隨著黑客技術(shù)的不斷發(fā)展,人們越來越難以區(qū)分真實世界和恐怖電影之間的區(qū)別, 2016年的DDoS攻擊事件更是加深了人們的這種感覺。
你相信么?事實上,我們的真實生活可能比好萊塢的恐怖電影更加可怕!當(dāng)你家的物聯(lián)網(wǎng)設(shè)備被黑客用來發(fā)動DDoS攻擊時,你會不會覺得脊背一陣發(fā)涼,而顯然目前的DDoS攻擊現(xiàn)狀不僅于此。
今年的BASHLITE或是Mirai僵尸網(wǎng)絡(luò)已經(jīng)讓人們體驗了利用物聯(lián)網(wǎng)設(shè)備發(fā)起DDoS攻擊的可怕性,但事情顯然還沒有完。Akamai高級安全倡導(dǎo)者M(jìn)artin McKeay表示,2016年僅僅是一個過渡,更嚴(yán)峻的形勢即將到來。接下來我們對2016年最嚴(yán)重的7起DDoS攻擊事件進(jìn)行盤點:
鼓勵獎
獲得獎勵獎一般是一些未啟動/未成功(Non-Starter)的DDoS攻擊,對于它們而言,一旦生效就會造成毀滅性的后果。正如Dobbins在8月份的博客中寫道,我們觀察到攻擊者正在強化他們在DDoS攻擊方面的能力,一旦攻擊啟動就可以生成500GB/秒的持續(xù)性攻擊,但是卻沒有人注意到這些。以下就列舉出一些入圍鼓勵獎的攻擊案例,希望引起大家的重視:
1)猖獗的勒索軟件
2016年勒索軟件確實帶來了很多麻煩,最廣為人知的就是好萊塢長老會醫(yī)學(xué)中心的事件。今年2月,攻擊者通過勒索工具入侵了醫(yī)院網(wǎng)絡(luò)系統(tǒng),鎖定醫(yī)務(wù)人員的電腦并勒索9000比特幣(約360萬美元)作為解鎖條件。
據(jù)報道,由于當(dāng)時該醫(yī)院的網(wǎng)絡(luò)無法使用,還被迫將病人轉(zhuǎn)送到其他醫(yī)院,并希望在聯(lián)邦調(diào)查局的幫助下恢復(fù)被鎖定系統(tǒng)。但是一周之后問題依然沒有解決,最終醫(yī)院支付了攻擊者17000美元才得以重新訪問系統(tǒng)。這次事件雖然不能算是一次真正的DDoS攻擊,但是卻無疑是一場巨大的針對“可用性”的攻擊活動。
PS:在信息安全的三要素——“保密性”、“完整性”和“可用性”中,DoS(Denial ofService),即拒絕服務(wù)攻擊,針對的目標(biāo)正是“可用性”。
2)“放空彈”的DDoS勒索威脅
入圍鼓勵獎的此類DDoS威脅其實從未發(fā)生過。自今年3月初開始,有數(shù)百家公司收到了自稱“無敵艦隊”(Armada Collective)的團(tuán)伙發(fā)出的威脅信,宣稱要么支付10~50比特幣(約4600~2.3萬美元)的保護(hù)費,要么就等著面對1Tbps以上的DDoS攻擊。
大部分公司不予理會,但有些公司認(rèn)慫了。該團(tuán)伙的比特幣錢包地址顯示,入賬高達(dá)10萬美元之巨。但那些拒絕支付保護(hù)費的公司至今尚未遭到攻擊。
但是,有必要指出:不是所有的DDoS敲詐威脅都是狐假虎威的,當(dāng)下還是有幾個發(fā)出敲詐信的犯罪團(tuán)伙會切實兌現(xiàn)自己的威脅的。
公司企業(yè)需要對DDoS攻擊有所準(zhǔn)備,但向敲詐低頭絕對不是建議選項,因為這會鼓勵更多網(wǎng)絡(luò)罪犯參與到此類犯罪活動中來。而且一旦你向某個團(tuán)伙支付了保護(hù)費,難保另一個團(tuán)伙不會找上門來。
3)不存在的選舉日DDoS攻擊
入選鼓勵獎的毀滅性攻擊活動也從未發(fā)生過。“Mirai”攻擊之后,Tripwire公司安全研究專家Travis Smith曾說,黑客們已經(jīng)做好準(zhǔn)備在選舉日發(fā)動另一場DDoS攻擊。這可能牽涉到那些針對性的服務(wù),例如地圖網(wǎng)站或者政府網(wǎng)站,它們會告訴投票者投票的地點。但McKeay表示:“我們并沒有在選舉日看到任何大規(guī)模的DDoS攻擊行為,不過這也讓我很擔(dān)憂,是我們遺漏了什么嗎?”其實此類針對系統(tǒng)的攻擊行為目的之一就是干擾人們對系統(tǒng)的信任,這樣攻擊的威脅目的就達(dá)成了。(近日,美國懷疑三個搖擺省投票系統(tǒng)被黑客操縱,影響了票選結(jié)果,這是攻擊威脅起作用了?)
