欧洲反垃圾邮件组织Spamhaus遭受了分布式拒绝服务攻击(DDoS),这次攻击因其规模巨大而受到广泛的关注,被认为是史上最大的DDos攻击,。从DDoS攻击趋势来看,随着带宽的增加,有针对性的攻击正在不断上升,对此,DDoS攻击防护服务供应商很担忧。
CloudFlare是负责帮助Spamhaus处理DDoS攻击的公司,该公司首席执行官Matthew Prince表示,尽管报告速度达到300Gbps,处理工作还是相对比较容易,因为数据包能被丢弃在他们的路由器中。
Prince称,相比之下,最讨厌的攻击是那些针对底层应用逻辑的攻击,这种攻击通常会试图利用应用层协议中的某种限制,例如,web服务器可能只会处理一定数量的会话,这样,攻击者就会尝试超过这个阈值。
登录系统是攻击者最喜爱的目标之一,攻击者会不断向系统发送用户名和密码请求,但他们不会试图通过暴力破解来猜测正确的信息,他们只是想让系统处理大量虚假的请求。
“他们使用不正确的用户名和密码组合,每个登录请求都会到达数据库,如果攻击者发送假的请求,没有经过检查的话,应用将没有办法知道请求是假的,”Prince表示,“这样,数据库将面对庞大的垃圾请求,最终将崩溃,导致所有人都无法登录。”
DDoS防护供应商Prolexic公司信息安全经理David Fernandez表示,犯罪团伙的手段日益复杂,他们已经开始瞄准应用层。根据Prolexic对DDoS攻击趋势的报告显示,在2013年第一季度,7层网络攻击占该公司面对的所有DDoS攻击的25%。该报告还提到,应用层攻击(例如HTTP GET和HTTP POST洪水攻击)已经成为DDoS攻击工具包中流行的攻击,DDoS工具包是简化以及自动化执行DDoS攻击的工具集。
很多这些攻击带来很大挑战,因为它们并不一定侧重于带宽,而是利用大量并发连接。“这些请求规模相对较小,它们都是非伪造的IP地址,所以它们可以通过三方握手和防欺骗机制,直接连接到你的root页面,并持续不断地制造更多连接,”Fernandez表示,“有效的7层网络攻击有10万个并发连接,这通常是我们需要阻止的事情,但实际带宽相对比较低。2Gbps的攻击基本上会创造20万个并发连接,这会影响企业。”
供应商Arbor Networks全球销售工程和运营副总裁Carlos Morales表示,这种低带宽、高并发连接攻击是很大的挑战,主要是因为它对网络带宽的影响极其微小。僵尸网络有很多主机能够连接到web服务器,并向服务器发送少量数据包来保持连接,从而导致用于其它客户端的可用服务器连接数量减少。
“从网络的角度来看,这真的是防不胜防;大部分时候,人们会说,‘为什么我的服务器不能正常工作?我的网络显示流量并没有明显增长啊’,”Morales指出,“然后他们会发现‘通常这个时候我只有1万名用户,而现在却有150万用户。’这是因为攻击者始终在保持连接。”
Morales表示,在了解潜在目标的攻击面时,攻击者确实做了很多功课。例如,一家银行可能需要为其网上银行用户处理大量SSL加密流量,攻击者就会部署专门的方法来针对这种流量。攻击者的目的就是弄清楚你的薄弱环节,然后趁虚而入。#p#
平均数字各不相同,但整体在增长
虽然DDoS攻击趋势显示,攻击者并不仅依靠带宽来执行攻击,攻击的整体规模仍然可能让企业措手不及。CloudFlare公司的Prince指出,20世纪90年代和2000年代的僵尸网络依赖于感染家用电脑来发送攻击,而现在,攻击者开始感染web服务器(包括WordPress和消费应用的服务器),这些服务器连接到相对“粗的管道”。
在高带宽DDoS攻击中,地理因素也发挥着一定作用,犯罪团伙试图利用各个国家的基础设施的优势。例如,Arbor发现,从全球范围来看,韩国是第三大DDoS流量来源,仅次于中国和美国。Morales认为,这主要是韩国互联网服务供应商提供的可用的带宽量,很多家庭都有光纤连接。
Prolexic还发现了全球DDoS攻击环境中一个显著的趋势,在其2013年第一季度报告中,5个不同的南美国家排在恶意流量来源的前20位。这个结果部分是因为南美洲新兴的互联网基础设施,但他指出,犯罪团伙正在瞄准除传统DDoS来源国之外的国家来利用更多地区的优势。
虽然专家一致认为DDoS攻击的规模正在不断增长,但我们很难得出一个平均数字。Prolexic声称平均规模是48.25Gbps,而Arbor的2013年第一季度数据显示平均规模为1.77Gbps。Prince指出,CloudFlare发现DDoS攻击每天超过30Gbps到40Gbps,但他没有给出平均值,因为“有太多变量在不断变化”。
存在这种差异性的部分是因为Prolexic和CloudFlare都是专注于DDoS防护的云基础设施公司,这意味着,只有当发展到不可收拾的时候,他们才会处理攻击。相比之下,Arbor提供企业内部部署的DDoS检测产品,其最高容量产品包含40Gbps端口。Morales指出,Arbor的产品能够扩展到2Tbps,目前还没有攻击能够超越这种水平的容量,尽管在未来可能出现特定部署超越这个容量。
Arbor不仅提供企业内部部署的产品,该公司同时也涉足基于云的DDoS防护领域。Arbor是云信令联盟(Cloud Signaling Coalition)背后的主要推动力,这个联盟是互联网服务提供商(ISP)和运行Arbor设备来缓解DDoS威胁的企业的联盟。Arbor的内部部署设备允许企业客户在超出带宽限制时向云服务供应商(在这种情况下,主要是由ISP运行)寻求帮助。
“他们基本会说,‘我受到了攻击,请帮助我’,”Morales表示,“这使企业供应商非常紧密地结合在一起来对抗攻击,而这是只有少量开支的单个企业无法实现的。”
