您现在的位置是:首页 > 头条新闻 >
DDoS之殇:拷问防御能力
2013-04-15 17:07:14作者:姜姝来源:中国电脑教育报
摘要隐藏在分布式拒绝服务攻击(简称DDoS)背后的攻击动机已经从单纯的经济利益转变为具有社会性和政治动机的,针对政府、媒体、甚至是企业......
隐藏在分布式拒绝服务攻击(简称DDoS)背后的攻击动机已经从单纯的经济利益转变为具有社会性和政治动机的,针对政府、媒体、甚至是企业的活动。隐藏利益的巨大,导致DDoS攻击在近期爆发不断,警惕DDoS带来的“网络战”,了解最新的DDoS攻击动态,并学习隔阻攻击,是一项迫不及待的任务。
开放DNS解析器引发最强攻击
据外媒体报道,从3月18日开始,到3月28日结束,欧洲反垃圾邮件组织Spamhaus经历持续10天的阻断式服务攻击(DDoS),此次攻击主要通过开放的DNS解析器,流量从一开始的10Gbps、90Gbps,逐渐扩大至300Gbps,成为网络史上最严重的一次DDoS攻击,差点致使欧洲网络瘫痪。
据了解,Spamhaus是因为把垃圾邮件用户Cyberbunker纳入黑名单后遭受其报复攻击行动。整个过程是这样的,从第一天起他们便发现黑客主要通过开放的DNS解析器进行攻击,第一天的攻击流量只有10Gbps,第二天的攻击高峰达到 90Gbps,第三天则维持在30Gbps至90Gbps之间,然后黑客休息了一天。3月22日,黑客再次展开攻击,攻击流量达到120Gbps,从规模来看已是最大的DDoS攻击行动之一,但随后黑客改变策略,不再直接攻击Spamhaus,而是转为锁定CloudFlare的带宽供货商。
全球网络依赖各个不同网络间主动串起的连结,像是Google、Yahoo等大型企业或是AT&T等带宽供货商之间的连结,以及各地所建立的网络交换中心(Internet Exchange,IX)。CloudFlare即与不同的网络及IX保持链接。当黑客知道就算以100Gbps的攻击流量都无法击溃CloudFlare时,他们转而攻击CloudFlare的多家ISP,攻击流量甚至超过300Gbps,并使得这些第一层的ISP开始出现拥挤与速度变慢的现象。黑客还攻击了欧洲某些城市设置的IX,这也是导致欧洲最近网络变得断断续续的主因。
CloudFlare方面则认为,此一攻击的最大问题还是在开放的DNS解析器。开放的DNS解析器能够允许任何人传送 IP地址来解析域名,但逐渐被DDoS所利用,恶意人士可伪装自己为攻击目标网站,然后传送要求至这些开放DNS解析器,以DNS解析器回传的大量数据来 瘫痪目标网站,早就成为资安用户眼中的安全漏洞。
相较于传统的DDoS以效能及网络资源相对有限的殭尸计算机作为攻击媒介,开放DNS解析器通常使用更高效能的服务器而且也有更大的带宽,所能造成的破坏也相当惊人。此次的DDoS攻击只利用了超过10万个开放的DNS解析器,但现 在网络上有问题的开放DNS解析器数量多达2500万个。
DDoS攻防市场巨大
欧洲遭遇史上最强的DDoS攻击似乎只是刚刚开始,这一类型的攻击将成为网络攻击的主流。而市场调查公司IDC近期发布了一篇名为“全球攻击防御产品和服务2013-2017年预测”的研究,据公布,分布式拒绝服务(DDoS)攻击和DoS攻击防御解决方案市场在2012年到2017年间预计将增长18.2%,达到8.7亿美元的开支。
该报告预测称,最常见类型攻击类型仍然是“流量型”拒绝服务攻击。根据IDC的安全产品方案的研究经理John Grady所说,攻击者将“流量型攻击”作为常用的攻击策略侵占带宽来攻击IT基础设施。
在过去的十年中“流量型攻击”是最常见的攻击,我们过去一周看到的大量攻击都是建立在“流量型攻击”为基础上的。 Grady告诉我们的网站。他指的是上周广泛影响全球互联网用户的DDoS攻击。
在本次事件中,CyberBunker,一个总部位于荷兰的虚拟主机,被指控对Spamhaus发动DDoS攻击,由于一个非营利性的反垃圾邮件列入黑名单——它们最终成长为成为世界上最大的同类的攻击并以此作为报复,破坏者利用每秒涵盖300千兆字节的流量来进行攻击。
“除了流量型攻击,攻击者也会使用传统手段来攻击网站,Grady说,利用消耗更少的带宽,或者利用加密的流量对应用层进行攻击正变得越来越普遍。
