《DDoS攻击进入太比特时代.docx》由会员分享,可在线阅读,更多相关《DDoS攻击进入太比特时代.docx(7页珍藏版)》请在优知文库上搜索。
1、根据福勒全球的预测,分布式拒绝服务(以下简称“DDoS” Bislribuled Denial of SerYiCe)攻击在2017年将变得规模更大,更频繁也更难抵御(降低 影响的严重程度)。德勤预计每个月的平均攻击为Tbits21,攻击次数总计超 过一千万次22,平均攻击规模在1.25-1. 5Gbits之间23。一次没有缓解的 Gbit/s攻击(其歌向未能得到抑制)就足以让大部分机构下线24/25。从2013到2015年,攻击的最大规模分别为300, 400和500 Gbit/s. 2016年里已经发生了两次Tbit/s攻击26。(参见下面对DDOS攻击方式的说明)DDOS攻击说明:DDo
2、S攻击的目的在于让网站无法正常使用,也就是说让电子商务网站无法卖东 西,让政府网站无法处理纳税申报表,或是让新闻网站无法发布新闻。最常见 的DDoS攻击就是造成网络拥堵。次DDoS攻击相当于数十万个假冒消费者同 时涌入一家传统的实体店.商店很快被挤得水泄不通。真的顾客进不来,商店无法为这些人提供服务,因而也没法做生意.制造拥堵 的方法有很多.最常见的两种就是佻尸网络和放大攻击.修广网络由数量庞大(目前是数卜万)的互联设备组成,这些设备已经被恶意代 码感染,可由第:方操控实施破坏性行为.僵尸网络可用了发起洪水攻击.这 也是目前最常见的攻击形式。第二种方法就是放大攻击,它的原理就是将恶意代码注入服
3、务器,让其创建多 个虚假的IP地址(也称为“电子欺蛇”),它们可以向一个网站发送大量指 令,导致拥堵29。每一个被感染的机器可以创建数千个虚假的IP地址,因此 放大攻击通过感染相对较少数量(数千台)的服务器就能导致大规模的破坏。防御DDOS攻击的标准方法就是将网络访问流量转移到第三方,它专门过滤向 网站发送的恶意请求,也就相当于将真正的顾客同假冒顾客区分开来。每个 专门缓解攻击的第三方都有很大(然而有限)的容量来控制攻击,每一个这样的 供应商通常可以代表客户同时减缓多个攻 击。至于那些针对客户的攻击,它们 的累枳容量有时可能会超过第三方应对攻击的容量。主要因为以下三大趋势,我们覆测DDOS威胁
4、会升级:1、不安全的物联网设备(比如互联的摄像头和数字视频录像机)的用户数量持续 增长,它们通常比个人电脑、智能手机和平板电脑更容易被并入倜尸网络272、网上存在公开的恶意软件,比如Mirai,使相对缺乏技能的攻击者有能力将 不安全的物联网设备并入僵尸网络,利用它们发起攻击3、带宽速度变得更高(包括Gbil/s范国内的增长以及我他超快的消费者及企业 宽带产品),这意味着僵尸网络中每一个被感染的设备可以发送更多的垃圾数 据。在过去几年里,DDoS攻击的规模逐步变大,防御手段也相应增长。过去,它就 是一个猫捉老鼠的游戏,不会有一方太过强大。不过到了 2017年,这种局面可 能有所改变,原因有二:不
5、安全的物联网设备数量庞大;利用物联网设备的弱点 实施大规模攻击变得更加简单.可能出现的后果就是内容发布网络(CDNS)和本地防御手段无法粒步升级以抵御 同时期的大规模攻击28,这就需要新的方法来应对DDoS攻击.不安全的物联网设备首先,导致DI)OS攻击影响升级的一大趋势就是互联物联网设备(从摄像机到数 字视频录像机,从路由冷到家电设备)用户数员的增加。远程感染一台互联设备(包括物联网设备)通常需要知道它的用户ID和密码。 在第次使用台设备之前,大部分用户都知道有必要更改用户ID和密码, 之后还会定期更换,但是,在全球数十亿台物联网设箸当中,大约有五十万台 所占比例很小,但绝对数量还是较多-一
