当今互联网上最强大的攻击之一是分布式拒绝服务攻击(DDoS)。它之所以如此强大,是因为其攻击方式多样,每当信息安全专家认为他们已经见识过所有攻击方式时,就会出现新的攻击版本。自21世纪初此类攻击首次出现以来,情况一直如此。
传奇网络安全先驱尤金·卡巴斯基在他的博客上讨论这个话题时说得最好:
DDoS 攻击发展非常迅速……它们变得更加凶猛,技术也更加先进;它们不时采用完全不同寻常的攻击手段;它们追逐新的目标,并打破新的世界纪录,成为有史以来规模最大、最恶毒的 DDoS 攻击。然而,DDoS 所处的世界也在快速演变。所有东西,包括厨房水槽,都连接到互联网:如今,连接到网络的各种“智能”设备的数量远远超过了老式台式机和笔记本电脑的数量。
DDoS 攻击的基本思想是使目标系统过载,直至其无法正常运行。其起源于拒绝服务 (DoS) 攻击,但两者的区别在于涉及的机器数量。DoS 攻击中,只有一台机器攻击目标。而 DDoS 攻击中,发起攻击的机器会得到大量其他机器的协助。
这些机器被称为僵尸网络,它是“机器人”和“网络”的合成词。僵尸网络由数百、数千甚至数百万台受攻击者控制的设备组成。组成僵尸网络的机器被称为“僵尸”。“僵尸”一词指的是被感染的计算机(很像虚构的怪物)。“僵尸”要么感染了恶意软件,要么被利用其软件中的某些漏洞进行攻击。这些“僵尸”的控制方式是通过命令与控制 (C2) 服务器。攻击者向机器发送的所有命令都通过 C2 服务器进行。
僵尸网络过去需要具备专业知识的人来控制。然而,如今任何拥有比特币等加密货币的人都可以租用僵尸网络。DDoS即服务已成为一种极其严重的威胁,因为它允许脚本小子暂时充当黑客恶棍。每次使用DDoS即服务时,客户端都会获得一个易于使用的前端网页。该网页以GUI(图形用户界面)的形式充当命令与控制服务器。它不需要太多的技术知识即可操作,这反过来又使其更加危险。现代网络安全策略不仅需要了解 DDoS 攻击中使用的僵尸网络等潜在威胁,还需要使用先进的
AMS 工具进行有效管理,以便在攻击者利用漏洞之前发现并缓解漏洞。
只需支付加密费用,即可发动大量破坏性僵尸网络攻击,而这类攻击构成了大多数记录在案的 DDoS 攻击。最著名的例子是 Lizard Squad 利用其租用的僵尸网络攻陷了Xbox Live、Playstation Network,甚至朝鲜政府网站。这群由网络巨魔和脚本小子组成的攻击团伙,以多年来未曾见过的狂怒攻击高优先级目标,或许自匿名者黑客行动主义事件以来就从未如此猖獗。他们获得了媒体的广泛曝光,虽然他们的傲慢最终导致当局追查到他们,但他们留下的却是一片混乱。
使用银行级安全并避开 DDOS 攻击
在您的系统上使用久经考验的 VPN,可以减少网络攻击和不必要的网络中断。尽享 PureVPN 的免费 DDoS 插件。
更多关于僵尸网络的信息:著名案例
僵尸网络多年来不断发展,其用途并非仅限于 DDoS 攻击。以下是一些最重要的示例:
Earthlink 垃圾邮件发送者:
这个僵尸网络由 Khan K. Smith 于 2000 年创建,可以说是第一个值得关注的僵尸网络。它的目的并非 DDoS 攻击,而是以高频率发送钓鱼邮件。无论有意还是无意,DDoS 攻击都诞生于此,因为创建它的机制已经诞生。其他僵尸网络也沿用了这种钓鱼攻击的风格,例如 2007 年的 Cutwail。
格鲁姆:
该僵尸网络在2010年制造了大量全球垃圾邮件流量。它最初于2008年成立,在2012年关闭之前,全球约18%的垃圾邮件来自Grum。这些垃圾邮件通常针对药品。当然,这些垃圾邮件是恶意感染用户的。迄今为止,大量的恶意软件感染都是由此类垃圾邮件造成的。
飞克:
Conficker 恶意软件所构建的僵尸网络堪称传奇。它是一种蠕虫病毒,能够轻易突破防御系统,并发展成为 21 世纪头十年规模最大的僵尸网络之一。总共有 400 万台机器被僵尸化并组成了僵尸网络。它在 2009 年达到顶峰,估计全球感染了约 1500 万台机器。数据显示,并非所有受感染的机器都加入了僵尸网络。
马里波萨:
这个僵尸网络在西班牙语中意为“蝴蝶”,它并非优雅的生物。相反,它是2009年最凶猛、最强大的僵尸网络之一。Mariposa 结合使用了点对点 (P2P) 网络、恶意互联网链接以及加载了恶意软件的 USB 驱动器(这是一种常见的社会工程学手段)。最终,FBI 介入,锁定了 Mariposa 的 C2 服务器并将其关闭。然而,在此之前,Mariposa 已经感染了大量财富 500 强企业。它也是历史上最早的 DDoS 即服务僵尸网络之一。