4)BlackNurse攻擊
上個月,安全研究人員發(fā)現(xiàn)了“BlackNurse Attack”——一種新型的攻擊技術(shù),可以發(fā)起大規(guī)模DDoS攻擊,可以讓資源有限的攻擊者利用普通筆記本電腦讓大型服務(wù)器癱瘓。
由于這種攻擊并不基于互聯(lián)網(wǎng)連接的純泛洪攻擊,專家將其命名為“BlackNurse”。BlackNurse與過往的ICMP泛洪攻擊不一樣,后者是快速將ICMP請求發(fā)送至目標(biāo);而BlackNurse是基于含有Type 3 Code 3數(shù)據(jù)包的ICMP。
丹麥TDC安全運營中心報告指出:
“我們注意到BlackNurse攻擊,是因為在反DDoS解決方案中,我們發(fā)現(xiàn),即使每秒發(fā)送很低的流量速度和數(shù)據(jù)包,這種攻擊仍能使我們的客戶服務(wù)器操作陷入癱瘓。這種攻擊甚至適用于帶有大量互聯(lián)網(wǎng)上行鏈路的客戶,以及部署防火墻保護(hù)的大企業(yè)。我們期望專業(yè)防火墻設(shè)備能應(yīng)對此類攻擊”。
7大DDoS攻擊事件盤點
1. 暴雪DDoS攻擊
今年4月,Lizard Squad組織對暴雪公司戰(zhàn)網(wǎng)服務(wù)器發(fā)起DDoS攻擊,包括《星際爭霸2》、《魔獸世界》、《暗黑破壞神3》在內(nèi)的重要游戲作品離線宕機,玩家無法登陸。名為“Poodle Corp”黑客組織也曾針對暴雪發(fā)起多次DDoS攻擊,8月三起,另一起在9月。
攻擊不僅導(dǎo)致戰(zhàn)網(wǎng)服務(wù)器離線,平臺多款游戲均受到影響,包括《守望先鋒》,《魔獸世界》、《暗黑3》以及《爐石傳說》等,甚至連主機平臺的玩家也遇到了登陸困難的問題。
2. 珠寶店遭遇25000個攝像頭組成的僵尸網(wǎng)絡(luò)攻擊
今年6月,一家普通的珠寶在線銷售網(wǎng)站遭到了黑客的攻擊,美國安全公司Sucuri在對這一事件進(jìn)行調(diào)查時發(fā)現(xiàn),該珠寶店的銷售網(wǎng)站當(dāng)時遭到了泛洪攻擊,在每秒鐘35000次的HTTP請求(垃圾請求)之下,該網(wǎng)站便無法再提供正常的服務(wù)。
當(dāng)時,Sucuri公司的安全研究人員曾嘗試阻止這次網(wǎng)絡(luò)攻擊,但是這一僵尸網(wǎng)絡(luò)卻進(jìn)一步提升了垃圾請求的發(fā)送頻率,隨后該網(wǎng)絡(luò)每秒會向該商店的銷售網(wǎng)站發(fā)送超過50000次垃圾HTTP請求。
安全研究人員對此次攻擊中的數(shù)據(jù)包來源進(jìn)行分析后發(fā)現(xiàn),這些垃圾請求全部來源于聯(lián)網(wǎng)的監(jiān)控攝像頭,25000個攝像頭組成僵尸網(wǎng)絡(luò)發(fā)起DDoS攻擊,成為已知最大的CCTV(閉路電視攝像頭)僵尸網(wǎng)絡(luò)。
3. Anonymous組織發(fā)起的“Operation OpIcarus”攻擊
