信息來(lái)源：FreeBuf

   

隨著黑客技術(shù)的不斷發(fā)展，人們?cè)絹?lái)越難以區(qū)分真實(shí)世界和恐怖電影之間的區(qū)別， 2016年的DDoS攻擊事件更是加深了人們的這種感覺(jué)。

你相信么?事實(shí)上，我們的真實(shí)生活可能比好萊塢的恐怖電影更加可怕!當(dāng)你家的物聯(lián)網(wǎng)設(shè)備被黑客用來(lái)發(fā)動(dòng)DDoS攻擊時(shí)，你會(huì)不會(huì)覺(jué)得脊背一陣發(fā)涼，而顯然目前的DDoS攻擊現(xiàn)狀不僅于此。

今年的BASHLITE或是Mirai僵尸網(wǎng)絡(luò)已經(jīng)讓人們體驗(yàn)了利用物聯(lián)網(wǎng)設(shè)備發(fā)起DDoS攻擊的可怕性，但事情顯然還沒(méi)有完。Akamai高級(jí)安全倡導(dǎo)者M(jìn)artin McKeay表示，2016年僅僅是一個(gè)過(guò)渡，更嚴(yán)峻的形勢(shì)即將到來(lái)。接下來(lái)我們對(duì)2016年最嚴(yán)重的7起DDoS攻擊事件進(jìn)行盤(pán)點(diǎn)：

鼓勵(lì)獎(jiǎng)

 

獲得獎(jiǎng)勵(lì)獎(jiǎng)一般是一些未啟動(dòng)／未成功（Non-Starter）的DDoS攻擊，對(duì)于它們而言，一旦生效就會(huì)造成毀滅性的后果。正如Dobbins在8月份的博客中寫(xiě)道，我們觀察到攻擊者正在強(qiáng)化他們?cè)贒DoS攻擊方面的能力，一旦攻擊啟動(dòng)就可以生成500GB／秒的持續(xù)性攻擊，但是卻沒(méi)有人注意到這些。以下就列舉出一些入圍鼓勵(lì)獎(jiǎng)的攻擊案例，希望引起大家的重視：

1）猖獗的勒索軟件

2016年勒索軟件確實(shí)帶來(lái)了很多麻煩，最廣為人知的就是好萊塢長(zhǎng)老會(huì)醫(yī)學(xué)中心的事件。今年2月，攻擊者通過(guò)勒索工具入侵了醫(yī)院網(wǎng)絡(luò)系統(tǒng)，鎖定醫(yī)務(wù)人員的電腦并勒索9000比特幣（約360萬(wàn)美元）作為解鎖條件。

據(jù)報(bào)道，由于當(dāng)時(shí)該醫(yī)院的網(wǎng)絡(luò)無(wú)法使用，還被迫將病人轉(zhuǎn)送到其他醫(yī)院，并希望在聯(lián)邦調(diào)查局的幫助下恢復(fù)被鎖定系統(tǒng)。但是一周之后問(wèn)題依然沒(méi)有解決，最終醫(yī)院支付了攻擊者17000美元才得以重新訪問(wèn)系統(tǒng)。這次事件雖然不能算是一次真正的DDoS攻擊，但是卻無(wú)疑是一場(chǎng)巨大的針對(duì)“可用性”的攻擊活動(dòng)。

PS：在信息安全的三要素——“保密性”、“完整性”和“可用性”中，DoS（Denial ofService），即拒絕服務(wù)攻擊，針對(duì)的目標(biāo)正是“可用性”。

2）“放空彈”的DDoS勒索威脅

入圍鼓勵(lì)獎(jiǎng)的此類(lèi)DDoS威脅其實(shí)從未發(fā)生過(guò)。自今年3月初開(kāi)始，有數(shù)百家公司收到了自稱(chēng)“無(wú)敵艦隊(duì)”（Armada Collective）的團(tuán)伙發(fā)出的威脅信，宣稱(chēng)要么支付10~50比特幣（約4600~2.3萬(wàn)美元）的保護(hù)費(fèi)，要么就等著面對(duì)1Tbps以上的DDoS攻擊。

大部分公司不予理會(huì)，但有些公司認(rèn)慫了。該團(tuán)伙的比特幣錢(qián)包地址顯示，入賬高達(dá)10萬(wàn)美元之巨。但那些拒絕支付保護(hù)費(fèi)的公司至今尚未遭到攻擊。

但是，有必要指出：不是所有的DDoS敲詐威脅都是狐假虎威的，當(dāng)下還是有幾個(gè)發(fā)出敲詐信的犯罪團(tuán)伙會(huì)切實(shí)兌現(xiàn)自己的威脅的。