Mirai:
Mirai 是首个利用物联网设备的僵尸网络,它彻底改变了威胁格局。僵尸网络不再仅限于计算机,任何可能被利用的智能设备(冰箱、电视等等)都可能成为僵尸网络的成员。Mirai 本身是一款利用 Minecraft 服务器的恶意软件,但它所做的事情远远超出了游戏的范围。Mirai 传播的最大原因是物联网安全措施不力。僵尸网络功能多样、易于获取且功能强大,难怪它们能如此轻松地实施 DDoS 攻击。
著名的DDoS攻击
为了真正理解分布式拒绝服务 (DDoS) 的威力,就像我们之前研究僵尸网络一样,探索一些知名事件至关重要。下文并非详尽的列表和分析,但应该能够揭示 DDoS 攻击的危险程度。
Github:
2018年,这家广受欢迎的软件存储库网站遭受了大规模DDoS攻击。此次攻击流量高达每秒1.35 Tbits/s,导致Github服务器超载。该公司虽然部署了DDoS防护措施,但最终还是无法抵御如此破纪录的攻击。据GitHub称,数千台自主运行的机器攻击了数万个独立端点。
Cloudflare:
Cloudflare 的名字与 DDoS 防护密不可分,因此各种黑客都想测试他们的防御能力也就不足为奇了。2014 年,Cloudflare 遭受了一次 NTP 反射式 DDoS 攻击。结果,他们的服务器每秒承受了 400 Gbit/s 的压力。
里约奥运会:
2015年,夏季奥运会在巴西里约热内卢如火如荼地举行。与此同时,一场由DDoS即服务僵尸网络发起的大规模DDoS攻击也如火如荼地展开。该僵尸网络名为LizardStresser,与其他僵尸网络合作,攻击了奥委会官方网站。攻击持续了数月,导致相关域名无法正常运行。攻击高峰期,流量高达540 Gbit/s。
Imperva:
与 Cloudflare DDoS 攻击类似,Imperva 也因其 DDoS 缓解服务而成为网络犯罪分子的主要目标。2019 年,Imperva 遭受了一次 SYN DDoS 攻击,峰值约为每秒 5.8 亿个数据包。这远远超过了 Cloudflare 的攻击,至少在 PPS 方面是如此,因为 Cloudflare DDoS 的峰值约为每秒 130 个数据包。
动态:
还记得我们之前讨论过的 Mirai 僵尸网络吗?它曾被用于多起著名的 DDoS 攻击,而这次是规模最大的一次。DNS 提供商 Dyn 在 2016 年就遭受了该僵尸网络的攻击。许多使用 Dyn 服务的知名公司,包括 Netflix、Paypal 和 Reddit,都因这次攻击而瘫痪。
克雷布斯关于安全:
Brian Krebs 是一位备受尊敬的网络安全研究员,他运营着博客“Krebs on Security”。这个博客也成为了 Mirai 僵尸网络的攻击目标,据 Krebs 称,这是他见过的最大规模的 DDoS 攻击。作为一名网络安全记者,Krebs 对 DDoS 攻击并不陌生,但 Mirai 的攻击让他的网站不堪重负。攻击峰值达到 623 Gbit/s 左右,导致整个网站一度瘫痪。
DDoS攻击的类型
虽然这并非详尽无遗的清单,但其目的是展示 DDoS 攻击的多功能性。一些最流行的 DDoS 攻击类型如下:
反射攻击:
攻击者会伪造互联网数据包,使服务器以特定方式响应。其目的是诱使服务器误以为数据包来自其控制的域。这就是它被称为反射的原因,因为拒绝服务攻击是通过诱使服务器“反射”通信来实现的。数据快速高效地传播,在不引起警报的情况下摧毁目标。
ICMP洪水:
攻击者利用恶意的互联网控制消息协议 (ICMP) 数据包对目标进行泛洪攻击。此类攻击有很多种类型,其中一种常见的例子是 ping 泛洪攻击。在ping 泛洪攻击中,攻击者会向目标发送大量的 ping 请求。由于 ping 请求是合法的,因此目标服务器会响应每一个 ICMP 回显请求。最终,来自僵尸网络的泛洪攻击变得过于严重,服务器将无法再通信或接收新的请求。
SYN洪水攻击:
TCP/IP 协议需要三次握手才能与设备建立连接。相比于无需握手的 UDP 协议,Syn-Syn/Ack-Ack 连接可以减少 DDoS 攻击机会。但这并不意味着它不会被利用。在 SYN 泛洪 DDoS 攻击中,僵尸网络会反复发送第一个 SYN 消息,迫使服务器重新开始握手,直到无法处理为止。这种攻击会攻击所有开放端口。
Slowloris:
