二十年來(lái),分布式拒絕服務(wù)攻擊(DDoS)一直是網(wǎng)絡(luò)犯罪分子進(jìn)行攻擊的一個(gè)重要的工具,如今其感染蔓延得越來(lái)越廣泛,功能也越來(lái)越強(qiáng)大。
什么是DDoS攻擊?
分布式拒絕服務(wù)(DDoS)攻擊是指攻擊者或攻擊者們?cè)噲D使服務(wù)無(wú)法交付。這可以通過(guò)阻止任何訪問(wèn)的事物來(lái)實(shí)現(xiàn):服務(wù)器,設(shè)備,服務(wù),網(wǎng)絡(luò),應(yīng)用程序,甚至應(yīng)用程序內(nèi)的特定事務(wù)。在DoS攻擊中,它向系統(tǒng)發(fā)送惡意數(shù)據(jù)或請(qǐng)求,而DDoS攻擊可以來(lái)自多個(gè)系統(tǒng)。
通常,這些攻擊是通過(guò)請(qǐng)求數(shù)據(jù)來(lái)攻擊淹沒(méi)系統(tǒng)的。這可能是向Web服務(wù)器發(fā)送大量的請(qǐng)求來(lái)訪問(wèn)一個(gè)頁(yè)面,而這個(gè)頁(yè)面不能響應(yīng)用這些需求而崩潰;或者可能是數(shù)據(jù)庫(kù)遭遇大量查詢,其結(jié)果是使可用的互聯(lián)網(wǎng)帶寬,CPU和內(nèi)存容量變得不堪重負(fù)。
其影響范圍可能是應(yīng)用程序和網(wǎng)站體驗(yàn)服務(wù)的中斷,甚至導(dǎo)致整個(gè)業(yè)務(wù)宕機(jī)。
DDoS攻擊的癥狀
DDoS攻擊看起來(lái)像許多可能產(chǎn)生可用性問(wèn)題的非惡意事件,例如服務(wù)器或系統(tǒng)被破壞,合法用戶的合法請(qǐng)求太多,甚至導(dǎo)致數(shù)據(jù)傳輸中斷。它通常需要流量分析來(lái)確定正在發(fā)生的情況。
當(dāng)今的DDoS攻擊
然而,分布式拒絕服務(wù)攻擊的危害讓人們改變了對(duì)它的看法。2000年年初,加拿大高中生Michael Calce,網(wǎng)名為“黑手黨男孩”,通過(guò)一個(gè)分布式拒絕服務(wù)(DDoS)攻擊,設(shè)法關(guān)閉了當(dāng)時(shí)全球最主要門戶網(wǎng)站之一雅虎(Yahoo)網(wǎng)站的服務(wù)。在接下來(lái)的一周中,Calce又成功地中斷了亞馬遜,CNN和eBay等其他網(wǎng)站的服務(wù)。
當(dāng)然不是這并不是DDoS攻擊的第一次實(shí)施,但是這種高度公開和一系列成功的攻擊將拒絕服務(wù)攻擊從新奇和微小的騷擾轉(zhuǎn)變成了首度信息安全官和首席信息官維護(hù)業(yè)務(wù)安全運(yùn)營(yíng)的噩夢(mèng)。
從那時(shí)起,DDoS攻擊已經(jīng)成為一種頻繁發(fā)生的威脅,因?yàn)樗鼈冏鳛榫W(wǎng)絡(luò)活動(dòng)的一種手段,通常用于目標(biāo)明確的報(bào)復(fù),進(jìn)行敲詐勒索,甚至發(fā)動(dòng)網(wǎng)絡(luò)戰(zhàn)。
經(jīng)過(guò)多年的發(fā)展和演變,DDoS攻擊的功能和危害也變得越來(lái)越大。20世紀(jì)90年代中期,每秒可能只有150次請(qǐng)求攻擊,但這足以讓許多系統(tǒng)癱瘓。如今他們傳播的速度甚至超過(guò)1000Gbps。這在很大程度上是由現(xiàn)代僵尸網(wǎng)絡(luò)的龐大規(guī)模所推動(dòng)的。
去年秋天,互聯(lián)網(wǎng)基礎(chǔ)架構(gòu)服務(wù)提供商Dyn DNS(如今的Oracle DYN)遭到數(shù)以千萬(wàn)計(jì)的IP地址的DNS查詢服務(wù)的襲擊,這是去年所發(fā)生的最新和最強(qiáng)大的DDoS攻擊之一。據(jù)報(bào)道,通過(guò)物聯(lián)網(wǎng)僵尸網(wǎng)絡(luò)病毒“Mirai”實(shí)施的這起襲擊事件感染了超過(guò)100,000個(gè)物聯(lián)網(wǎng)設(shè)備,其中包括IP攝像機(jī)和打印機(jī)。在其爆發(fā)的高峰期,“Mirai”僵尸網(wǎng)絡(luò)病毒感染了40萬(wàn)臺(tái)以上的機(jī)器人。亞馬遜,Netflix,Reddit,Spotify,Tumblr和Twitter等服務(wù)都遭到攻擊。
“Mirai”僵尸網(wǎng)絡(luò)的特點(diǎn)在于,與大多數(shù)DDoS攻擊不同,它主要攻擊安全防護(hù)比較脆弱的物聯(lián)網(wǎng)設(shè)備,而不是電腦和服務(wù)器。根據(jù)調(diào)研機(jī)構(gòu)BI Intelligence的調(diào)查,到2020年,將有340億臺(tái)互聯(lián)網(wǎng)連接設(shè)備,而大多數(shù)(240億臺(tái))將是物聯(lián)網(wǎng)設(shè)備。