公司企業(yè)需要對(duì)DDoS攻擊有所準(zhǔn)備，但向敲詐低頭絕對(duì)不是建議選項(xiàng)，因?yàn)檫@會(huì)鼓勵(lì)更多網(wǎng)絡(luò)罪犯參與到此類(lèi)犯罪活動(dòng)中來(lái)。而且一旦你向某個(gè)團(tuán)伙支付了保護(hù)費(fèi)，難保另一個(gè)團(tuán)伙不會(huì)找上門(mén)來(lái)。

3）不存在的選舉日DDoS攻擊

入選鼓勵(lì)獎(jiǎng)的毀滅性攻擊活動(dòng)也從未發(fā)生過(guò)?！癕irai”攻擊之后，Tripwire公司安全研究專(zhuān)家Travis Smith曾說(shuō)，黑客們已經(jīng)做好準(zhǔn)備在選舉日發(fā)動(dòng)另一場(chǎng)DDoS攻擊。這可能牽涉到那些針對(duì)性的服務(wù)，例如地圖網(wǎng)站或者政府網(wǎng)站，它們會(huì)告訴投票者投票的地點(diǎn)。但McKeay表示：“我們并沒(méi)有在選舉日看到任何大規(guī)模的DDoS攻擊行為，不過(guò)這也讓我很擔(dān)憂(yōu)，是我們遺漏了什么嗎？”其實(shí)此類(lèi)針對(duì)系統(tǒng)的攻擊行為目的之一就是干擾人們對(duì)系統(tǒng)的信任，這樣攻擊的威脅目的就達(dá)成了。（近日，美國(guó)懷疑三個(gè)搖擺省投票系統(tǒng)被黑客操縱，影響了票選結(jié)果，這是攻擊威脅起作用了？）

4）BlackNurse攻擊

上個(gè)月，安全研究人員發(fā)現(xiàn)了“BlackNurse Attack”——一種新型的攻擊技術(shù)，可以發(fā)起大規(guī)模DDoS攻擊，可以讓資源有限的攻擊者利用普通筆記本電腦讓大型服務(wù)器癱瘓。

由于這種攻擊并不基于互聯(lián)網(wǎng)連接的純泛洪攻擊，專(zhuān)家將其命名為“BlackNurse”。BlackNurse與過(guò)往的ICMP泛洪攻擊不一樣，后者是快速將ICMP請(qǐng)求發(fā)送至目標(biāo)；而B(niǎo)lackNurse是基于含有Type 3 Code 3數(shù)據(jù)包的ICMP。

丹麥TDC安全運(yùn)營(yíng)中心報(bào)告指出：

“我們注意到BlackNurse攻擊，是因?yàn)樵诜碊DoS解決方案中，我們發(fā)現(xiàn)，即使每秒發(fā)送很低的流量速度和數(shù)據(jù)包，這種攻擊仍能使我們的客戶(hù)服務(wù)器操作陷入癱瘓。這種攻擊甚至適用于帶有大量互聯(lián)網(wǎng)上行鏈路的客戶(hù)，以及部署防火墻保護(hù)的大企業(yè)。我們期望專(zhuān)業(yè)防火墻設(shè)備能應(yīng)對(duì)此類(lèi)攻擊”。

7大DDoS攻擊事件盤(pán)點(diǎn)

1. 暴雪DDoS攻擊

 

今年4月，Lizard Squad組織對(duì)暴雪公司戰(zhàn)網(wǎng)服務(wù)器發(fā)起DDoS攻擊，包括《星際爭(zhēng)霸2》、《魔獸世界》、《暗黑破壞神3》在內(nèi)的重要游戲作品離線宕機(jī)，玩家無(wú)法登陸。名為“Poodle Corp”黑客組織也曾針對(duì)暴雪發(fā)起多次DDoS攻擊，8月三起，另一起在9月。

 

攻擊不僅導(dǎo)致戰(zhàn)網(wǎng)服務(wù)器離線，平臺(tái)多款游戲均受到影響，包括《守望先鋒》，《魔獸世界》、《暗黑3》以及《爐石傳說(shuō)》等，甚至連主機(jī)平臺(tái)的玩家也遇到了登陸困難的問(wèn)題。

2. 珠寶店遭遇25000個(gè)攝像頭組成的僵尸網(wǎng)絡(luò)攻擊

 

今年6月，一家普通的珠寶在線銷(xiāo)售網(wǎng)站遭到了黑客的攻擊，美國(guó)安全公司Sucuri在對(duì)這一事件進(jìn)行調(diào)查時(shí)發(fā)現(xiàn)，該珠寶店的銷(xiāo)售網(wǎng)站當(dāng)時(shí)遭到了泛洪攻擊，在每秒鐘35000次的HTTP請(qǐng)求（垃圾請(qǐng)求）之下，該網(wǎng)站便無(wú)法再提供正常的服務(wù)。