6、据说采用的是硬编码的、无法更 改的用户ID和密码。换言之,即使用户有这个想法,也无法更改用户ID和 密码30.硬编码的用户ID和密码如果不被人知道,也不会成为问题。但是,有编程经 购的人查找设备的固件就可以发现硬编码的登录凭据:此外,它们还可能作为参 芍内容提供给软件开发人员或者出现在用户手册中,也有可能通过非法手段获 取之后发布在网络上。易受攻击的设备有可能被召回,不过其所有者可能要过 很长时间才会聘它们交回。其次,许多用户仅仅因为怕麻烦,不愿意更改登录凭据。在物联网设备上全新 设冏密码(如果允许,还可以修改用户ID)比用户所料想或习惯的更费劲。在全 尺寸的电脑提盘上创建新的用户ID和密码很
7、简雎,在采用触摸屏的智能手机 上也没那么麻烦,但是在没有内置屏幕或键楸的物联网设备上就难多了。但如 果不更改登录凭据,就留卜了安全漏洞31。第三,如果设备没有屏幕或者显示屏很小(比如互联的摄像机或数字录像机), 它们可能无法提示升级的必要,有的甚至无法运行杀毒软件32。此外,物联网设备通常采用插入式充电,对于可用电量的损耗没有明显的标 志。这一点与受到感染的笔记本电脑、平板电脑或智能手机不一样,如果它们 被用于攻击,电池的电量会损耗得更快33o如果将被感染的设得用于攻击,通常是察觉不到的:它可能在设备所有者睡觉期 间被恶意使用,在另个时空被用来攻击目标。例如,位于欧洲的设备可以在 午夜攻击位下
8、北美西海岸的目标.数几百万台设备被并入僵尸网络,而它们的 所有者可能在好几年的时间里定不知情。此外,设备制造商也没怎么花心思让用户界面能够兼容各种操作系统或浏览 器,这就使得更改设置(包括密码)变得更难。与普遍受到更好保护的个人电脑、平板电脑和智能手机相比,物联网设备的弱 点更为明显,黑客因此也更喜欢攻击它们。DDoS对攻击者不再有技能要求过去,限制DDoS攻击数量和严重程度的一个因 素就是发动攻击的难度。但是到 2016年年末,在恶意软件Yirai的支持下发起620 Gbit/s的攻击 之后,有关如何复制这一攻击的指导说明就被发布到了网上,而且隐匿了始作 俑者的踪迹。发布的内容包括了一系列互
9、联设备(大部分为物联网设备)的默认 用户ID和密码34。这样来,其他人马上就能轻而易举地复制这攻击。2017年,因为种种原因(从好奇到有组织的攻击),可能还会发生基于Mirai源 代码的进一步攻击。不断提升的带宽速度 导致大规模攻击更加常见的第三个原因就是不断提升的宽带上行速度。上行速 度越快,每一台被感染的设备可以发送的垃圾流量就越多,造成的破坏也就越 严重。如果一个用户的设备被感染,其上行速度达到了 Gbit/s.那么它的破坏 力相当于一百台上行速度为10 Mbits(这个上行速度更为常见)的受感染设 备。2017年,许多市场将陆续迎来两次重大的网络升级,电缆网络将升级到 DOCSIS 3
10、. 1,可以实现数千兆位网速;铜缆网络将升级到G.Isl,通过传统的 铜绞线实现每秒数百兆位的速度。经过升级的电缆和铜缆网络可能继续优先考 虑卜行速度,不过其上行速度也会显著提升35。另外,全球范围内的光纤到户(ETTH)和光纤到驻地(FrrP)安装设备也在不断增 多。截至2020年,全球范围内的Gbit连接将数以亿计,其中少部分的上行速度 也将达到Gbit36.小结DDOS攻击在2017年不是什么新鲜话即,不过它的潜在规模是。任何一个对网 络越来越依靠的组织应该跟上类似攻击的潜在增长。应该保持警惕的组织及项 目包括(但不仅限于):在线收入占很大比例的零售商;在线视频游戏公司;流媒体 视频服务
11、:在线业务与服务交付公司(金融服务、专业服务);以及政府在线服务 项目,比如税务征缴。公司及政府应该考虑多种选择方案,以便减轻DDoS攻击的影响:分散化:诸如云计算、指挥与控制(C2)、态势感知和多媒体会话控制此类 的关键功能都严重依赖高度分享的集中式服务器和数据中心。信息和计 算的集中让攻击者能够轻松锁定目标(数据中心、服务胧),可以推动 DDoS攻击目标的开发与攻击的实施.各个组织应该设计并实施新的架 构,在逻辑和物理上符这些能力分散开,同时确保传统的集中式方案的 性能。带宽超额订购:大型组织考虑到自身的增长和DDoS攻击,通常会租用超 出自己需求很多的容量。如果攻击者无法召集足够的流量淹