他说:“(这些)攻击是很难发现的,因为他们更好地模仿了合法流量。”Spamhaus的CyberBunker事件也让我们增加了对概念的认知,因为任何人都可以相对容易来发动DDoS攻击的目标。一个广为人知的例子是进入秋季以来对美国银行网站上进行的攻击。
DDoS攻击防护公司Prolexic在12月发布了一份报告,宣布在2012年第三季度与2011年同期在总人数的DDoS攻击上相比增加了88%。
体系化防御DDoS“网络战”
在具体的DDoS攻击中,特别要重视针对国家的“网络战”风起云涌。迈克菲实验室最近的一份报告指出:“国家和军队将越来越频繁地参与网络战,并成为受害者。”今天,面对复杂多变的国际形式,“网络战”不再是传说,已经实实在在的发生在我们身边,捍卫虚拟网络空间已经上升到国家级备战的高度。
在网络战中,DDoS攻击始终充当先锋,大量由黑客组织甚至是“敌对”国家发起的DDoS攻击,造成了巨大经济损失和极坏的不良影响,防御DDoS攻击成为电信、政府、金融、能源、电商等需要对互联网提供服务的组织的必选项,必须加以重视,构建有效防御措施。
针对DDoS攻击,需采用体系化防御的思想,我们以网御星云的抗DDoS解决方案为例,描述如何构建监控、管理、清洗三位一体的抗DDoS防御工事,方案如下图所示:
该防御体系由三个独立但又相互互动的系统构成:
A.异常流量监控检测系统:实现全网异常流量的实时监控,并通过智能基线模型及时发现和定位DDoS攻击,分析数据上报管理系统;
B.异常流量管理系统:接收监控检测系统的数据,进行全局关联分析,全网掌控DDoS态势,并根据清洗系统的部署位置,合理调度清洗系统,下达清洗策略;
C.异常流量清洗系统:接收清洗指令,实现网络流量牵引、清洗和回注,深度筛选攻击数据包,消灭DDoS攻击。
通过部署DDoS防御体系可实现对DDoS的近源打击,最大限度的保障互联网服务的可用性,提高互联网服务的客户体验度,防止由于断网造成的经济或社会的不良影响,是应对“网络战”的必要措施。
相关链接:
移动设备或将成为未来的DDoS攻击工具
除非移动设备安全得到显著提高,否则智能手机和平板电脑预计将成为攻击企业网站的分布式拒绝服务(DDoS)攻击的“跳板”。
据悉,大多数移动设备缺乏安全性,加上不断提高的带宽和处理能力,使这些设备成为攻击者的目标平台。此外,从移动设备发动DDoS攻击所需要的技术技能并不是很高,移动DDoS攻击的出现只是时间问题。
事实上,有研究人员去年发现Android恶意软件可能被用来发动DDoS攻击。提供托管网络服务的Rivalhost表示,俄罗斯杀毒软件和安全公司Dr. Web是第一家报告发现用于这一目的的木马的公司。该恶意软件被称为Android.DDoS.1.origin,首先它伪装成Google Play应用程序,并将受害者带到谷歌应用商店以消除怀疑。而实际上,该应用与攻击者控制的服务器保持通信,并在收到指令前都保持空闲状态。
此外,McAfee发现一个名为Low Orbit Ion Cannon(LOIC)的常见DDoS工具已被重新设计为针对Android平台,在拉丁美洲的Anonymous组织推动了该移植技术,该技术完全不需要编程技巧。虽然目前目前还没有移动设备被用于DDoS攻击,Pascual认为这只是时间问题。最新的Javelin调查发现,美国不到三分之一的移动设备安装了安全软件,这意味着超过1.02亿台设备没有受到保护。
Android特别容易成为攻击目标,因为很多网上商店都在为该平台发布应用程序。在美国以外的网上商店已经成为恶意软件的主要来源。此外,设备制造商和无线运营商发布该操作系统的新版本的速度很慢,这使用户更容易受到攻击。
虽然需要成千上万台智能手机才能造成最新银行攻击相同的攻击局面,但这种大规模的攻击形式并不多见。在去年二月发布的一份报告中,Radware发现四分之三的攻击不超过1Gbps带宽,较低带宽的攻击往往针对web服务器的应用层,而不是专注于搞垮网络。如果想要在不中断网站访问者的服务的情况下,来自移动设备的攻击将更难以阻止。
随着运营商推出应用程序来将智能手机变为“电子钱包”,移动设备的威胁将会增加,随着手机金融应用的推广,我们将需要进一步探讨如何提高移动设备安全性的问题。
(本文不涉密)
责任编辑:
上一篇:BYOD涌入企业:拒绝还是拥抱?
下一篇:王韬:基于电子病历的医学数据应用