扒一扒DDoS攻擊發(fā)展史

二十年來(lái)，拒絕服務(wù)攻擊一直是犯罪工具箱的一部分，而且只會(huì)變得越來(lái)越普遍和強(qiáng)大。

什么是DDoS攻擊?

分布式拒絕服務(wù)(DDoS)攻擊是指攻擊者通過(guò)攻擊的方式試圖使服務(wù)無(wú)法交付。這可以通過(guò)阻止對(duì)幾乎任何設(shè)施的訪問(wèn)來(lái)實(shí)現(xiàn)：服務(wù)器、設(shè)備、服務(wù)、網(wǎng)絡(luò)、應(yīng)用程序，甚至應(yīng)用程序中的特定事務(wù)。在DoS攻擊中，它是一個(gè)發(fā)送惡意數(shù)據(jù)或請(qǐng)求的系統(tǒng);DDoS攻擊來(lái)自多個(gè)系統(tǒng)。

通常，這些攻擊通過(guò)淹沒具有數(shù)據(jù)請(qǐng)求的系統(tǒng)來(lái)工作。這可能是通過(guò)向web服務(wù)器發(fā)送大量請(qǐng)求來(lái)攻擊頁(yè)面，導(dǎo)致頁(yè)面在請(qǐng)求下崩潰;也可能是向數(shù)據(jù)庫(kù)發(fā)送大量查詢。其結(jié)果是使得可用的internet帶寬、CPU和RAM容量變得不堪重負(fù)。

其影響可能是小到服務(wù)中斷，大到整個(gè)網(wǎng)站、應(yīng)用程序甚至整個(gè)業(yè)務(wù)離線。

DDoS攻擊的癥狀

DDoS攻擊看起來(lái)像許多可以導(dǎo)致可用性問(wèn)題的非惡意的東西——比如服務(wù)器或系統(tǒng)宕機(jī)，來(lái)自合法用戶的合法請(qǐng)求太多，甚至是電纜被切斷。它通常需要流量分析來(lái)確定到底發(fā)生了什么。

DDoS攻擊時(shí)間表

這是一場(chǎng)永久改變?nèi)绾慰创芙^服務(wù)攻擊的攻擊事件：2000年初，加拿大高中生Michael Calce(又名MafiaBoy)對(duì)雅虎發(fā)動(dòng)攻擊!通過(guò)分布式拒絕服務(wù)(DDoS)攻擊，設(shè)法關(guān)閉了當(dāng)時(shí)領(lǐng)先的web引擎之一。在接下來(lái)的一周中，Calce瞄準(zhǔn)并成功破壞了亞馬遜，CNN和eBay等其他網(wǎng)站。

當(dāng)然，這不是第一次DDoS攻擊，但這一系列高度公開和成功的攻擊，將拒絕服務(wù)攻擊從新奇和小麻煩轉(zhuǎn)變?yōu)镃ISO和CIO心目中永遠(yuǎn)的強(qiáng)大業(yè)務(wù)破壞者。

從那時(shí)起，DDoS攻擊已經(jīng)成為一種非常常見的威脅，因?yàn)樗鼈兺ǔ１挥脕?lái)實(shí)施報(bào)復(fù)，進(jìn)行敲詐勒索，作為一種在線行動(dòng)主義的手段，甚至用于發(fā)動(dòng)網(wǎng)絡(luò)戰(zhàn)。

多年來(lái)，DDoS攻擊也變得更具威脅性。在20世紀(jì)90年代中期，一次攻擊可能包括每秒發(fā)送150個(gè)請(qǐng)求——這足以摧毀許多系統(tǒng)?，F(xiàn)在它們可以超過(guò)1000 Gbps，龐大的僵尸網(wǎng)絡(luò)規(guī)模在很大程度上也推動(dòng)了這一點(diǎn)。

2016年10月，互聯(lián)網(wǎng)基礎(chǔ)設(shè)施服務(wù)提供商Dyn DNS(現(xiàn)在的Oracle DYN)被數(shù)以千萬(wàn)計(jì)的IP地址的DNS查詢浪潮所困擾。通過(guò)Mirai僵尸網(wǎng)絡(luò)執(zhí)行的這次攻擊據(jù)報(bào)道感染了超過(guò)10萬(wàn)臺(tái)物聯(lián)網(wǎng)設(shè)備，包括IP攝像頭和打印機(jī)。在其巔峰時(shí)期，Mirai機(jī)器人數(shù)量達(dá)到了40萬(wàn)臺(tái)。包括亞馬遜，Netflix，Reddit，Spotify，Tumblr和Twitter在內(nèi)的服務(wù)都收到干擾。

