DDos攻击愈演愈烈 中印成最大攻击源头

据国外媒体报道,Prolexic公司DDos攻击报告中显示,2014年第一季度DDoS攻击的数量比去年增长了47%。这份报告中还显示,平均攻击持续时间缩短了50%,由35小时降低到17小时。另外,为这种攻击提供便利的肉鸡电脑(感染的PC和服务器)大部分来自中印两国,这与盗版的普及不无关系。

DDoS全称Distributed Denial of Service(分布式拒绝服务攻击),近两年不但没有放缓迹象,还有愈演愈烈之势。基本上,DDos有两种攻击类型。第一种发生在应用层,也就是针对应用服务本身,第二种发生在网络层,可被大部分路由器防火墙屏蔽。DDos攻击旨在利用瞬时爆发流量占据所有网络和服务器资源,导致服务崩溃。这些攻击可以模仿合法用户流量绕过防火墙的DDoS攻击解决方案和导致Web服务器崩溃。这几乎是一种无法闪避的攻击。

比较有名的案例是,已经破产的Mt.gox比特币交易所就曾经数度因为DDos攻击导致崩溃,使得比特币的价格大幅下降。在过去的一年,DDoS攻击的数量迅速增加。这种趋势将持续下去,2014年中,几乎每三次攻击就有一次攻击的流量超过20Gbps,更有一些网络攻击的流量甚至超越200Gbps。

从技术上来说主要原因是攻击者今年采用了超大SYN洪流和DNS扩增方法,可以产生很高的流量。另外,近期一个相对较新的技术进入了人们的视野:NTP(网络时间协议)扩增。上个月,NTP扩增攻击居然超过了超大SYN洪流,成为最普遍的网络DDoS攻击。然而,就整个网络的DDoS攻击趋势而言,超大SYN洪流攻击仍然占主导地位,在攻击流量达到5Gbps的攻击中51.5%使用了这种攻击方式。

肉鸡种类不断扩大

被恶意代码操控的电脑被称为肉鸡或网络僵尸。大量证据表明,DDoS攻击肉鸡的种类正在变得日益复杂。现在的肉鸡甚至包括基于浏览器的DDoS攻击肉鸡,这使其能够绕过JavaScript和cookie的挑战-两个最常见的肉鸡过滤安全方案。

2014年肉鸡变得“更聪明”了,特别是他们可以模仿标准浏览器的能力。超过29%的肉鸡每月攻击的目标可以超过50个,研究还发现,有29.9%的DDoS攻击肉鸡现在能够接受和存储cookie。此外,近百分之一的肉鸡还能够执行JavaScript。

DDos攻击肉鸡来源

不同于网络层攻击,应用层的攻击不能使用伪造的IP地址来隐藏他们的源代码。攻击者必须劫持那些与互联网有连接的肉鸡。根据对IP的源地址的分析,来自印度、中国和伊朗的肉鸡占所有肉鸡的25%。以下是具体数据:

印度(9.59%)

中国(9.2%)

伊朗(7.99%)

印度尼西亚(4.29%)

美国(4.26 %)

泰国(4.20 %)

土耳其(3.89%)

俄罗斯(3.45 %)

越南(2.88 %)

秘鲁(2.62%)

这些地点是肉鸡(感染的PC和服务器)的来源,而不是攻击者的来源,攻击者可以远程操作这些资源。这些地区成为肉鸡工厂的原因很可能与盗版软件泛滥有关。

防御方法需要加强

由于DDoS攻击的发展和技术的提高,安全解决方案自然也要进化。这些解决方案将需要能够判断行为异常和使用其他检测技术分辨假浏览器。

网络肉鸡可以被用作共享的DDoS资源。也就是说,这些肉鸡是可以被出租的。平均来看,近40%的攻击IP地址每月至少攻击50个独立的目标。因为肉鸡们被重复使用来攻击多个目标,所以基于信誉的安全技术也可以相当有效地预测访问者的意图,并主动阻断一个“可疑”的IP地址。新的攻击方法,以及攻击量的激增表明DDos攻击愈演愈烈。网络服务提供者需要对未来不断增加且越来越复杂的DDoS攻击做好准备。(秉翰)