不幸的是,“Mirai”不會(huì)是最后一個(gè)物聯(lián)網(wǎng)的僵尸網(wǎng)絡(luò)。在Akamai,Cloudflare,F(xiàn)lashpoint,Google,RiskIQ和Cymru團(tuán)隊(duì)的安全團(tuán)隊(duì)進(jìn)行的調(diào)查中,發(fā)現(xiàn)了一個(gè)同樣規(guī)模大小的僵尸網(wǎng)絡(luò),被稱之為WireX,這由100多個(gè)國(guó)家的10萬(wàn)個(gè)安全設(shè)備組成的僵尸網(wǎng)絡(luò)。而這次調(diào)查是針對(duì)內(nèi)容提供商和內(nèi)容傳送網(wǎng)絡(luò)的一系列大型DDoS攻擊所促成的。
DDoS攻擊工具
通常,DDoS攻擊者依賴于僵尸網(wǎng)絡(luò),這是集中控制的受到惡意軟件感染的系統(tǒng)網(wǎng)絡(luò)的集合。這些受感染的端點(diǎn)通常是計(jì)算機(jī)和服務(wù)器,但更多的是物聯(lián)網(wǎng)設(shè)備和移動(dòng)設(shè)備。攻擊者通過(guò)網(wǎng)絡(luò)釣魚攻擊,惡意攻擊和其他大規(guī)模感染技術(shù)等手段識(shí)別和攻擊脆弱的系統(tǒng)。攻擊者通過(guò)各種方法越來(lái)越多地從構(gòu)建者那里租用這些僵尸網(wǎng)絡(luò)。
DDoS攻擊的類型
DDoS攻擊有三個(gè)主要類別:第一類是使用大量虛假流量來(lái)降低資源(如網(wǎng)站或服務(wù)器),包括ICMP,UDP和欺騙數(shù)據(jù)包泛洪攻擊。第二類是DDoS攻擊使用數(shù)據(jù)包來(lái)定位網(wǎng)絡(luò)基礎(chǔ)架構(gòu)和基礎(chǔ)架構(gòu)管理工具。這些協(xié)議攻擊包括SYN Floods和Smurf DDoS等。第三類是一些DDoS攻擊針對(duì)組織的應(yīng)用層,并通過(guò)惡意編寫的請(qǐng)求來(lái)淹沒(méi)應(yīng)用程序。這三個(gè)類別的DDoS攻擊目標(biāo)是一致的:使網(wǎng)絡(luò)資源反應(yīng)遲鈍或完全無(wú)反應(yīng)。
DDoS攻擊如何演變
如上所述,這些攻擊通過(guò)租用的僵尸網(wǎng)絡(luò)來(lái)實(shí)現(xiàn)變得越來(lái)越普遍。而這一趨勢(shì)將會(huì)持續(xù)下去。
另一個(gè)趨勢(shì)是在攻擊中使用多個(gè)攻擊向量,也稱為高級(jí)持久拒絕服務(wù)(APDoS)。例如,APDoS攻擊可能涉及應(yīng)用層,例如對(duì)數(shù)據(jù)庫(kù)和應(yīng)用程序的攻擊以及直接在服務(wù)器上的攻擊。 “這超越了單純的洪水攻擊。”Binary Defense公司合伙人兼執(zhí)行總監(jiān)Chuck Mackey說(shuō)。
另外,Mackey解釋說(shuō),攻擊者通常不僅直接針對(duì)受害者,還直接攻擊受害者所依賴的組織,如互聯(lián)網(wǎng)服務(wù)提供商和云計(jì)算提供商。他說(shuō):“這些是具有高影響力的廣泛攻擊,并且協(xié)調(diào)一致。”
這也正在改變DDoS攻擊對(duì)組織的影響,并擴(kuò)大了他們的風(fēng)險(xiǎn)。美國(guó)富理達(dá)律師事務(wù)所(Foley &Lardner LLP)的網(wǎng)絡(luò)安全律師Mike Overly說(shuō):“企業(yè)不僅要關(guān)心自己免受DDoS攻擊,還要關(guān)注其所依賴的廣泛的業(yè)務(wù)合作伙伴,供應(yīng)商和服務(wù)商是否會(huì)遭遇攻擊。安全最古老的格言之一就是業(yè)務(wù)的安全與否取決于最薄弱環(huán)節(jié)。在當(dāng)今的環(huán)境(最近的違規(guī)行為證明)中,最弱的環(huán)節(jié)可以就是第三方。”
當(dāng)然,網(wǎng)絡(luò)犯罪分子還在不斷改進(jìn)和完善DDoS攻擊,其技術(shù)和策略也不會(huì)停滯不前。正如JASK公司安全研究總監(jiān)Rod Soto所說(shuō),新增的物聯(lián)網(wǎng)設(shè)備,機(jī)器學(xué)習(xí)和人工智能的興起都將在這些攻擊中發(fā)揮重要的作用。
“攻擊者最終將這些技術(shù)整合到DDoS攻擊中,使安全人員難以應(yīng)對(duì),特別是那些無(wú)法通過(guò)簡(jiǎn)單的ACL或簽名來(lái)阻止的攻擊。因此,DDoS攻擊的安全防御技術(shù)也必須向這個(gè)方向發(fā)展。”Soto說(shuō)。
京公網(wǎng)安備 11010502049343號(hào)