2018年初，一種新的DDoS技術(shù)開始出現(xiàn)。2月28日，版本控制托管服務(wù)GitHub遭到了大規(guī)模的拒絕服務(wù)攻擊，每秒1.35 TB的流量攻擊了這個(gè)熱門網(wǎng)站。雖然GitHub只是斷斷續(xù)續(xù)地下線，并在不到20分鐘的時(shí)間內(nèi)成功地?fù)敉肆斯?，但攻擊的?guī)模令人擔(dān)憂，因?yàn)樗^(guò)了Dyn攻擊，后者的峰值為每秒1.2 TB。

對(duì)發(fā)起攻擊的技術(shù)的分析顯示，在某些方面，它比其他攻擊更簡(jiǎn)單。雖然Dyn攻擊是Mirai僵尸網(wǎng)絡(luò)的產(chǎn)物，它需要惡意軟件來(lái)感染數(shù)以千計(jì)的物聯(lián)網(wǎng)設(shè)備，但GitHub攻擊利用了運(yùn)行Memcached內(nèi)存緩存系統(tǒng)的服務(wù)器，該系統(tǒng)可以在響應(yīng)簡(jiǎn)單請(qǐng)求時(shí)返回非常大的數(shù)據(jù)塊。

Memcached僅用于在內(nèi)部網(wǎng)絡(luò)上運(yùn)行的受保護(hù)服務(wù)器上，通常幾乎沒有安全機(jī)制來(lái)防止惡意攻擊者欺騙IP地址，并向毫無(wú)戒心的受害者發(fā)送大量數(shù)據(jù)。不幸的是，成千上萬(wàn)的Memcached服務(wù)器正在開放的互聯(lián)網(wǎng)上，并且它們?cè)贒DoS攻擊中的使用率也出現(xiàn)了激增。說(shuō)服務(wù)器被“劫持”是不公平的，因?yàn)樗麄儠?huì)在不問(wèn)任何問(wèn)題的情況下欣然發(fā)送數(shù)據(jù)包。

在GitHub攻擊幾天后，另一場(chǎng)基于memecached的DDoS攻擊以每秒1.7 TB的數(shù)據(jù)攻擊了一家美國(guó)服務(wù)提供商。

Mirai僵尸網(wǎng)絡(luò)的重要性在于，與大多數(shù)DDoS攻擊不同，它利用了易受攻擊的物聯(lián)網(wǎng)設(shè)備，而不是PC和服務(wù)器。根據(jù)BI Intelligence的說(shuō)法，到2020年人們認(rèn)為將會(huì)有340億互聯(lián)網(wǎng)連接設(shè)備，而且大多數(shù)(240億)都是物聯(lián)網(wǎng)設(shè)備，這一點(diǎn)是特別可怕的。

不幸的是，Mirai不會(huì)是最后一個(gè)使用IOT的僵尸網(wǎng)絡(luò)。一項(xiàng)針對(duì)Akamai、Cloudflare、Flashpoint、谷歌、riskq和Cymru安全團(tuán)隊(duì)的調(diào)查，發(fā)現(xiàn)了一個(gè)規(guī)模類似的僵尸網(wǎng)絡(luò)，名為WireX，由100個(gè)國(guó)家的10萬(wàn)部受到攻擊的Android設(shè)備組成。針對(duì)內(nèi)容提供商和內(nèi)容交付網(wǎng)絡(luò)的一系列大型DDoS攻擊促使調(diào)查展開。

DDoS攻擊的今天

盡管DDoS攻擊的數(shù)量一直在下降，但它們?nèi)匀皇且粋€(gè)重大威脅。卡巴斯基實(shí)驗(yàn)室(Kaspersky Labs)報(bào)告稱，由于“異?；钴S的9月”，除了第三季度外，2018年DDoS攻擊的數(shù)量比前一年每季度都有所下降?？偟膩?lái)說(shuō)，DDoS活動(dòng)在2018年下降了13%。

卡巴斯基表示，最近發(fā)現(xiàn)的像Torii和DemonBot這樣能夠發(fā)起DDoS攻擊的僵尸網(wǎng)絡(luò)令人擔(dān)憂。Torii能夠接管一系列物聯(lián)網(wǎng)設(shè)備，被認(rèn)為比Mirai更持久、更危險(xiǎn)。DemonBot劫持Hadoop集群，這讓它獲得了更多的計(jì)算能力。

另一個(gè)令人擔(dān)憂的趨勢(shì)是，像0x-booter這樣新的DDoS啟動(dòng)平臺(tái)的可用性。DDoS攻擊利用了大約16000個(gè)感染了Bushido惡意軟件(Mirai變種)的物聯(lián)網(wǎng)設(shè)備。

