DDoS 攻击变得更大、更智能、更多样化

DDoS 攻击是无情的。新技术、新目标和新一类的攻击者继续重振互联网上最古老的敌人之一。

分布式拒绝服务攻击，一心通过压倒域或具有大量流量的特定应用程序基础设施来使网站脱机，继续对各行各业的企业构成重大挑战。离线会影响收入、客户服务和基本业务功能——令人担忧的是，这些攻击背后的不良行为者正在磨练他们的方法，以便随着时间的推移变得更加成功。

在 2018 年分布式拒绝服务 (DDoS) 威胁格局中出现了几个新主题，包括战术转变以在大规模活动中达到新的高度，攻击依赖于大量数据包流量的绝对壁垒来压倒网站并把它带到镇上。

然而，尽管这些传统的、机会主义的蛮力 DDoS 攻击仍然是一种威胁，但已经出现。这些 DDoS 威胁是更复杂的、针对微目标的攻击。他们的目标是，比如说，一个特定的应用程序，而不是整个网站。这些类型的 DDoS 攻击是一种快速增长的威胁，“低而缓慢”的隐蔽攻击也是如此。与此同时，机器人牧民正在努力扩大其主要基于物联网的僵尸网络创建，以任何可能的方式，通常是为了满足 DDoS 即服务产品的需求，这些产品在 DDoS 场景中创造了大量新参与者. 这些新进入者都在争夺攻击资源，创造了犯罪分子都乐于满足的需求。

Nexusguard 产品总监 Donny Chong 表示：“随着 [用于执行攻击的工具] 变得越来越可用，攻击变得越来越大、时间更长、也越来越复杂。“DDoS 曾经是一种特殊的现象，但现在它确实是一种司空见惯的事情——而且形势正在迅速发展。”

太比特时代的黎明

DDoS 领域最显着的演变之一是体积攻击峰值规模的增长。攻击者继续使用反射/放大技术来利用 DNS、NTP、SSDP、CLDAP、Chargen 和其他协议中的漏洞，以最大限度地扩大攻击规模。然而，值得注意的是，在 2 月份，全世界看到了针对 GitHub的1.3 Tbps DDoS 攻击——创下了数量记录（这是有记录以来最大攻击的两倍），并表明新的放大技术可以为网络犯罪分子提供前所未有的力量。仅仅五天后，发起了更大的攻击，达到了 1.7 Tbps。这些表明 DDoS 攻击者完全能够跟上企业使用的带宽管道不断增长的步伐。

2 月和 3 月使用的技术利用了可通过公共互联网访问的错误配置的 Memcached 服务器。Memcached 服务器用于通过改进内存缓存系统来增强数据库驱动网站的响应能力。不幸的是，其中许多已使用默认的不安全配置进行部署，这为 DDoS 攻击打开了大门，这些攻击使用由这些服务器放大的用户数据报协议 (UDP) 数据包 - 高达 51,200 倍。这反过来意味着犯罪分子可以使用更少的资源。例如，它们只能发送少量流量（大约 200 Mbps），但最终仍会遭到大规模攻击。

点击放大

好消息是，即使峰值变大，体积攻击也能很快得到处理。

“这些都是大而明显的，而且相对容易缓解，”Chong 说。“阻止 Memcached 攻击就像进行 ISP 过滤和阻止签名一样简单——它就会消失。所以，它并不像看起来那么可怕。”

然而，犯罪分子几乎肯定正在寻找下一个主要的反射源。

Akamai 的全球安全倡导者 Martin McKeay 表示：“预计会发生一次大规模攻击，然后好人会进来并关闭一些资源来对付坏人。” “这是周期性的。我们看到它发生在 NTP、DNS 和现在的 Memcached 上，而且还会再次发生。”

他补充说，能够达到如此令人眼花缭乱的攻击高度的影响可能是深远的。

“欧洲和美国之间的海底电缆是 3.2 TB，”麦基说。“如果你试图通过该管道发送大量的流量，对于很多公司来说，你会在很长一段时间内把工作搞砸。许多国家的总流量甚至没有 1.3 TB，因此我们开始研究可以使整个国家/地区离线很长时间的攻击。”

这种世界末日情景并非没有先例：2016 年，一个名为 Botnet 14 的 Mirai 僵尸网络变种用了 7 天的时间持续攻击西非国家利比里亚，淹没了共同拥有进入该国的唯一光纤的两家公司，其中 600 Gbps 流量——很容易压倒光纤的容量并使国家脱机。

日益复杂

虽然大规模、引人注目的体积攻击成为头条新闻，但现实情况是，更小、更复杂的攻击可能更令人担忧。

Corero Network Security 产品管理总监 Sean Newman 表示：“DDoS 历来非常简单——它不需要闭环响应，在这种情况下您窃取数据并需要将其取回给您。” “通常，您只需将流量发送到管道，目的是将其填满。但是，我们最近看到的是，那些非常大的简单攻击 [现在] 只占正在进行的 [活动] 的一小部分。在我们看到的所有 DDoS 攻击中，大多数（超过 70%）[现在] 的大小小于 1 GB。那是因为攻击者正在从使用简单的蛮力转向使用更复杂的技术。现代 DDoS 工具包可以启动基于基础设施（即容量）和基于应用程序的有效载荷；

应用层攻击不只是想压倒公司的宽带连接或 DNS 基础设施，这是过去的常态，而是专注于目标通信的一个方面，例如 VoIP 服务器。它们希望通过垄断进程和事务来耗尽特定的服务器资源。

“攻击只需要足够的流量就可以成功，”Chong 解释说。“市场上的大多数企业都有大约 100 Mbps 的带宽进入他们的位置，因此您不需要 1 TB 的攻击就能有效。这些是小型、特制的活动，攻击者首先检查服务的托管位置，例如数据中心、云中或托管服务提供商——然后他们发起小型攻击，以压倒目标带宽的限制。这种方法更加精确和有效，需要的资源更少，并且经常被忽视，因为不良流量的数量与进入该企业的正常流量接近。”

这方面的一个例子是在 2009 年伊朗总统大选之后的抗议活动中发动的袭击。那时，针对伊朗政府运营的网站发起了几项影响较大且带宽相对较低的工作。从那时起，该方法开始流行。与此同时，Chong 补充说，仍然占野外活动 30% 的大型“大爆炸”努力有时被用作分散注意力，作为掩盖其他活动的烟幕，例如数据泄露工作。例如，F5去年指出，几乎 50% 的攻击都属于这一类。

为了实现这一点，高端威胁参与者可以使用部分链路饱和，旨在为二次攻击留出足够的可用带宽。在这种情况下，分散注意力的 DDoS 攻击会消耗足够安全层中的资源，以允许有针对性的恶意软件攻击通过。IT 人员经常忙于处理 DDoS 攻击，这会导致收入和声誉受损，以至于注意到另一次入侵正在通过其他渠道发生。