今年5月,Anonymous(匿名者)麾下的BannedOffline、Ghost Squad Hackers(幽靈黑客小隊)等黑客小組,針對全球范圍內(nèi)的多家銀行網(wǎng)站,發(fā)動了短期性網(wǎng)絡(luò)攻擊,Anonymous將此次攻擊行動稱為:“Operation OpIcarus”。
此次選定的攻擊目標(biāo)包括約旦國家央行、韓國國家央行、摩納哥央行以及一些設(shè)立在摩納哥的企業(yè)銀行網(wǎng)站等,隨后黑客們對其實施了一系列的DDoS攻擊。這次攻擊導(dǎo)致約旦、韓國以及摩納哥等央行網(wǎng)絡(luò)系統(tǒng)陷入了半小時的癱瘓狀態(tài),使其無法進(jìn)行正常工作,而黑山國家銀行網(wǎng)絡(luò)系統(tǒng)則被迫關(guān)閉,停止服務(wù)。
4. 精準(zhǔn)的NS1攻擊
今年5月,DNS和流量管理供應(yīng)商NS1(ns1.com)遭遇了歷時10天的針對性大規(guī)模DDoS攻擊,它通過執(zhí)行上游流量過濾和使用基于行為的規(guī)則屏蔽了大部分攻擊流量。
攻擊者沒有使用流行的DNS放大攻擊,而是向NS1的域名服務(wù)器發(fā)送編程生成的DNS查詢請求,攻擊流量達(dá)到了每秒5000萬到6000萬 數(shù)據(jù)包,數(shù)據(jù)包表面上看起來是真正的查詢請求,但它想要解析的是不存在于NS1客戶網(wǎng)絡(luò)的主機名。攻擊源頭也在東歐、俄羅斯、中國和美國的不同僵尸網(wǎng)絡(luò)中輪換。
5. 五家俄羅斯銀行遭遇DDoS攻擊
11月10日,俄羅斯五家主流大型銀行遭遇長達(dá)兩天的DDoS攻擊。來自30個國家2.4萬臺計算機構(gòu)成的僵尸網(wǎng)絡(luò)持續(xù)不間斷發(fā)動強大的DDOS攻擊。
卡巴斯基實驗室提供的分析表明,超過50%的僵尸網(wǎng)絡(luò)位于以色列、臺灣、印度和美國。每波攻擊持續(xù)至少一個小時,最長的不間斷持續(xù)超過12個小時。攻擊的強度達(dá)到每秒發(fā)送66萬次請求??ò退够鶎嶒炇疫€指出,有些銀行反復(fù)遭受被攻擊。
6. Mirai僵尸網(wǎng)絡(luò)攻擊KrebsonSecurity
Mirai是一個十萬數(shù)量級別的僵尸網(wǎng)絡(luò),由互聯(lián)網(wǎng)上的物聯(lián)網(wǎng)設(shè)備(網(wǎng)絡(luò)攝像頭等)構(gòu)成,8月開始構(gòu)建,9月出現(xiàn)高潮。攻擊者通過猜測設(shè)備的默認(rèn)用戶名和口令控制系統(tǒng),將其納入到Botnet中,在需要的時候執(zhí)行各種惡意操作,包括發(fā)起DDoS攻擊,對互聯(lián)網(wǎng)造成巨大的威脅。
今年9月20日,安全研究機構(gòu)KrebsonSecurity遭遇Mirai攻擊,當(dāng)時被認(rèn)為是有史以來最大的一次網(wǎng)絡(luò)攻擊之一。然而沒過多久,法國主機服務(wù)供應(yīng)商OVH也遭到了兩次攻擊,罪魁禍?zhǔn)滓廊皇荕irai。據(jù)悉,KrebsonSecurity被攻擊時流量達(dá)到了665GB,而OVH被攻擊時總流量則超過了1TB。