卡巴斯基報(bào)告確實(shí)找到了減少DDoS攻擊量及其造成的損害的理由。它引用了全球法律執(zhí)行機(jī)構(gòu)在關(guān)閉DDoS運(yùn)營(yíng)商方面的有效性，這可能是攻擊減少的一個(gè)原因。

DDoS攻擊工具

通常，DDoS攻擊者依賴于僵尸網(wǎng)絡(luò)——由受惡意軟件感染的系統(tǒng)集中控制的網(wǎng)絡(luò)集合。這些被感染的端點(diǎn)通常是計(jì)算機(jī)和服務(wù)器，但越來(lái)越多的是物聯(lián)網(wǎng)和移動(dòng)設(shè)備。攻擊者將通過(guò)識(shí)別他們發(fā)起網(wǎng)絡(luò)釣魚攻擊、惡意攻擊和其他大規(guī)模感染技術(shù)感染的脆弱系統(tǒng)來(lái)獲取這些系統(tǒng)。越來(lái)越多的攻擊者還會(huì)從構(gòu)建僵尸網(wǎng)絡(luò)的人那里租用這些網(wǎng)絡(luò)。

三種類型的DDoS攻擊

DDoS攻擊有三種主要類型——第一種是使用大量虛假流量來(lái)攔截網(wǎng)站或服務(wù)器等資源的攻擊，包括ICMP、UDP和欺騙數(shù)據(jù)包泛濫攻擊。另一類DDoS攻擊是使用數(shù)據(jù)包來(lái)攻擊網(wǎng)絡(luò)基礎(chǔ)設(shè)施和基礎(chǔ)設(shè)施管理工具。這些協(xié)議攻擊包括SYN flood和Smurf DDoS等。最后，一些DDoS攻擊以組織的應(yīng)用層為目標(biāo)，通過(guò)向應(yīng)用程序大量發(fā)送惡意編寫的請(qǐng)求來(lái)執(zhí)行。三種類型的目標(biāo)是一樣的:讓在線資源變得遲鈍或完全沒有反應(yīng)。

DDoS攻擊是如何演變的

正如上面提到的，通過(guò)租用的僵尸網(wǎng)絡(luò)進(jìn)行這些攻擊變得越來(lái)越普遍，預(yù)計(jì)這種趨勢(shì)將繼續(xù)下去。

另一個(gè)趨勢(shì)是在攻擊中使用多個(gè)攻擊媒介，也稱為高級(jí)持久性拒絕服務(wù)APDoS。例如，APDoS攻擊可能涉及應(yīng)用層，例如對(duì)數(shù)據(jù)庫(kù)和應(yīng)用程序的攻擊以及直接在服務(wù)器上的攻擊?！斑@不僅僅是'洪水泛濫'”二元防御合伙人成功執(zhí)行董事Chuck Mackey說(shuō)道。

此外，Mackey解釋說(shuō)，攻擊者通常不僅直接針對(duì)受害者，而且還針對(duì)他們所依賴的組織，如ISP和云提供商?！斑@些是廣泛的，影響大的攻擊，協(xié)調(diào)良好，”。

這也正在改變DDoS攻擊對(duì)組織的影響并擴(kuò)大其風(fēng)險(xiǎn)。Foley&Lardner律師事務(wù)所的網(wǎng)絡(luò)安全律師Mike Overly說(shuō)：“企業(yè)不再僅僅關(guān)注自身的DDoS攻擊，而是攻擊那些企業(yè)所依賴的大量業(yè)務(wù)合作伙伴和供應(yīng)商。” “安全領(lǐng)域最古老的諺語(yǔ)之一是：企業(yè)的安全程度取決于它最薄弱的環(huán)節(jié)。在今天的環(huán)境中(最近的違規(guī)行為證明)，最薄弱的環(huán)節(jié)可能是并且經(jīng)常是第三方之一，“他說(shuō)。

當(dāng)然，隨著犯罪分子完善他們的DDoS攻擊，技術(shù)和戰(zhàn)術(shù)將不會(huì)停滯不前。正如JASK安全研究主管Rod Soto解釋的那樣，新的物聯(lián)網(wǎng)設(shè)備的增加，機(jī)器學(xué)習(xí)和人工智能的興起都將在改變這些攻擊中發(fā)揮作用?！肮粽咦罱K也會(huì)將這些技術(shù)集成到攻擊中，使得防御者更難以趕上DDoS攻擊，特別是那些無(wú)法通過(guò)簡(jiǎn)單的ACL或簽名阻止的攻擊。DDoS防御技術(shù)也必須朝著這個(gè)方向發(fā)展，“。