پروژه سپر طلایی چین (China’s Golden Shield Project) یک پروژه بزرگ دولتی محسوب می شود که دسترسی کاربران چینی را به اینترنت آزاد محدود می کند و عملیات سانسور را جهت مسدود نمودن حجم بزرگی از اینترنت برای کاربران چینی اعمال می کند.
جمله مورد علاقه دنگ شیائوپینگ (رهبر چینی که از اواخر دههٔ ۷۰ تا اوایل دههٔ ۹۰ عملاً حاکم چین بود ) این بود:
“اگر شما برای هوای آزاد پنجره ها را باز می کنید باید انتظار مگس های مزاحم را داشته باشید”
اما امکان دارد از این دیوار بزرگ جهت انجام حملات DDoS استفاده شود؟
چند وقت پیش دولت چین اعلام کرد “سپر طلایی” را ارتقا داده است و برخی از مشکلات آن برطرف شده است؛ اما چه مشکلی برطرف شده است؟
مشکل اصلی ایجاد حملات دیداس ناخواسته از طریق باگ های سامانه سپر طلایی بود که IP ها را به صورت تصادفی برای حمله بازتابی دیداس (reflector DDoS) مورد استفاده قرار می داد. در این حمله رکوئست های مسدود شده توسط سپر طلایی به یک آی پی خاص هدایت می شد! (یک IP تصادفی و نا خواسته) در این حملات عظیم ,مردم چین هنگام استفاده از اینترنت وقتی به محتوای مسدود شده توسط سپر طلایی برمی خوردند در حقیقت به صورت نا خواسته در یک حمله بزرگ DDoS شرکت داشتند؛ میلیون ها رکوئست و یک حمله ناخواسته و کاملا تصادفی !
مسمومیت دی ان اس (DNS Poisoning)
یکی از روش های جلوگیری از مشاهده یک وب سایت مسدود شده در سیستم سپر طلایی چین استفاده از مسمویت DNS است. مسمویت DNS به عمل دریافت یک DNS ورودی از یک کاربر و ارسال IP غیر واقعی(جعلی) آن وب سایت به کاربر می باشد که باعث می شود وب سایتی غیر از وب سایت مورد نظر را مشاهده نماید. برای مثال اگر DNS برای سایت گوگل مسموم شده باشد؛ زمانی که آدرس سایت گوگل را باز می کنید به جای این سایت یک سایت دیگر به صورت تصادفی باز می شود.
افزایش ترافیک به وب سایت های تصادفی باعث ایجاد سیل اتصالات به آن وب سایت (flood of connections) و یک حمله تمام عیار DDoS به آن خواهد شد.
البته این به این معنی نیست که حملات به عمد صورت می گرفت ولی سپر طلایی چین به صورت بالقوه یک ماشین بزرگ DDoS خودسر بود که به صورت رندوم (تصادفی) IP های زیادی را مورد حمله دیداس قرار داده بود.
هر چند دولت چین اعلام کرده که این مشکل به صورت نا خواسته در سیستم به وجود امده بود و عمدی نبود اما این اندیشه نیز تقویت می گردد که ممکن است در به روز رسانی ها و ارتقا های آینده نیز چنین سیستمی به وجود بیایید.
حملات بازتابی به وسیله DNS یا DNS reflection DDoS مبحث جدیدی نیست و مدت هاست که هکر ها از باگ ها DNS سرور ها جهت ایجاد چنین حملاتی بهره می گیرند؛ آیا امکان دارد شخص یا اشخاصی بخواهند از این ابزار بزرگ سو استفاده نمایند؟