如今的分布式拒絕服務攻擊與千禧年剛剛到來時初步誕生的DDoS存在很大差別。這類攻擊活動變得更加微妙、精致，除了拖垮Web服務器之外還能夠實現(xiàn)其它一系列惡意訴求。

在DDoS出現(xiàn)早期，大規(guī)模攻擊活動可謂風靡一時。出于政治或者經(jīng)濟動機而進行的攻擊行為會發(fā)動成千上萬臺客戶端指向同一特定目標，吞沒其服務器。這種攻擊類型目前仍然相當普遍，但如今其開始越來越多地轉向另一種更為復雜的DDoS活動，即Dark DDoS。而Andy Shoemaker則傾向另一個更為直觀的名稱——煙幕式攻擊。

“攻擊者們會利用拒絕服務的方式來吸引IT管理員，從而掩護真正的攻擊活動，并借此竊取數(shù)據(jù)，”專門幫助客戶研究及模擬DDoS攻擊活動的咨詢企業(yè)Nimbus DDoS公司負責人Shoemaker表示。

在這種模式當中，攻擊者們不再利用拒絕服務流量來敲詐或者報復其既定目標。相反，DDoS攻擊僅僅作為達成目的的手段之一存在。攻擊者們采用DDoS攻擊的理由有二，其一為誤導攻擊目標的IT管理人員，占用其寶貴的時間與資源；其二，在這樣的混亂掩護之下完成自己的真正計劃。

“這種攻擊更多是針對人而非基礎設施，”英國IT與安全咨詢企業(yè)ECS公司首席技術官Nathan Dornbrook表示，他此前曾在DDoS緩解技術領域投入過大量研究精力。問題的關鍵在于盡可能長時間拖住目標企業(yè)中的安全工作人員，這顯然是一種回避安全運營中心解決方案及技術管理員們的絕佳途徑，他解釋稱。

Dark DDoS攻擊在嚴重程度上往往只能夠令目標網(wǎng)絡的可視性遭到破壞，Shoemaker解釋道。“大多數(shù)情況下，網(wǎng)絡設備上的龐大流量會導致相關工具無力對惡意行為進行有效識別與制止，”他表示。“有時候，這些設備中的瓶頸令其無法處理遠超資源上限的流量，此時其默認設置會允許全部流量在未經(jīng)過濾的前提下即告通行。”

　　如今的DDoS與當初已經(jīng)完全不同。

黑暗技能

全球云IT服務管理企業(yè)LOGICNow公司安全負責人Ian Trump指出，Dark DDoS攻擊通常代表著其背后隱藏有更為復雜的惡意活動。攻擊者需要具備相當程度的知識來設計表層攻擊，同時憑借其它手段進行“暗度陳倉”。如果計劃順利，那么這類行為將使得目標企業(yè)的管理員變更基礎設施設置以努力解決由巨大流量造成的性能損失。“在某些情況下，網(wǎng)絡運維人員或者安全人員甚至會降低安全標準以恢復性能表現(xiàn)，”他解釋稱。

與傳統(tǒng)攻擊活動不同，Dark DDoS攻擊者們可能不會嘗試利用規(guī)模可觀的流量將目標站點拖垮，畢竟基礎設施下線的同時也就斷絕了進一步攻擊的可能性。相反，Dark DDoS的特征通常有異于大規(guī)模無差別攻擊，Bitdefender公司高級電子威脅分析師Bogdan Botezatu警告稱。他們的攻擊流量通常不會高于每秒1 Gbit，他指出，而目標則是生成大量事件以掩飾真正的數(shù)據(jù)泄露跡象。

這也使得DDoS攻擊的執(zhí)行方式出現(xiàn)了顯著變化。雖然每秒數(shù)百Gbit級別的流量仍然存在，但其所占比例已經(jīng)逐漸降低，而更多被針對性高且持續(xù)時間短的新型攻擊手段所取代。DDoS解決方案廠商Corero Network Security公司指出，其過去一年中大部分客戶遭遇的DDoS攻擊只使用每秒1 Gbit以下的攻擊流量。另外，超過95%的攻擊活動持續(xù)時間在30分鐘以下。

