周二,Wells Fargo(富国银行)在线银行网站遭到了攻击,成为近期一系列针对银行攻击的最新中枪者,此前,摩根大通、美洲银行在上周就已遭到本轮攻击。虽然富国银行没有透露太多细节,但舆论普遍认定,它遭到的依然是分布式拒绝服务攻击(DDoS攻击)。按照目前的技术发展趋势,DDoS攻击正在变得越来越容易,而防御却变得更难。因此,应对DDoS攻击,加强产业链间的合作势在必行。
DDos攻击攻易防难
如今,DDoS攻击已经不需要高超的计算机技术,也不需要严密的组织,越来越多的普通人加入攻击者队伍中来。业内人士透露,现在,只要具备两个条件,就能进行DDoS攻击:第一,有用来攻击的工具;第二,有足够多的“肉鸡”,也就是僵尸机器,而“肉鸡”在黑市上已经随处可见,甚至形成了完整的地下产业链。DDoS攻击变得越来越容易,而防御却变得更难。
同时,跟过去相比,DDoS攻击又出现了一些新的技术趋势。黑客从传统的高带宽/大流量攻击演化为隐蔽性更强的应用层攻击,有时甚至将这两种手段组合运用。那些针对应用层的“低带宽慢速”攻击在影响正常服务前,是极难被检测到的。而传统的大流量攻击也日益壮大,他们使用数据更加庞大的受感染机器来发起攻击。在2010年,Arbor调查发现,当年已经出现了100Gbps级攻击,超过2009年发生的最大攻击规模的两倍。
而随着企业对数据中心和云服务依赖性的增强,DDoS攻击带来的影响正变得更大,后果变得更为严重。以上述14家被攻击的金融公司为例,如果没有一家报案,最坏的情况是:14家公司被攻击后,攻击目标一旦全部达成,每天440亿港币的交易就要停滞,这对整个香港金融市场将会产生巨大冲击,甚至将影响到香港社会的稳定。而在私车牌照拍卖系统遭攻击的案例中,攻击者攻陷该系统仅仅动用了手中1/20的“肉鸡”,如果他将所掌握的10万个“肉鸡”全部用上,一起发动攻击,就可能达到100Gbps级攻击,这是目前世界上任何一个特大型数据中心都难以经受得起的超带宽、超流量攻击。
防范DDos攻击需产业链的通力协作
面对如此严峻的DDoS攻击形势,我们需要更多的主动合作精神,来共同防御。
在今年8月,中央电视台报道,香港多达14家金融机构均遭到DDoS攻击。这14家金融公司每天在香港股市的交易额为440亿港币,而攻击者只是长沙的4个普通年轻人,他们要求每家被攻击者提供30万元,并在规定时间内到账,否则就继续攻击。有4家被攻击公司给指定账户汇了钱,第5家公司选择了报案。由此,大陆和香港警方联手破获此案,将犯罪分子绳之以法。
4个普通的年轻人,胆敢跟交易额以亿计的金融公司叫板,听上去确实令人匪夷所思。但这真的发生了,而且犯罪分子险些得手。这到底是为什么呢?防 DDoS厂商Arbor公司中国区域经理蔡志刚道出了其中玄机:通常情况下,金融类公司(银行、证券、保险等)在遭到攻击时都会选择私了,因为一旦将案件对外披露或向公安局报案,给他们带来的名誉损失和经济损失会比被勒索几十万元人民币要大得多。而在上述案件中,选择报案的攻击者很可能碰巧是过去未被攻击过的新手。
从被攻击者的角度看,以被攻击的金融机构为例,正是在“两害相权选其轻”的思路下,他们选择了向犯罪分子屈服(哪怕这些犯罪分子的技术和实力如此低端),但这恰恰会纵容攻击者肆无忌惮地发起攻击行动。这个受攻击的群体需要以更多的“侠客”精神来发起反抗,联合起来对付攻击者。被攻击的企业也需要与上游ISP(运营商)和MSSP(安全托管服务商)合作,共同防御大型洪水式攻击。而从安全从业者角度看,需要更加主动智能的防御措施来应对DDoS攻击在技术上的新变化。为便于产业链各环节更好地合作,Arbor发起了“云信令”联盟,该联盟由ISP(运营商)和MSSP(安全托管服务商)组成。目前,全球已有很多一类、二类运营商成为云信令联盟成员。该公司还相应推出以“云信令”为特色的防DDoS攻击解决方案。当企业受到DDOS攻击、带宽被占满时,部署在企业数据中心外缘的可用性保护系统Pravail APS会发出云信令到上游运营商端云端清洗中心,自动启动上游云端的清洗,将恶意流量排除在外。
在主动防御方面,Arbor的ATLAS全球安全威胁分析系统也十分重要,该系统每天7X24进行实时收集、分析新的攻击特征,并基于这些特征提供新的解决方案。当然,只有基于足够多的运营商用户,尤其是一类、二类运营商用户,所收集到的攻击特征才足够充分全面。
小结
以上分析表明,对付DDoS攻击,加强产业链间的合作势在必行。