这种攻击以可爱的亚洲灵长类动物命名,它利用了“慢而稳,胜之不武”这句老话。Slowloris 攻击并非在短时间内用尽可能多的流量使目标过载,而是巧妙地利用了僵尸网络。它会让所有机器发送部分 HTTP 请求,随着时间的推移,最终导致目标服务器的连接池被填满。这会阻止任何合法用户的连接。
DDoS攻击流程
所有 DDoS 攻击通常都遵循相同的流程。为了更好地了解攻击者的思维方式,列出此流程将大有裨益。
- 威胁行为者找到他们想要进行 DDoS 攻击的目标的域或 IP 地址。
- 无论是通过感染、利用漏洞还是在暗网上租赁,攻击者都可以控制强大的僵尸网络。
- 在权衡他们的选择和攻击计划后,威胁行为者开始通过他们的 C2 服务器命令僵尸网络执行 DDoS。
- 如果被攻击的目标没有任何 DDoS 缓解策略,或者虽然有但无效,则目标将开始遭受中断。
- 最终,目标无法处理大量的流量并导致超载。
- 只要攻击者愿意,DDoS 攻击就会持续下去,或者,DDoS 保护最终会启动并阻止攻击端点。
- DDoS 攻击随后会被报告给相关部门,相关部门会尝试查明攻击者的位置和身份。有时攻击者会被抓获,有时如果能避免留下数字足迹,他们就能逍遥法外。
DDoS 缓解策略
防御针对自身的攻击是一项多方面工作。您应该部署的第一道防线是强大的防火墙。某些DDoS 攻击会针对特定端口,如果防火墙配置正确,攻击期间发送的数据包将无法到达您的路由器。虽然防火墙是一个良好的开端,但这并非万能的,因为许多 DDoS 攻击会绕过入侵检测系统 (IDS)。根据攻击者的具体情况,他们可能是脚本小子,也可能是真正拥有技术知识的人。不要想当然地认为他们会是前者。
一些专门的 DDoS 攻击,例如NTP 放大,将需要特定的配置才能创建适当的防御。“monlist”命令是利用NTP 服务器的关键。根据所使用的服务器,可以安装禁用“monlist”命令的补丁。棘手的是补丁必须是 4.2.7 或更高版本。许多 NTP 服务器是旧服务器,无法支持此补丁。因此,必须实施另一种解决方法来缓解。在面向公众的 NTP 服务器上,US-CERT建议旧系统将“noquery”命令输入到“restrict default”系统配置中。如果执行正确,它将禁用“monlist”命令。
无论面临何种 DDoS 攻击,大型组织都应考虑使用第三方DDoS 缓解服务。无论您是民族国家、跨国公司还是其他大型实体,这都是整体防御的重要组成部分。这些服务可以应对重大攻击,因为它们拥有足够的服务器空间来控制和分解数据包,防止其到达目标。然而,这些“始终在线”的防护服务价格不菲,因此仅建议大型公司(或资金充裕的公司)使用它们。
对于属于局域网 (LAN) 的路由器,您的 静态 IP 地址很可能是您遭受 DDoS 攻击的原因。为了防止您的真实 IP 地址被利用,虚拟专用网络 (VPN) 是您的最佳选择。优质的 VPN 会加密您的连接,并将您的 IP 地址隐藏在服务器的 IP 地址后面。这样,攻击者就无法找到攻击您的途径。
PureVPN 为您提供经济高效的 DDoS 攻击防御方案。PureVPN 拥有遍布 65 多个国家/地区的 6000 多台服务器网络,支持AES 256 位加密、所有协议等等,助您抵御网络犯罪分子。PureVPN 可防止WebRTC 泄漏、DNS 泄漏和 IPv6 泄漏,确保您不会找到任何攻击者发起攻击所需的数据。
综上所述
最后,请考虑 Qijun Giu 教授和 Peng Liu 教授关于 DoS 和 DDoS 防护的以下言论(正如关于该主题的广泛研究论文中所写):
DoS 攻击者利用协议和系统中的漏洞来拒绝目标服务的访问。攻击者还会控制大量受感染的主机来发起 DDoS 攻击。仅仅保护服务器已不足以在攻击下保证服务可用,因为DoS 攻击技术更加复杂,而且许多不知情的主机也参与了 DoS 攻击……对于防御者来说,判断数据包是否被伪造、防止主机被入侵和控制、要求上游路由器过滤不需要的流量以及保护防御者自身免受 DoS 攻击都十分困难……无线网络中的 DoS 攻击已扩展到互联网上无法实现的范围。现有的防御方法表明,应该研究安全对策并将其纳入较低层的无线协议中,移动主机也应该积极协作地参与保护其无线网络。
拒绝服务攻击和分布式拒绝服务攻击将持续演变,无人能阻挡。随着技术不可避免地向前发展,安全解决方案也必须与时俱进。这不仅需要信息安全专业人员的行动,也需要普通民众的共同努力。我们所有人都必须承担起预防此类攻击的责任。抵御可能导致僵尸网络的感染,增强服务器防护,避免社会工程陷阱,以及任何其他可能导致 DDoS 攻击演变的因素。