7. 美國大半個互聯(lián)網(wǎng)下線事件
說起今年的DDOS攻擊就不得不提Dyn事件。10月21日,提供動態(tài)DNS服務(wù)的Dyn DNS遭到了大規(guī)模DDoS攻擊,攻擊主要影響其位于美國東區(qū)的服務(wù)。
此次攻擊導(dǎo)致許多使用DynDNS服務(wù)的網(wǎng)站遭遇訪問問題,其中包括 GitHub、Twitter、Airbnb、Reddit、Freshbooks、Heroku、SoundCloud,、Spotify 和 Shopify。攻擊導(dǎo)致這些網(wǎng)站一度癱瘓,Twitter甚至出現(xiàn)了近24小時0訪問的局面。
10月27日,Dyn產(chǎn)品部門執(zhí)行副總裁ScottHilton簽發(fā)了一份聲明表示,Dyn識別出了大約10萬個向該公司發(fā)動惡意流量攻擊的來源,而它們?nèi)贾赶虮籑irai惡意軟件感染和控制的設(shè)備。
Scott Hilton還深入剖析了本輪攻擊的技術(shù)細(xì)節(jié),稱攻擊者利用DNS TCP和UDP數(shù)據(jù)包發(fā)起了攻擊。盡管手段并不成熟,但一開始就成功打破了Dyn的防護(hù),并對其內(nèi)部系統(tǒng)造成了嚴(yán)重破壞。該公司并未披露本次攻擊的確切規(guī)模,外界估計它可能大大超過了針對OVH的那次DDoS攻擊。(峰值達(dá)到了1.1Tbps,這也是迄今所知最大的一次DDoS攻擊)
在這所有的攻擊事件中,Herzberg最關(guān)注的問題是越來越多的僵尸網(wǎng)絡(luò)開始利用物聯(lián)網(wǎng)設(shè)備組建攻擊,包括智能手機、攝像頭等。他表示:
“如果我是攻擊者,我也會對擁有一個移動僵尸網(wǎng)絡(luò)非常感興趣。”
事實上,互聯(lián)網(wǎng)史上每一次大規(guī)模DDoS攻擊,都能引發(fā)大動蕩。
2013年3月的一次DDoS攻擊,流量從一開始的10GB、90GB,逐漸擴(kuò)大至300GB,Spamhaus、CloudFlare遭到攻擊,差點致使歐洲網(wǎng)絡(luò)癱瘓;
2014年2月的一次DDoS攻擊,攻擊對象為CloudFlare客戶,當(dāng)時包括維基解密在內(nèi)的78.5萬個網(wǎng)站安全服務(wù)受到影響,規(guī)模甚至大于Spamhaus,流量為400GB;
……
幾年時間內(nèi),攻擊流量從300G到400GB,如今已經(jīng)以“T”級別來計算,DDoS攻擊幾乎在以飛躍式的速度增長,而隨著技術(shù)發(fā)展,利用物聯(lián)網(wǎng)設(shè)備組建僵尸網(wǎng)絡(luò)發(fā)起攻擊的現(xiàn)象也日益嚴(yán)峻,網(wǎng)絡(luò)安全之路可謂任重道遠(yuǎn),如何解決日益增多的難題成為未來網(wǎng)絡(luò)安全發(fā)展的考驗。