當(dāng)時(shí)，Sucuri公司的安全研究人員曾嘗試阻止這次網(wǎng)絡(luò)攻擊，但是這一僵尸網(wǎng)絡(luò)卻進(jìn)一步提升了垃圾請(qǐng)求的發(fā)送頻率，隨后該網(wǎng)絡(luò)每秒會(huì)向該商店的銷(xiāo)售網(wǎng)站發(fā)送超過(guò)50000次垃圾HTTP請(qǐng)求。

安全研究人員對(duì)此次攻擊中的數(shù)據(jù)包來(lái)源進(jìn)行分析后發(fā)現(xiàn)，這些垃圾請(qǐng)求全部來(lái)源于聯(lián)網(wǎng)的監(jiān)控?cái)z像頭，25000個(gè)攝像頭組成僵尸網(wǎng)絡(luò)發(fā)起DDoS攻擊，成為已知最大的CCTV（閉路電視攝像頭）僵尸網(wǎng)絡(luò)。

3. Anonymous組織發(fā)起的“Operation OpIcarus”攻擊

 

今年5月，Anonymous（匿名者）麾下的BannedOffline、Ghost Squad Hackers（幽靈黑客小隊(duì)）等黑客小組，針對(duì)全球范圍內(nèi)的多家銀行網(wǎng)站，發(fā)動(dòng)了短期性網(wǎng)絡(luò)攻擊，Anonymous將此次攻擊行動(dòng)稱(chēng)為：“Operation OpIcarus”。

此次選定的攻擊目標(biāo)包括約旦國(guó)家央行、韓國(guó)國(guó)家央行、摩納哥央行以及一些設(shè)立在摩納哥的企業(yè)銀行網(wǎng)站等，隨后黑客們對(duì)其實(shí)施了一系列的DDoS攻擊。這次攻擊導(dǎo)致約旦、韓國(guó)以及摩納哥等央行網(wǎng)絡(luò)系統(tǒng)陷入了半小時(shí)的癱瘓狀態(tài)，使其無(wú)法進(jìn)行正常工作，而黑山國(guó)家銀行網(wǎng)絡(luò)系統(tǒng)則被迫關(guān)閉，停止服務(wù)。

4. 精準(zhǔn)的NS1攻擊

 

今年5月，DNS和流量管理供應(yīng)商N(yùn)S1（ns1.com）遭遇了歷時(shí)10天的針對(duì)性大規(guī)模DDoS攻擊，它通過(guò)執(zhí)行上游流量過(guò)濾和使用基于行為的規(guī)則屏蔽了大部分攻擊流量。

攻擊者沒(méi)有使用流行的DNS放大攻擊，而是向NS1的域名服務(wù)器發(fā)送編程生成的DNS查詢(xún)請(qǐng)求，攻擊流量達(dá)到了每秒5000萬(wàn)到6000萬(wàn) 數(shù)據(jù)包，數(shù)據(jù)包表面上看起來(lái)是真正的查詢(xún)請(qǐng)求，但它想要解析的是不存在于NS1客戶(hù)網(wǎng)絡(luò)的主機(jī)名。攻擊源頭也在東歐、俄羅斯、中國(guó)和美國(guó)的不同僵尸網(wǎng)絡(luò)中輪換。

5. 五家俄羅斯銀行遭遇DDoS攻擊

 

11月10日，俄羅斯五家主流大型銀行遭遇長(zhǎng)達(dá)兩天的DDoS攻擊。來(lái)自30個(gè)國(guó)家2.4萬(wàn)臺(tái)計(jì)算機(jī)構(gòu)成的僵尸網(wǎng)絡(luò)持續(xù)不間斷發(fā)動(dòng)強(qiáng)大的DDOS攻擊。

卡巴斯基實(shí)驗(yàn)室提供的分析表明，超過(guò)50%的僵尸網(wǎng)絡(luò)位于以色列、臺(tái)灣、印度和美國(guó)。每波攻擊持續(xù)至少一個(gè)小時(shí)，最長(zhǎng)的不間斷持續(xù)超過(guò)12個(gè)小時(shí)。攻擊的強(qiáng)度達(dá)到每秒發(fā)送66萬(wàn)次請(qǐng)求。卡巴斯基實(shí)驗(yàn)室還指出，有些銀行反復(fù)遭受被攻擊。

6. Mirai僵尸網(wǎng)絡(luò)攻擊KrebsonSecurity

 

Mirai是一個(gè)十萬(wàn)數(shù)量級(jí)別的僵尸網(wǎng)絡(luò)，由互聯(lián)網(wǎng)上的物聯(lián)網(wǎng)設(shè)備（網(wǎng)絡(luò)攝像頭等）構(gòu)成，8月開(kāi)始構(gòu)建，9月出現(xiàn)高潮。攻擊者通過(guò)猜測(cè)設(shè)備的默認(rèn)用戶(hù)名和口令控制系統(tǒng)，將其納入到Botnet中，在需要的時(shí)候執(zhí)行各種惡意操作，包括發(fā)起DDoS攻擊，對(duì)互聯(lián)網(wǎng)造成巨大的威脅。

