近期發(fā)布的2014年第4季度《互聯(lián)網(wǎng)發(fā)展?fàn)顩r安全報告》中顯示出DDoS攻擊數(shù)量在2014年幾乎翻倍;其來源也在全球范圍內(nèi)大幅擴(kuò)展;而其中僵尸網(wǎng)絡(luò)則是重要的幫兇,成為大量DDoS攻擊流量的來源。
僵尸網(wǎng)絡(luò)助DDoS攻擊愈發(fā)猖獗
僵尸網(wǎng)絡(luò)(Botnet,也稱機器人網(wǎng)絡(luò))是指駭客利用自己編寫的分布式拒絕服務(wù)攻擊程序?qū)?shù)萬個淪陷的機器,即黑客常說的僵尸電腦或肉雞,組織成一個個控制節(jié)點,用來發(fā)送偽造包或者是垃圾數(shù)據(jù)包,使預(yù)定攻擊目標(biāo)癱瘓并“拒絕服務(wù)”。通常蠕蟲病毒也可以被利用組成僵尸網(wǎng)絡(luò)。
據(jù)悉,最早的僵尸網(wǎng)絡(luò)出現(xiàn)在1993年,在IRC聊天網(wǎng)絡(luò)中出現(xiàn)。1999年后IRC協(xié)議的僵尸程序大規(guī)模出現(xiàn)。曾有一個新西蘭19歲的黑客控制了全球150萬臺計算機,中國唐山的黑客也控制了6萬臺中國的計算機對某音樂網(wǎng)站進(jìn)行分布式拒絕服務(wù)(DDoS)攻擊,造成該網(wǎng)站不論將服務(wù)器轉(zhuǎn)移到臺灣還是美國都無法正常提供服務(wù),損失上百萬元人民幣,河北唐山黑客的僵尸網(wǎng)絡(luò)規(guī)模也是中國目前為止最大的,目前這兩位黑客均已被逮捕。
2011年4月13日美國聯(lián)邦司法部和聯(lián)邦調(diào)查局(FBI)宣布破獲大批中毒電腦所組成的“僵尸網(wǎng)絡(luò)”, 已全面關(guān)閉名為Coreflood服務(wù)器和網(wǎng)絡(luò)域名,并對13名嫌疑人起訴。該網(wǎng)絡(luò)運作將近10年,全球有超過200萬臺個人電腦被Coreflood惡意程序感染。
因此,DDoS僵尸網(wǎng)絡(luò)經(jīng)常使用惡意軟件來進(jìn)行擴(kuò)展。根據(jù)最新的報告,惡意軟件正在向多平臺、操作系統(tǒng)感知和更具毀滅性的的趨勢發(fā)展。此外,通過對CDN企業(yè)智能平臺搜集到的數(shù)據(jù)進(jìn)行分析,目前還檢測到了一些針對web應(yīng)用程序進(jìn)行攻擊的僵尸網(wǎng)絡(luò)。這些僵尸網(wǎng)絡(luò)可以自動發(fā)現(xiàn)web應(yīng)用程序的漏洞,并發(fā)動遠(yuǎn)程文件包含(RFI)和操作系統(tǒng)(OS)命令注入攻擊。盡管看上去與種種攻擊行為并不相關(guān),但安全研究人員還是通過對多代碼的源URL和負(fù)載進(jìn)行識別,對這些僵尸網(wǎng)絡(luò)做出了描述。通過使用攻擊負(fù)載,攻擊者得以對數(shù)據(jù)進(jìn)行聚合,并將僵尸網(wǎng)絡(luò)行為、活動者和受攻擊的web應(yīng)用程序進(jìn)行匹配。這種對僵尸網(wǎng)絡(luò)進(jìn)行描述的技術(shù)可以幫助識別更多的攻擊源。