前两天访问Google越南站的网民都收到了一个大大的惊喜：他们看到的不是Google的搜索界面，而是一个男人的自拍照，页面上还留下一段文字：你已经被黑客组织Lizard Squad黑了。

FreeBuf科普：关于黑客组织Lizard Squad

Lizard Squad是2014年最活跃的黑客组织之一，他们曾在去年圣诞节成功“调戏”了IT巨头微软和索尼。当时这个黑客组织攻陷了PlayStation Network和Xbox在线服务，影响了全球数亿用户，并自诩为“DDoS攻击之王”。

值得一提的是，该黑客组织还为他们的DDoS攻击服务做了广告，这个服务原来叫Lizard Stresser现在叫Shenron。明码标价，商业味十足~

劫持Google

Lizard Squad此次并没有直接攻击Google服务器，而是对DNS进行了劫持，将Google越南的访客重定向到他们的“黑页”。

根据Google的DNS服务商OpenDNS所述，这名自称Lizard Squad成员的黑客通过将Google的域名服务器(ns1.google.com, ns2.google.com)修改成CloudFlare的IP(173.245.59.108, 173.245.58.166)来重定向访客。

与此同时，这个带有自拍的黑页被放在一台位于荷兰的DigitalOcean服务器上。

攻击事件发生后，CloudFlare和越南互联网络信息中心(VNNIC)迅速作出反应，防止情况恶化。域名服务器记录几小时后有被恢复了。

OpenDNS的专家认为，Lizard Squad的狡猾之处在于，他们之所以选择DigitalOcean是因为它提供了IPv6的IP地址，这能帮助他们迷惑网络分析人员和传统的检测工具。

有问题的IP地址是2a03:b0c0:2:d0::23a:c001。

下面是这个地址的相关信息：

Prefix: 2a03:b0c0:2::/48
Prefix description: DigitalOcean
Country code: NL
Origin AS: 202018
Origin AS Name: DOAMS3 — DigitalOcean Amsterdam
RPKI status: No ROA found First seen: 2014-08-13 Last seen: 2015-02-23 Seen by #peers: 170 - See more
First seen: 2014-08-13 Last seen: 2015-02-23 Seen by #peers: 170 - See more
Last seen: 2015-02-23 Seen by #peers: 170 - See more

黑客使用的是位于荷兰的虚拟主机，而它与CloudFlare的负载均衡能力结合，这意味着他们至少考虑过要处理来自Google的大量请求。

“在未来，我们怀疑恶意网站和欺诈网站使用IPv6的情况会越来越多，尤其是当VPS服务提供商停止向消费者提供IPv4/IPv6地址的选项的时候”来自OpenDNS的Andrew Hay在一篇博文中写道。

据越南互联网络信息中心(VNNIC)所说，Google和被攻击的域名注册商正在调查此次事件，FreeBuf也将带来跟踪报道。

[参考来源SecurityAffairs，译/Sphinx，转载请注明来自Freebuf黑客与极客（FreeBuf.COM）]