今年9月20日，安全研究機(jī)構(gòu)KrebsonSecurity遭遇Mirai攻擊，當(dāng)時(shí)被認(rèn)為是有史以來(lái)最大的一次網(wǎng)絡(luò)攻擊之一。然而沒(méi)過(guò)多久，法國(guó)主機(jī)服務(wù)供應(yīng)商O(píng)VH也遭到了兩次攻擊，罪魁禍?zhǔn)滓廊皇荕irai。據(jù)悉，KrebsonSecurity被攻擊時(shí)流量達(dá)到了665GB，而OVH被攻擊時(shí)總流量則超過(guò)了1TB。

7. 美國(guó)大半個(gè)互聯(lián)網(wǎng)下線事件

 

說(shuō)起今年的DDOS攻擊就不得不提Dyn事件。10月21日，提供動(dòng)態(tài)DNS服務(wù)的Dyn DNS遭到了大規(guī)模DDoS攻擊，攻擊主要影響其位于美國(guó)東區(qū)的服務(wù)。

此次攻擊導(dǎo)致許多使用DynDNS服務(wù)的網(wǎng)站遭遇訪問(wèn)問(wèn)題，其中包括 GitHub、Twitter、Airbnb、Reddit、Freshbooks、Heroku、SoundCloud,、Spotify 和 Shopify。攻擊導(dǎo)致這些網(wǎng)站一度癱瘓，Twitter甚至出現(xiàn)了近24小時(shí)0訪問(wèn)的局面。

10月27日，Dyn產(chǎn)品部門(mén)執(zhí)行副總裁ScottHilton簽發(fā)了一份聲明表示，Dyn識(shí)別出了大約10萬(wàn)個(gè)向該公司發(fā)動(dòng)惡意流量攻擊的來(lái)源，而它們?nèi)贾赶虮籑irai惡意軟件感染和控制的設(shè)備。

Scott Hilton還深入剖析了本輪攻擊的技術(shù)細(xì)節(jié)，稱(chēng)攻擊者利用DNS TCP和UDP數(shù)據(jù)包發(fā)起了攻擊。盡管手段并不成熟，但一開(kāi)始就成功打破了Dyn的防護(hù)，并對(duì)其內(nèi)部系統(tǒng)造成了嚴(yán)重破壞。該公司并未披露本次攻擊的確切規(guī)模，外界估計(jì)它可能大大超過(guò)了針對(duì)OVH的那次DDoS攻擊。（峰值達(dá)到了1.1Tbps，這也是迄今所知最大的一次DDoS攻擊）

在這所有的攻擊事件中，Herzberg最關(guān)注的問(wèn)題是越來(lái)越多的僵尸網(wǎng)絡(luò)開(kāi)始利用物聯(lián)網(wǎng)設(shè)備組建攻擊，包括智能手機(jī)、攝像頭等。他表示：

“如果我是攻擊者，我也會(huì)對(duì)擁有一個(gè)移動(dòng)僵尸網(wǎng)絡(luò)非常感興趣。”

事實(shí)上，互聯(lián)網(wǎng)史上每一次大規(guī)模DDoS攻擊，都能引發(fā)大動(dòng)蕩。

2013年3月的一次DDoS攻擊，流量從一開(kāi)始的10GB、90GB，逐漸擴(kuò)大至300GB，Spamhaus、CloudFlare遭到攻擊，差點(diǎn)致使歐洲網(wǎng)絡(luò)癱瘓；

2014年2月的一次DDoS攻擊，攻擊對(duì)象為CloudFlare客戶(hù)，當(dāng)時(shí)包括維基解密在內(nèi)的78.5萬(wàn)個(gè)網(wǎng)站安全服務(wù)受到影響，規(guī)模甚至大于Spamhaus，流量為400GB；

……

幾年時(shí)間內(nèi)，攻擊流量從300G到400GB，如今已經(jīng)以“T”級(jí)別來(lái)計(jì)算，DDoS攻擊幾乎在以飛躍式的速度增長(zhǎng)，而隨著技術(shù)發(fā)展，利用物聯(lián)網(wǎng)設(shè)備組建僵尸網(wǎng)絡(luò)發(fā)起攻擊的現(xiàn)象也日益嚴(yán)峻，網(wǎng)絡(luò)安全之路可謂任重道遠(yuǎn)，如何解決日益增多的難題成為未來(lái)網(wǎng)絡(luò)安全發(fā)展的考驗(yàn)。