從DoS到APDoS:DDoS攻擊進化史
什麼是DDoS攻擊?
分散式拒絕服務(DDoS)攻擊是指攻擊者利用合理服務請求佔用過多的資源,致使目標系統無法提供正常服務。這可以通過阻止各類訪問請求來實現:伺服器、裝置、服務、網路、應用程式,甚至程式內的特定事務等。DoS攻擊是一個系統傳送惡意資料或請求,而DDoS攻擊可以來自多個系統。
通常,DDoS攻擊是通過請求資料來攻擊淹沒系統的。它可能是向Web伺服器傳送大量請求致使頁面崩潰,或者是一個包含大量查詢命令的資料庫。後果是可用的網際網路頻寬、CPU和RAM容量不堪重負,其影響範圍可能是應用程式和網站體驗服務的中斷,甚至導致整個業務宕機。
DDoS攻擊的症狀
DDoS攻擊看起來和一些非惡意事件一樣,例如:伺服器或系統崩潰、過多的合法請求、甚至電纜被切斷等等。通常需通過流量分析才能確定癥結所在。
DDoS攻擊的發展史
然而,DDoS攻擊的危害讓人們改變了對它的看法。在2000年年初,加拿大高中生邁Michael Calce通過一個分散式拒絕服務(DDoS)攻擊,設法關閉了當時全球最主要入口網站之一雅虎(Yahoo)的服務。在接下來的一週中,Calce又成功地中斷了Amazon、CNN和eBay等其他網站。
當然這並不是DDoS攻擊的第一次實施,但是一連串高調且成功的攻擊使得DDoS從新奇、輕微的滋擾轉變成首席資訊保安官和資訊長維護業務安全運營的噩夢。
從那時起,DDoS攻擊已成為一種頻繁發生的威脅。通常用於目標明確的報復,進行敲詐勒索,甚至發動網路戰。
經過多年的發展和演變,DDoS攻擊的功能和危害也變得越來越大。20世紀90年代中期的攻擊每秒可能只有150次請求,但這足以讓許多系統癱瘓。如今他們傳播的速度甚至超過1000Gbps。這在很大程度上是由現代殭屍網路的龐大規模所推動的。
2016年10月,網際網路基礎架構服務提供商Dyn DNS(現在的Oracle DYN)遭到數以千萬計的IP地址的DNS查詢服務的襲擊。通過殭屍網路病毒“Mirai”實施的這次攻擊據報道感染了超過十萬臺物聯網裝置,包括IP攝像機和印表機。在其爆發的高峰期,“Mirai”殭屍網路病毒感染了40萬臺以上的機器人。包括Amazon、Netflix、Reddit、Spotify、Tumblr和Twitter在內的服務都遭到攻擊。
在2018年初,一種新的DDoS技術開始出現。2月28日,GitHub遭遇了可能是迄今為止最大的DDoS攻擊,最高訪問量為1.35Tbps。儘管Github經歷了兩次間歇性不可訪問,但在20分鐘內擊退了攻擊。這次攻擊的規模令人擔憂,因為它超過了Dyn攻擊(1.2Tbps)。
對這次攻擊技術的分析顯示,它在某些方面比其他攻擊更簡單。雖然Dyn攻擊是Mirai殭屍網路的產物,它需要惡意軟體來攻擊成千上萬的物聯網裝置,但GitHub攻擊利用了執行Memcached記憶體快取系統的伺服器,該系統可以響應簡單的請求返回非常大的資料塊。
Memcached是一個高效能的分散式記憶體物件快取系統,用於動態Web應用以減輕資料庫負載。
Memcached僅用於在內部網路上執行的受保護伺服器上,並且通常幾乎沒有安全性來防止惡意攻擊者欺騙IP地址和向毫無戒心的受害者傳送大量資料。不幸的是,成千上萬的Memcached伺服器正在開放的網際網路上,並且它們在DDoS攻擊中的使用率已大幅上升。不能說伺服器被“劫持”,因為它們會在不提出資料請求的情況下興奮地傳送資料包。
在GitHub攻擊發生幾天後,另一個基於Memecached的DDoS攻擊猛烈湧入美國服務提供商,每秒資料為1.7TB。
