DDoS 攻击

DDoS攻击是非常常见的一种攻击,根据最新的统计,2018年日均千亿次攻击,频繁程度让人瞠目。随着黑客技术的不断发展,DDoS攻击变得越来越简单和自动化,发动一次DDoS攻击并不需要太高的技术门槛,攻击流量也从最开始的10GB、90GB,逐渐扩大至300GB、400GB,如今已经以“T”级别来计算,DDoS攻击几乎在以飞跃式的速度增长。
几十年来,拒绝服务攻击一直是犯罪工具箱的一部分,而且只会变得越来越普遍和强大。

什么是 DDoS 攻击?

分布式拒绝服务 ( DDoS ) 攻击是指攻击者通过攻击的方式试图使服务无法交付。这可以通过阻止对几乎任何设施的访问来实现:服务器、设备、服务、网络、应用程序,甚至应用程序中的特定事务。在 DoS 攻击中,它是一个发送恶意数据或请求的系统 ; DDoS攻击来自多个系统。

通常,这些攻击通过淹没具有数据请求的系统来工作。这可能是通过向web服务器发送大量请求来攻击页面,导致页面在请求下崩溃;也可能是向数据库发送大量查询。其结果是使得可用的internet带宽、CPU和RAM容量变得不堪重负。

其影响可能是小到服务中断,大到整个网站、应用程序甚至整个业务离线。

DDoS 攻击的症状

DDoS攻击看起来像许多可以导致可用性问题的非恶意的东西——比如服务器或系统宕机,来自合法用户的合法请求太多,甚至是电缆被切断。它通常需要流量分析来确定到底发生了什么。

那些著名的 DDoS 攻击事件

2000年初,加拿大高中生Michael Calce(又名MafiaBoy)对雅虎发动攻击!通过分布式拒绝服务(DDoS)攻击,设法关闭了当时领先的web引擎之一。在接下来的一周中,Calce瞄准并成功破坏了亚马逊,CNN和eBay等其他网站。这是一场永久改变如何看待拒绝服务攻击的攻击事件。

当然,这不是第一次DDoS攻击,但这一系列高度公开和成功的攻击,将拒绝服务攻击从新奇和小麻烦转变为CISO和CIO心目中永远的强大业务破坏者。
从那时起,DDoS攻击已经成为一种非常常见的威胁,因为它们通常被用来实施报复,进行敲诈勒索,作为一种在线行动主义的手段,甚至用于发动网络战。

多年来,DDoS攻击也变得更具威胁性。在20世纪90年代中期,一次攻击可能包括每秒发送150个请求——这足以摧毁许多系统。现在它们可以超过1000 Gbps,庞大的僵尸网络规模在很大程度上也推动了这一点。

2016年10月,互联网基础设施服务提供商Dyn DNS(现在的Oracle DYN)被数以千万计的IP地址的DNS查询浪潮所困扰。通过Mirai僵尸网络执行的这次攻击据报道感染了超过10万台物联网设备,包括IP摄像头和打印机。在其巅峰时期,Mirai机器人数量达到了40万台。包括亚马逊,Netflix,Reddit,Spotify,Tumblr和Twitter在内的服务都收到干扰。

2018年初,一种新的DDoS技术开始出现。2月28日,版本控制托管服务GitHub遭到了大规模的拒绝服务攻击,每秒1.35 TB的流量攻击了这个热门网站。虽然GitHub只是断断续续地下线,并在不到20分钟的时间内成功地击退了攻击,但攻击的规模令人担忧,因为它超过了Dyn攻击,后者的峰值为每秒1.2 TB。

对发起攻击的技术的分析显示,在某些方面,它比其他攻击更简单。虽然Dyn攻击是Mirai僵尸网络的产物,它需要恶意软件来感染数以千计的物联网设备,但GitHub攻击利用了运行Memcached内存缓存系统的服务器,该系统可以在响应简单请求时返回非常大的数据块。
Memcached仅用于在内部网络上运行的受保护服务器上,通常几乎没有安全机制来防止恶意攻击者欺骗IP地址,并向毫无戒心的受害者发送大量数据。不幸的是,成千上万的Memcached服务器正在开放的互联网上,并且它们在DDoS攻击中的使用率也出现了激增。说服务器被“劫持”是不公平的,因为他们会在不问任何问题的情况下欣然发送数据包。

