針對(duì)奧運(yùn)會(huì)的DDoS攻擊高達(dá)540Gbps

責(zé)任編輯:editor005

作者:nana

2016-09-06 15:03:31

摘自:安全牛

無(wú)論從哪個(gè)角度看,里約奧運(yùn)會(huì)都為迄今為止重大國(guó)際賽事最嚴(yán)格審查下的快速、專業(yè)、有效DDoS攻擊緩解設(shè)立了標(biāo)桿。里約奧運(yùn)DDoS防御團(tuán)隊(duì)取得的驚人勝利

無(wú)論從哪個(gè)角度看,里約奧運(yùn)會(huì)都為迄今為止重大國(guó)際賽事最嚴(yán)格審查下的快速、專業(yè)、有效DDoS攻擊緩解設(shè)立了標(biāo)桿。

2016里約奧運(yùn)會(huì)不僅僅是體育比賽,還伴隨著一系列與大型分布式拒絕服務(wù)攻擊的抗?fàn)?。今年在巴西舉行的奧運(yùn)會(huì),承受著持續(xù)性大規(guī)模高級(jí)DDoS攻擊,攻擊由一個(gè)物聯(lián)網(wǎng)( IoT)僵尸網(wǎng)絡(luò)連同其他幾個(gè)僵尸網(wǎng)絡(luò)驅(qū)動(dòng),速率高達(dá)540Gbps。攻擊的目標(biāo),是面向公眾的資產(chǎn)和隸屬于奧運(yùn)會(huì)的組織。

奧運(yùn)會(huì)開(kāi)幕之前,多個(gè)DDoS攻擊就已經(jīng)持續(xù)了數(shù)月之久,速率一般在幾十Gbps到幾百Gbps之間。然而,隨著奧運(yùn)會(huì)正式開(kāi)幕,DDoS活動(dòng)馬上就密集了,持續(xù)最久的一次攻擊速率更是高達(dá)500Gbps以上。

賽前的大多數(shù)攻擊都可歸咎于某個(gè) IoT僵尸網(wǎng)絡(luò),而在其他僵尸網(wǎng)絡(luò)的助攻下,終于沖破了DDoS攻擊的紀(jì)錄。該IoT僵尸網(wǎng)絡(luò),正是以濫用IoT設(shè)備發(fā)起400Gbps而聞名的蜥蜴應(yīng)激子(LizardStresser)。

創(chuàng)建僵尸網(wǎng)絡(luò)的惡意軟件是用C語(yǔ)言編寫(xiě)的,運(yùn)行于Linux系統(tǒng),其源代碼于2015年初被泄露。在DDoS發(fā)起者決定用泄露的源代碼建立僵尸網(wǎng)絡(luò)后,研究人員便觀測(cè)到了與LizardStresser相關(guān)的一系列活動(dòng)頻繁出現(xiàn),包括了獨(dú)特的命令與控制(C&C)服務(wù)器的增加。

奧運(yùn)DDoS攻擊采用了UDP反射/放大方法來(lái)驅(qū)動(dòng)攻擊規(guī)模。域名服務(wù)協(xié)議(DNS)、字符生成協(xié)議(chargen)、網(wǎng)絡(luò)時(shí)間協(xié)議(ntp)和簡(jiǎn)單網(wǎng)絡(luò)發(fā)現(xiàn)協(xié)議(SSDP)都是其主要的攻擊方法,但針對(duì)Web和DNS服務(wù)的直接UDP包洪水、SYN泛洪和應(yīng)用層攻擊也可被監(jiān)測(cè)到。

除了奧運(yùn)級(jí)規(guī)模和對(duì)IoT僵尸網(wǎng)絡(luò)的利用,這些攻擊還有其他特征:它們使用了不太常見(jiàn)的通用路由封裝(GRE)IP協(xié)議。這種協(xié)議一般用于未加密的臨時(shí)VPN類隧道。

利用罕為人知協(xié)議的DDoS攻擊,始見(jiàn)于2000年末,是為了繞過(guò)路由器訪問(wèn)控制列表(ACL)、防火墻規(guī)則和其他形式的DDoS防御——這些防御措施只監(jiān)測(cè)TCP、UDP和ICMP三種協(xié)議。

由于攻擊方法已被納入LizardStresser IoT 僵尸網(wǎng)絡(luò),里約奧運(yùn)期間觀測(cè)到的攻擊還產(chǎn)生了大量GRE流量。雖然是個(gè)老技術(shù)的新用法,但其他租賃式僵尸網(wǎng)絡(luò)和‘引導(dǎo)/應(yīng)激’服務(wù)將GRE納入武器庫(kù)的日子也不遠(yuǎn)了。

而且,奔向UDP/179的簡(jiǎn)單高容量包洪水攻擊也被觀測(cè)到了,這有可能是為了偽裝對(duì)用于網(wǎng)際互連的邊界網(wǎng)關(guān)協(xié)議(BGP)的攻擊。很多UDP反射/放大攻擊針對(duì)UDP/80或UDP/443,這樣一來(lái)防御者就會(huì)以為攻擊者用的是TCP(TCP/80用于非加密Web服務(wù)器,TCP/443用于SSL/TLS加密的Web服務(wù)器),奧運(yùn)期間的攻擊可能也應(yīng)用了這些規(guī)避技術(shù)。

BGP使用TCP/179,諷刺的是,絕大部分聯(lián)網(wǎng)網(wǎng)絡(luò)上實(shí)現(xiàn)的少數(shù)當(dāng)前最好慣例之一,用的是ACL來(lái)防止來(lái)路不明的網(wǎng)絡(luò)流量干擾BGP對(duì)等互連會(huì)話。

盡管這些攻擊復(fù)雜而規(guī)模龐大,卻沒(méi)什么人注意到它們(當(dāng)然,除了負(fù)責(zé)緩解攻擊的安全團(tuán)隊(duì)除外)。里約奧運(yùn)DDoS防御團(tuán)隊(duì)取得的驚人勝利,證明了:只要提前準(zhǔn)備好保衛(wèi)網(wǎng)上資產(chǎn),即便面對(duì)持續(xù)性大規(guī)模高級(jí)DDoS攻擊,保證各項(xiàng)服務(wù)的可用性還是不在話下的。

鏈接已復(fù)制,快去分享吧

企業(yè)網(wǎng)版權(quán)所有?2010-2024 京ICP備09108050號(hào)-6京公網(wǎng)安備 11010502049343號(hào)