“很明顯，真正的威脅并非來自拒絕服務本身，”Corero Network Security公司COO Dave Larson表示。“這類攻擊的設計目標在于憑借復雜的多矢量攻擊保留一定帶寬，從而幫助攻擊者完成目標數(shù)據(jù)提取，且整個過程占用大量基礎設施資源，因此令監(jiān)控機制無法正常起效。”

“考慮到這種專門用于混淆視聽的技術策略，現(xiàn)有以大規(guī)模流量為主要應對對象的DDoS緩解技術恐怕已經(jīng)無法起到良好的作用。事實上，Dark DDoS應被視為一大新型安全威脅，”Botezatu提醒稱。

Dark DDoS攻擊內(nèi)部解析

那么這些攻擊是如何實現(xiàn)的？大多數(shù)入侵系統(tǒng)的嘗試都會首先掃描整體網(wǎng)絡，旨在找到潛在的切入點。這種掃描行為非常明顯，因此需要利用煙幕式攻擊加以掩護，Shoemaker表示。

而在成功進入網(wǎng)絡之后，攻擊者同樣需要這樣的煙幕來遮蔽自己的行蹤，他解釋道。“攻擊者其實并不了解目標環(huán)境的確切狀態(tài)，他們需要根據(jù)各類指標做出猜測。”罪犯分子在立足于目標網(wǎng)絡提取客戶數(shù)據(jù)庫等規(guī)模化信息資產(chǎn)時會令自己顯得十分惹眼，這時對流量的混淆就變得非常必要了。

盡管如此，大家還可能發(fā)現(xiàn)攻擊者會在目標網(wǎng)絡內(nèi)進行技術方案切換，他警告稱。“他們會努力找到適用于當前環(huán)境的攻擊手段，有鑒于此，對系統(tǒng)加以保護將變得更為困難。”

事實上幾年之前就曾經(jīng)出現(xiàn)過Dark DDoS攻擊活動，當時攻擊者們針對某家銀行發(fā)動了DDoS攻擊，而因此忙作一團的管理員們根本沒有發(fā)現(xiàn)對方已經(jīng)利用欺詐ACH轉移了大量資金。

時刻提防

Dark DDoS攻擊雖然極為復雜，但只要大家加以關注，及時發(fā)現(xiàn)也并非難事，Dornbrook解釋道。

“事實上，如果大家了解自己的網(wǎng)絡服務以及正常流量的實際表現(xiàn)，”他指出，同時進行員工培訓以幫助其辨別低帶寬DDoS攻擊，那么以此為標志的新型攻擊活動并不難被揪出。

金融機構可能會成為Dark DDoS攻擊活動的主要對象，Shoemaker警告稱。他們的客戶往往財力雄厚，且擁有大量極具價值的資源，因此必須對其個人信息進行嚴格保護。然而，Dark DDoS攻擊的觸角也伸向了其它諸多領域。

其中最典型的例子就是2015年10月TalkTalk公司遭受的攻擊，這家電信廠商收到一系列聲明，宣稱攻擊者將利用龐大流量令其網(wǎng)站陷入癱瘓。而在這種情況下，犯罪分子得以利用更多機會竊取客戶數(shù)據(jù)。而就在去年8月，Carphone Warehouse公司也受到類似攻擊的影響，并導致240萬名客戶的個人信息泄露。

DDoS攻擊正不斷增長，而且設定的目標也越來越復雜。因此，企業(yè)必須做好心理準備，并在發(fā)現(xiàn)DDoS活動時多留一個心眼。簡單地顛覆企業(yè)網(wǎng)絡可能并非攻擊者的惟一目標，事實上其背后往往隱藏著更為可怕的陰謀與陷阱。