在GitHub攻击几天后,另一场基于memecached的DDoS攻击以每秒1.7 TB的数据攻击了一家美国服务提供商。

Mirai僵尸网络的重要性在于,与大多数DDoS攻击不同,它利用了易受攻击的物联网设备,而不是PC和服务器。根据BI Intelligence的说法,到2020年人们认为将会有340亿互联网连接设备,而且大多数(240亿)都是物联网设备,这一点是特别可怕的。

不幸的是,Mirai不会是最后一个使用IOT的僵尸网络。一项针对Akamai、Cloudflare、Flashpoint、谷歌、riskq和Cymru安全团队的调查,发现了一个规模类似的僵尸网络,名为WireX,由100个国家的10万部受到攻击的Android设备组成。针对内容提供商和内容交付网络的一系列大型DDoS攻击促使调查展开。

如今的 DDoS 攻击

尽管DDoS攻击的数量一直在下降,但它们仍然是一个重大威胁。卡巴斯基实验室(Kaspersky Labs)报告称,由于“异常活跃的9月”,除了第三季度外,2018年DDoS攻击的数量比前一年每季度都有所下降。总的来说,DDoS活动在2018年下降了13%。

卡巴斯基表示,最近发现的像Torii和DemonBot这样能够发起DDoS攻击的僵尸网络令人担忧。Torii能够接管一系列物联网设备,被认为比Mirai更持久、更危险。DemonBot劫持Hadoop集群,这让它获得了更多的计算能力。

另一个令人担忧的趋势是,像0x-booter这样新的DDoS启动平台的可用性。DDoS攻击利用了大约16000个感染了Bushido恶意软件(Mirai变种)的物联网设备。

卡巴斯基报告确实找到了减少DDoS攻击量及其造成的损害的理由。它引用了全球法律执行机构在关闭DDoS运营商方面的有效性,这可能是攻击减少的一个原因。

DDoS 攻击常用的工具

通常,DDoS攻击者依赖于僵尸网络——由受恶意软件感染的系统集中控制的网络集合。这些被感染的端点通常是计算机和服务器,但越来越多的是物联网和移动设备。攻击者将通过识别他们发起网络钓鱼攻击、恶意攻击和其他大规模感染技术感染的脆弱系统来获取这些系统。越来越多的攻击者还会从构建僵尸网络的人那里租用这些网络。

三种类型的 DDoS 攻击

第一种: 使用大量虚假流量来拦截网站或服务器等资源的攻击,包括ICMP、UDP和欺骗数据包泛滥攻击。

第二种: DDoS攻击是使用数据包来攻击网络基础设施和基础设施管理工具。这些协议攻击包括SYN flood和Smurf DDoS等。

第三种: 一些DDoS攻击以组织的应用层为目标,通过向应用程序大量发送恶意编写的请求来执行。

三种类型的目标是一样的:让在线资源变得迟钝或完全没有反应。

DDoS 攻击相关时间轴

1996年

9月19日,CERT/CC发布公告,使用源IP地址欺骗的 TCP SYN 洪水攻击处于增长趋势。

9月19日至21日,互联网服务提供商PANIX一连三天遭到持续的DDoS攻击,影响到大量使用PANIX作电子服务平台的用户。

1997年

早期的DDoS工具从地下浮现,Trinoo、Tribe Flood、TFN2K、Shaft等工具进入人们的视野。当时使用的攻击资源为IRC、Eggdrop或是中了Sub7木马的肉鸡。

1998年

1月,通过反欺骗防护DDoS攻击的工具 RFC 2267 发布,并很快成为众多网络厂商采用的最佳实践。

2月7日至20日,名为“黑手党男孩”的黑客对多个电子商务网站发动持续性DDoS攻击,据加拿大皇家警察和美国FBI的调查,黑手党男孩通过IRC吹嘘他的“战绩”。

2001年

黑手党男孩被判处8个月的“公开监禁”,一年的假释期,限制使用互联网,并处于少量罚金。

8月15日,Smurf Amplifier Registry 发布,帮助发现和禁用在DDoS中被滥用的“Smurf Amplifier”。这种攻击使用假冒的广播地址发送ICMP,让受害者接收反馈的流量。到2012年,超过19.3万个网络得到修复。

