如今的分布式拒絕服務(wù)攻擊與千禧年剛剛到來時(shí)初步誕生的DDoS存在很大差別。這類攻擊活動變得更加微妙、精致,除了拖垮Web服務(wù)器之外還能夠?qū)崿F(xiàn)其它一系列惡意訴求。
在DDoS出現(xiàn)早期,大規(guī)模攻擊活動可謂風(fēng)靡一時(shí)。出于政治或者經(jīng)濟(jì)動機(jī)而進(jìn)行的攻擊行為會發(fā)動成千上萬臺客戶端指向同一特定目標(biāo),吞沒其服務(wù)器。這種攻擊類型目前仍然相當(dāng)普遍,但如今其開始越來越多地轉(zhuǎn)向另一種更為復(fù)雜的DDoS活動,即Dark DDoS。而Andy Shoemaker則傾向另一個(gè)更為直觀的名稱——煙幕式攻擊。
“攻擊者們會利用拒絕服務(wù)的方式來吸引IT管理員,從而掩護(hù)真正的攻擊活動,并借此竊取數(shù)據(jù),”專門幫助客戶研究及模擬DDoS攻擊活動的咨詢企業(yè)Nimbus DDoS公司負(fù)責(zé)人Shoemaker表示。
在這種模式當(dāng)中,攻擊者們不再利用拒絕服務(wù)流量來敲詐或者報(bào)復(fù)其既定目標(biāo)。相反,DDoS攻擊僅僅作為達(dá)成目的的手段之一存在。攻擊者們采用DDoS攻擊的理由有二,其一為誤導(dǎo)攻擊目標(biāo)的IT管理人員,占用其寶貴的時(shí)間與資源;其二,在這樣的混亂掩護(hù)之下完成自己的真正計(jì)劃。
“這種攻擊更多是針對人而非基礎(chǔ)設(shè)施,”英國IT與安全咨詢企業(yè)ECS公司首席技術(shù)官Nathan Dornbrook表示,他此前曾在DDoS緩解技術(shù)領(lǐng)域投入過大量研究精力。問題的關(guān)鍵在于盡可能長時(shí)間拖住目標(biāo)企業(yè)中的安全工作人員,這顯然是一種回避安全運(yùn)營中心解決方案及技術(shù)管理員們的絕佳途徑,他解釋稱。
Dark DDoS攻擊在嚴(yán)重程度上往往只能夠令目標(biāo)網(wǎng)絡(luò)的可視性遭到破壞,Shoemaker解釋道。“大多數(shù)情況下,網(wǎng)絡(luò)設(shè)備上的龐大流量會導(dǎo)致相關(guān)工具無力對惡意行為進(jìn)行有效識別與制止,”他表示。“有時(shí)候,這些設(shè)備中的瓶頸令其無法處理遠(yuǎn)超資源上限的流量,此時(shí)其默認(rèn)設(shè)置會允許全部流量在未經(jīng)過濾的前提下即告通行。”
如今的DDoS與當(dāng)初已經(jīng)完全不同。
黑暗技能
全球云IT服務(wù)管理企業(yè)LOGICNow公司安全負(fù)責(zé)人Ian Trump指出,Dark DDoS攻擊通常代表著其背后隱藏有更為復(fù)雜的惡意活動。攻擊者需要具備相當(dāng)程度的知識來設(shè)計(jì)表層攻擊,同時(shí)憑借其它手段進(jìn)行“暗度陳倉”。如果計(jì)劃順利,那么這類行為將使得目標(biāo)企業(yè)的管理員變更基礎(chǔ)設(shè)施設(shè)置以努力解決由巨大流量造成的性能損失。“在某些情況下,網(wǎng)絡(luò)運(yùn)維人員或者安全人員甚至?xí)档桶踩珮?biāo)準(zhǔn)以恢復(fù)性能表現(xiàn),”他解釋稱。
與傳統(tǒng)攻擊活動不同,Dark DDoS攻擊者們可能不會嘗試?yán)靡?guī)??捎^的流量將目標(biāo)站點(diǎn)拖垮,畢竟基礎(chǔ)設(shè)施下線的同時(shí)也就斷絕了進(jìn)一步攻擊的可能性。相反,Dark DDoS的特征通常有異于大規(guī)模無差別攻擊,Bitdefender公司高級電子威脅分析師Bogdan Botezatu警告稱。他們的攻擊流量通常不會高于每秒1 Gbit,他指出,而目標(biāo)則是生成大量事件以掩飾真正的數(shù)據(jù)泄露跡象。
這也使得DDoS攻擊的執(zhí)行方式出現(xiàn)了顯著變化。雖然每秒數(shù)百Gbit級別的流量仍然存在,但其所占比例已經(jīng)逐漸降低,而更多被針對性高且持續(xù)時(shí)間短的新型攻擊手段所取代。DDoS解決方案廠商Corero Network Security公司指出,其過去一年中大部分客戶遭遇的DDoS攻擊只使用每秒1 Gbit以下的攻擊流量。另外,超過95%的攻擊活動持續(xù)時(shí)間在30分鐘以下。
