2015年，DDoS攻擊已經(jīng)成為最引人注目的、受到黑客歡迎的攻擊方式。如今，正如同死亡和稅收一樣，DDoS攻擊成為企業(yè)需要長期面臨的嚴(yán)峻挑戰(zhàn)。

根據(jù)最新的統(tǒng)計(jì)數(shù)據(jù)顯示，2016年以來，無論是DDoS攻擊規(guī)模和頻率都在不斷攀升，尤其是攻擊者開始越來越多的使用DNS 和DNSSEC，通過最少的僵尸網(wǎng)絡(luò)資源對受害者造成最大的影響。

根據(jù)NexusGuard公司的研究結(jié)果表明，2016年第二季度的DDoS攻擊較之第一季度呈現(xiàn)83%的增長幅度。在所有攻擊行為中，DNS成為2016年使用的最普遍的協(xié)議（2015年為NTP和SSDP）。

針對DNS的DDoS攻擊又可按攻擊發(fā)起者和攻擊特征進(jìn)行分類：

1、按攻擊發(fā)起者分類

僵尸網(wǎng)絡(luò)：控制大批僵尸網(wǎng)絡(luò)利用真實(shí)DNS協(xié)議棧發(fā)起大量域名查詢請求；

模擬工具：利用工具軟件偽造源IP發(fā)送海量DNS查詢

2、按攻擊特征分類

Flood攻擊：發(fā)送海量DNS查詢報(bào)文導(dǎo)致網(wǎng)絡(luò)帶寬耗盡而無法傳送正常DNS 查詢請求；

資源消耗攻擊：發(fā)送大量非法域名查詢報(bào)文引起DNS服務(wù)器持續(xù)進(jìn)行迭代查詢，從而達(dá)到較少的攻擊流量消耗大量服務(wù)器資源的目的。

Imperva公司Incapsula部門的報(bào)告顯示：2015年4月—2016年5月為期一年的時(shí)間內(nèi)，其幫助客戶阻斷了每周平均峰值為445Gb/s的DDoS攻擊。

Imperva公司Incapsula部門的報(bào)告還表明，目前，應(yīng)用層的DDoS攻擊仍占據(jù)DDoS攻擊活動(dòng)的60%，但是也正在逐步被網(wǎng)絡(luò)層攻擊所取代，可能是因?yàn)榛贒NS的DDoS攻擊正日益盛行。如果趨勢照預(yù)期發(fā)展的話，這兩種類型可能會(huì)在2018年實(shí)現(xiàn)并駕齊驅(qū)的狀態(tài)。

根據(jù)最新的DDoS趨勢報(bào)告，犯罪分子正利用DNSSEC協(xié)議進(jìn)行DDOS攻擊。DNSSEC是“域名系統(tǒng)安全擴(kuò)展”的簡稱，作為DNS協(xié)議的擴(kuò)展，其包括了諸多保護(hù)DNS認(rèn)證和數(shù)據(jù)完整度的安全特性，然而“反射DDoS”也在濫用DNSSEC協(xié)議。

Neustar公司的研究人員稱攻擊者向簽署有ANY指令的域名服務(wù)器發(fā)送DNSSEC請求，ANY指令能夠強(qiáng)制DNSSEC服務(wù)器收集所有關(guān)于域名和請求應(yīng)答的DNS信息。

由于DNSSEC服務(wù)器請求能夠用假的IP地址偽造，攻擊者誘騙服務(wù)器響應(yīng)受害者的IP地址，給DDoS攻擊的目標(biāo)發(fā)送垃圾流量。

對于只配備了基礎(chǔ)DDOS防御的企業(yè)而言，基于DNSSEC的洪水攻擊可以很容易使其網(wǎng)絡(luò)下線，并賦予攻擊者自由訪問企業(yè)基礎(chǔ)設(shè)施的權(quán)限。

根據(jù)Neustar公司的最新研究表明，約有80%的，超過1300個(gè)DNSSEC服務(wù)器由于配置不當(dāng)，攻擊者可以利用這些服務(wù)器進(jìn)行高于平均水平的反射DDoS攻擊。

Arbor Networks的研究結(jié)果表明，DDOS攻擊的規(guī)模和頻率均呈現(xiàn)上升趨勢。僅2016年上半年，規(guī)模超過100Gb/s的攻擊就有274起，而2015年全年才只有223起；2016年上半年流量超過200Gb/s的攻擊共46起，而2015年全年只有16起；此外，2016年上半年規(guī)模最大的DDoS 攻擊流量達(dá)到579Gb/s，較2015年提高73%。

根據(jù)Arbor Networks報(bào)告顯示：與2015年相比，2016年上半年的平均DDOS攻擊規(guī)模增長了30%。該公司估計(jì)到2016年年底平均攻擊規(guī)模預(yù)計(jì)達(dá)到1.15Gb/s。報(bào)告警告說，1 Gb/s的DDoS攻擊足以使大多數(shù)網(wǎng)絡(luò)組織完全離線。

卡巴斯基實(shí)驗(yàn)室的報(bào)告顯示，2016年第二季度，涉及Linux的僵尸網(wǎng)絡(luò)DDoS攻擊的比例已經(jīng)攀升到70.2％，比前幾個(gè)季度有一個(gè)顯著的增幅。

2016年第一季度，超過70%的攻擊持續(xù)時(shí)間都不超過四個(gè)小時(shí)，而2016年第二季度，持續(xù)時(shí)間最長的DDoS攻擊持續(xù)291個(gè)小時(shí)，或約12.1天，較第一季度最長的攻擊（8天）顯著變長。

另一方面，最長的攻擊持續(xù)時(shí)間也顯著縮短，涉及Linux的僵尸網(wǎng)絡(luò)DDoS攻擊的比例為44.5％，而在2015年第四季度，涉及Linux的僵尸網(wǎng)絡(luò)DDoS攻擊的比例為54.8％。

卡巴斯基實(shí)驗(yàn)室首席惡意軟件分析師Oleg Kupreev評論：

“Linux服務(wù)器通常會(huì)包含一些常見漏洞，但是這些服務(wù)器很少安裝可靠的安全解決方案，使得它們很容易被僵尸程序所感染。這些因素讓Linux服務(wù)器成為僵尸網(wǎng)絡(luò)運(yùn)營者進(jìn)行攻擊的工具。利用基于Linux的計(jì)算機(jī)發(fā)動(dòng)攻擊非常簡單，并且有效。這些攻擊可以持續(xù)數(shù)周，而服務(wù)器的主人根本就不會(huì)意識到自己的服務(wù)器成為了攻擊來源。不僅如此，只使用一臺服務(wù)器，網(wǎng)絡(luò)罪犯就可以實(shí)施規(guī)模可媲美數(shù)百臺計(jì)算機(jī)所發(fā)動(dòng)的攻擊。所以，企業(yè)需要事先準(zhǔn)備好應(yīng)對這種情況，確保企業(yè)得到可靠的反DDoS攻擊保護(hù)，抵御各種復(fù)雜程度和持續(xù)時(shí)長的攻擊”。

Imperva 公司Incapsula部門的報(bào)告表明，絕大多數(shù)的DDoS攻擊的持續(xù)時(shí)間相當(dāng)短。2016年第一季度，超過93％的攻擊持續(xù)時(shí)間在一個(gè)小時(shí)內(nèi)。

*原文鏈接：darkreading*、米雪兒編譯，轉(zhuǎn)載請注明來自FreeBuf黑客與極客（FreeBuf.COM）