2002年

10月19日至21日,大规模Smurf攻击根DNS服务器,并造成一些网站的瘫痪。最终攻击被击退,当时的攻击总流量达到900Mbps。

2003年

9月,美国国会推动网络安全立法,要求私人企业及上市公司上报他们的网络安全工作。

2007年

4月7日至5月10日,爱沙尼亚由于与俄罗斯的政治紧张关系,遭受了持续一个多月的DDoS攻击。

2008年

1月21日,匿名者首次高调发动DDoS攻击,反动教会逼迫网站删除汤姆·克鲁斯的采访视频。

2010年

12月3日至5日,由于阻止了维基解密的支付功能,在线支付及金融服务公司的网站被攻击。

2011年

4月20日至26日,索尼遭受DDoS攻击,目的是为了掩盖盗取索尼PS的用户数据。

6月9日,美国中央情报局局长 Leon Panetta 表示:“下一次珍珠港事件,很可能是网络攻击致使美国的电网、安全和金融系统的瘫痪。”

2012年

3月24日,加拿大新民主党的竞选投票系统被攻击,投票时间和投票人数均受影响。

9月4日,匿名者为抗议对阿桑奇的行为,攻击了美国和两国政府的网站,包括英国情报机构M15和M16。

9月18日,伊斯兰教组织 Izz Ad-Din 为抗议美国博客写手发布的穆斯林视频,攻击美国网站,该行动命名为“Ababil”。

2013年

3月16日,国际反垃圾邮件组织(Spamhaus)因为其列出了网络犯罪者托管企业的阻断名单,而遭到了垃圾信息和僵尸网络高达300Gbps的攻击。

5月13日,FBI表示,和银行展开更多的合作是探测网络攻击的关键。

2014年

7月28日,急剧下降的DDoS攻击与以色列和伊斯兰抵抗运动(Hamas)之间最终未达成停火协商相关。

11月24日,在一名仅持有BB弹仿真手枪的12岁小男孩,Tamir Rice,在克利夫兰公园被当地警员击毙后,匿名者封闭了其在克利夫兰市的网站并上传了一段视频。

12月25日,黑客组织“蜥蜴部队”(Lizard Squad)宣布对其在SONY的PlayStation Network和微软的Xbox live上发动的DDoS攻击负责。

2015年

12月15日,在土耳其发生击落俄罗斯军用飞机事件之后,土耳其遭到大规模DDoS攻击。

2016年

3月15日,匿名者宣布发动 #OpTrump 行动。

8月,里约奥运官方网站遭受大规模、复杂的DDoS网络攻击,攻击峰会流量达到500Gbps。

10月21日,提供动态DNS服务的Dyn DNS遭到了大规模DDoS攻击,攻击主要影响其位于美国东区的服务。此次攻击导致许多使用DynDNS服务的网站遭遇访问问题,其中包括 GitHub、Twitter、Airbnb、Reddit、Freshbooks、Heroku、SoundCloud,、Spotify 和 Shopify。攻击导致这些网站一度瘫痪,Twitter甚至出现了近24小时0访问的局面。

2018年

1月底,美国国防部遭受了大量垃圾邮件攻击,在随后的3月下旬,俄罗斯国防部也遭受了DDOS攻击。

3月初,一系列针对GitHub和某服务提供商的攻击,此次攻击制造了破纪录的攻击流量 —— 超过1TB/s。这些巨额流量通过利用Linux平台的缓存服务Memcached漏洞实现。

二十多年的时间里,随着黑客技术发展,利用物联网设备组建僵尸网络发起攻击的现象也日益严峻,墨者安全的网络安全之路可谓任重道远,如何解决日益增多的难题成为墨者安全未来发展的考验。而对于企业来说,提高网络安全意识,合理部署墨者安全高防产品,DDOS高防可在较大程度上降低DDoS攻击造成的损失。