“很明顯,真正的威脅并非來自拒絕服務(wù)本身,”Corero Network Security公司COO Dave Larson表示。“這類攻擊的設(shè)計(jì)目標(biāo)在于憑借復(fù)雜的多矢量攻擊保留一定帶寬,從而幫助攻擊者完成目標(biāo)數(shù)據(jù)提取,且整個(gè)過程占用大量基礎(chǔ)設(shè)施資源,因此令監(jiān)控機(jī)制無法正常起效。”
“考慮到這種專門用于混淆視聽的技術(shù)策略,現(xiàn)有以大規(guī)模流量為主要應(yīng)對對象的DDoS緩解技術(shù)恐怕已經(jīng)無法起到良好的作用。事實(shí)上,Dark DDoS應(yīng)被視為一大新型安全威脅,”Botezatu提醒稱。
Dark DDoS攻擊內(nèi)部解析
那么這些攻擊是如何實(shí)現(xiàn)的?大多數(shù)入侵系統(tǒng)的嘗試都會首先掃描整體網(wǎng)絡(luò),旨在找到潛在的切入點(diǎn)。這種掃描行為非常明顯,因此需要利用煙幕式攻擊加以掩護(hù),Shoemaker表示。
而在成功進(jìn)入網(wǎng)絡(luò)之后,攻擊者同樣需要這樣的煙幕來遮蔽自己的行蹤,他解釋道。“攻擊者其實(shí)并不了解目標(biāo)環(huán)境的確切狀態(tài),他們需要根據(jù)各類指標(biāo)做出猜測。”罪犯分子在立足于目標(biāo)網(wǎng)絡(luò)提取客戶數(shù)據(jù)庫等規(guī)?;畔①Y產(chǎn)時(shí)會令自己顯得十分惹眼,這時(shí)對流量的混淆就變得非常必要了。
盡管如此,大家還可能發(fā)現(xiàn)攻擊者會在目標(biāo)網(wǎng)絡(luò)內(nèi)進(jìn)行技術(shù)方案切換,他警告稱。“他們會努力找到適用于當(dāng)前環(huán)境的攻擊手段,有鑒于此,對系統(tǒng)加以保護(hù)將變得更為困難。”
事實(shí)上幾年之前就曾經(jīng)出現(xiàn)過Dark DDoS攻擊活動,當(dāng)時(shí)攻擊者們針對某家銀行發(fā)動了DDoS攻擊,而因此忙作一團(tuán)的管理員們根本沒有發(fā)現(xiàn)對方已經(jīng)利用欺詐ACH轉(zhuǎn)移了大量資金。
時(shí)刻提防
Dark DDoS攻擊雖然極為復(fù)雜,但只要大家加以關(guān)注,及時(shí)發(fā)現(xiàn)也并非難事,Dornbrook解釋道。
“事實(shí)上,如果大家了解自己的網(wǎng)絡(luò)服務(wù)以及正常流量的實(shí)際表現(xiàn),”他指出,同時(shí)進(jìn)行員工培訓(xùn)以幫助其辨別低帶寬DDoS攻擊,那么以此為標(biāo)志的新型攻擊活動并不難被揪出。
金融機(jī)構(gòu)可能會成為Dark DDoS攻擊活動的主要對象,Shoemaker警告稱。他們的客戶往往財(cái)力雄厚,且擁有大量極具價(jià)值的資源,因此必須對其個(gè)人信息進(jìn)行嚴(yán)格保護(hù)。然而,Dark DDoS攻擊的觸角也伸向了其它諸多領(lǐng)域。
其中最典型的例子就是2015年10月TalkTalk公司遭受的攻擊,這家電信廠商收到一系列聲明,宣稱攻擊者將利用龐大流量令其網(wǎng)站陷入癱瘓。而在這種情況下,犯罪分子得以利用更多機(jī)會竊取客戶數(shù)據(jù)。而就在去年8月,Carphone Warehouse公司也受到類似攻擊的影響,并導(dǎo)致240萬名客戶的個(gè)人信息泄露。
DDoS攻擊正不斷增長,而且設(shè)定的目標(biāo)也越來越復(fù)雜。因此,企業(yè)必須做好心理準(zhǔn)備,并在發(fā)現(xiàn)DDoS活動時(shí)多留一個(gè)心眼。簡單地顛覆企業(yè)網(wǎng)絡(luò)可能并非攻擊者的惟一目標(biāo),事實(shí)上其背后往往隱藏著更為可怕的陰謀與陷阱。