在2016年黑帽大會展示的新研究表明,攻擊者正在改變DDoS DNS放大攻擊戰略,還發現那些試圖發動DDoS攻擊的攻擊者遭遇新的欺詐性服務。
Anchorage辦事處FBI特別探員Elliott Peterson和惡意軟件及勒索軟件威脅數據提供商Malware Patrol聯合創始人Andre Correa自2014年11月開始在全球各地設置多個蜜罐,以收集DDoS攻擊數據,包括時間戳、來源和目的IP地址、攻擊的端口以及攻擊類型。截至到2016年,這些蜜罐已經收集超過800萬條記錄。
根據這些數據顯示,網絡時間協議(NTP)服務器使用的端口port 123已經不再是DDoS DNS放大攻擊使用最多的UDP端口。Peterson認為這種改變可能是因為此前研究發現NTF是放大攻擊中的重要工具很多NTP服務器得到修復。
Peterson表示NTP服務器是DDoS攻擊的流行向量,因為它們提供了非常高的放大速度,一個數據包發送到NTP服務器可換來500個,這種放大速度仍然是最高的速率。然而,Peterson稱攻擊者已經開始瞄準提供只有30:1回報的放大技術。
這導致簡單服務發現協議(SSDP)和port 1900成為最被濫用的UDP端口,其放大系數是31:1。對放大率的關注決定著攻擊者使用的工具類型。
調查發現booters和stressers是非常流行的工具,它們為沒有足夠技術能力自己發動攻擊的攻擊者提供了快捷方便的攻擊途徑。Correa稱這些服務租賃費用低至每月5到20美元,很多還提供Paypal或其他Web服務的簡易支付。
Peterson稱booters和stressers通常有非常短的生存時間,讓它們很少持續超過幾個月。他表示持續時間最長的服務通常自己提供前端,位于企業DDoS保護背后,因為booters和stressers本身是DDoS攻擊的主要目標。
Peterson稱:“它們經常會互相攻擊對方的服務,以證明自己是更好的服務,然后我們會看到他們在網上吹噓這些活動。”
Peterson指出更高的放大系數和DDoS規模經常會占據頭條新聞,但并不代表攻擊趨勢。
“僵尸網絡可被用于那些運行較長時間的攻擊,更強大的攻擊,”Peterson說道,“如果你看到大量短期運行的攻擊,這很可能是引導服務。我們還沒有真正看到超過30千兆每秒的攻擊。”
Peterson承認他們如果研究“高端市場”可能會看到更多40到50 Gbps范圍的攻擊,但也表示高度公開的大型DDoS攻擊可能沒有人們想象的那么普遍。
“雖然我們確實看到200到300 Gbps的攻擊,我們的合作伙伴也看到這種規模的攻擊,但這種規模其實沒有人們想象的那么普遍,”Peterson稱,“但我認為在如何測量攻擊規模以及測量是否準確方面還存在很多問題。”
Peterson稱,攻擊者通常沒有道德可講。他們的調查發現很多欺詐性booter服務在收錢后并沒有按要求發動DDoS DNS放大攻擊。正因為如此,現在所謂的“交鑰匙式DDoS即服務”開始崛起,這種服務更昂貴,但提供“卓越的客戶服務”。
Peterson稱目前企業可通過多種不同的方法來緩解DDoS攻擊,包括部署DDoS傳感器。
“傳感器的做法是,你實際可用看到攻擊的運行。這些傳感器非常有價值,通常傳感器可接受閾值約為20個分布式DDoS傳感器,這可讓你獲得80%或90%的可視性,”Peterson說,“我們認為你應該查看社交媒體,我們認為你應該關注正在發生什么,員工是否在玩游戲等,這都可能會出現問題。你可能會因為服務器配置錯誤而不經意參與到DDoS中。”
京公網安備 11010502049343號