與大多數DDoS攻擊不同,“Mirai”殭屍網路的特點在於主要攻擊安全防護比較脆弱的物聯網裝置,而非電腦和伺服器。據調研機構BI Intelligence的調查到2020年將有340億臺網際網路連線裝置,而大多數(240億臺)將是物聯網裝置。
不幸的是,“Mirai”不會是最後一個物聯網的殭屍網路。Akamai、Cloudflare、Flashpoint、Google、RiskIQ和Team Cymru等安全團隊的調查發現了一個類似規模的殭屍網路——WireX,由100個國家內10萬檯安全裝置組成的殭屍網路。而這次調查是針對內容提供商和內容傳送網路的一系列大型DDoS攻擊所促成的。
當今的DDoS攻擊
雖然DDoS攻擊量一直在下降,但它們仍然是一個重大威脅。卡巴斯基實驗室報告說:“九月攻擊異常活躍”,即除了第三季度之外,DDoS攻擊的數量呈現下降態勢。總體而言,DDoS活動在2018年下降了13%。
據卡巴斯基稱,最近發現的像Torii和DemonBot這樣能夠發動DDoS攻擊的殭屍網路是一個值得關注的問題。Torii能夠接管一系列物聯網裝置,被認為比Mirai更具永續性和危險性。DemonBot劫持了Hadoop叢集,使其能夠獲得更多的計算能力。
另一個驚人的趨勢是新的DDoS攻擊平臺如0x-booter的可用性。這種DDoS攻擊利用了大約1.6萬個感染了惡意軟體的物聯網裝置,這是一種Mirai變體。
卡巴斯基報告確實找到了減少DDoS攻擊量及其造成損害的因素。它引用了全球法律執行機構在關閉DDoS運營商方面的有效性,這可能是攻擊減少的原因。
常見的三種DDoS攻擊
DDoS攻擊有三個主要類別:
- 第一類是使用大量虛假流量來降低資源(如網站或伺服器),包括ICMP、UDP和欺騙資料包泛洪攻擊;
- 第二類是DDoS攻擊使用資料包來定位網路基礎架構和基礎架構管理工具。這些協議攻擊包括SYN Floods和Smurf DDoS等;
- 第三類是一些DDoS攻擊針對組織的應用層,並通過惡意請求來淹沒應用程式。
這三個類別的DDoS攻擊目標是一致的:使網路資源反應遲鈍或完全無反應。
DDoS攻擊如何演變
綜上所述,這些攻擊通過租用的殭屍網路來實現變得越來越普遍。而這一趨勢將會持續下去。
另一個趨勢是在攻擊中使用多個攻擊向量,也稱為高階持久拒絕服務(APDoS)。例如,APDoS攻擊可能涉及應用層,例如對資料庫和應用程式的攻擊以及直接在伺服器上的攻擊。
Binary Defense公司合夥人兼執行總監Chuck Mackey表示:
這超越了單純的洪水攻擊。
此外,Mackey解釋說,攻擊者通常不僅直接針對受害者,還直接攻擊受害者所依賴的組織,如網際網路服務提供商和雲端計算提供商。他表示:這些是具有高影響力的廣泛攻擊,並且協調一致。
這也正在改變DDoS攻擊對組織的影響,並擴大了他們的風險。美國富理達律師事務所(Foley & Lardner LLP)的網路安全律師Mike Overly說:
企業不僅要關心自己免受DDoS攻擊,還要關注其所依賴的廣泛的業務合作伙伴,供應商和服務商是否會遭遇攻擊。安全最古老的諺語之一就是:業務的安全取決於最薄弱環節。在當今的環境(最近的違規行為證明)中,最弱的環節可以就是第三方。
當然,隨著犯罪分子完善他們的DDoS攻擊,技術和戰術將不會停滯不前。正如JASK安全研究主管Rod Soto提到的那樣,新的物聯網裝置的增加、機器學習和人工智慧的興起,都將在改變這些攻擊中發揮作用。
攻擊者最終將這些技術整合到DDoS攻擊中,使安全人員難以應對,特別是那些無法通過簡單的訪問控制列表(ACL)或簽名來阻止的攻擊。因此,DDoS攻擊的安全防禦技術也必須向這個方向發展。