的应急措施，这次，纽约时报在Twitter上发布了一个移动新闻源子站。