12、没这个容 星:,通常无法实施有效攻击。测试:各个组织应该主动发现那些会削弱检测或抵御Dl)OS攻击能力的弱 点和漏洞。受控的以及友军炮火可以用来检查和测试DDoS响应以及整体 恢宏能力的进展。这样一来,就可以发现测试场景设计、度量、设想和 范围上的缺陷,增加对潜在的DDOS攻击方法或特点(之前可能被忽略)的 认知。动态防御:目标静态的、可预测的行为易丁攻击的规划与实施.公司应该 采用灵活多变的防御方法,它们可以根据实际情况进行调整;准备工作应 该包括欺骗方式的设计,建立一个虚假的现实迷惑攻击者,分散攻击流 量。撤退方法:在他流媒体公司可能需要考虑是否提供离线模式;例如,允许 客户预先加载内容,
13、事后观看。防护:应该鼓励甚至强制要求设备供应商为自己的产品获得安全认证,并 在外包装上加以标记。登录凭据的更改应该简单而安全。理想情况下, 产品应与定制的凭据配套,对台设备而言,凭据都是独无二的。这 就意味着没必要依赖客户重新设置ID和密码.应该鼓励潜在客户购买通 过认证的产品37。软件也应该引入分级系统38;检测:基于地域对流量进行过/一一如果流址从一个地方涌来,就有必耍 视为可疑的情况;此外,过落掉那些看上去大到可疑的流量(之前并不活 跃的IGbit/s的连接);但是,如果连接的数量增加,合理的大流量也可 能增加。抵御:电信公司也有可能被要求在DNS层级进行过谑,如有需要可以追踪 来自其他
14、国家的流量。有些实体可能对DDoS攻击已经有些漠然了。但是,这些攻击可能随着 时间会变得更具破坏力,攻击者也可能想出更加独出心裁的办法。不幸 的是,我们在DDOS攻击这件事情上决不能松懈。DDoS恶魔Li经胞到瓶 子外边,不可能再把它塞回去/DDoS在中国一攻守进一步升级在中国,DDoS攻击同样在潦量与维度上不断升右。2016年,乐视遭遇了其 成立以来最大的一次恶意DDoS攻击,峰值流量高达200Gbps,使其电视 端、手机端、网页端处于瘫痪状态而无法登陆。此外,众多互联网金网平台 亦曾遭遇过无法应对的大流量DDoS攻击,而对该类企业而言,数小时的 服务器暂停运行足以造成客户流失。在中国,约有
15、24%的被攻击网站在攻击 一周内受到致命影响39,表现为日均流量卜.降超过70%,而平均1/4的公司 会在遭遇DDoS攻击月内彻底死亡。DI)OS防护失败的种种案例助长了攻击 方的强势,在软硬件进步升级的当下,可以预见DDoS攻击将愈演愈烈。 尽管如此,中国是DDoS全球主力输出国家之一,在16年一场针对北美 Dyn公司的DI)OS攻击中,来自中国的IP地址数量高达IOMO,是第三大攻 击输出国家。我们预期在2017年,来自中国的DI)OS攻击与中方抗DDoS防御之战将进一 步升级。攻击方将组织更大流量更高峰值的DDoS攻击,促使对DDOS防护 体系的专业需求上升。面对攻击方的严竣考验,防护攻
16、击方将呈现两极分化 态势,大型企业将成为防护主力.DDoS攻击在中国将呈现大流量、高峰值态势正在迈向信息化、智能化时代的 中国,使攻击方组织大规模DDoS的难度降低.目前我国DDoS最高峰值流量 约为500Gbps,而在2017年,这个记录极有可能被刷新并踏入TGbps时 代。其原因有三:首先,智能手机与电脑的快速普及降低f发动DDoS攻击的硬件需求。我国 目前的主流DDoS攻击设备是主机端与移动端,攻击方利用免费软件陷阱散 播感染程序,预装于大量主机与智能手机中。在必要的时候,这些潜伏的感 染机将成为攻击武器,联合攻打作战目标,而I着智能手机与电脑普及率的 快速上升(参见图表3),潜在的攻击武器数量随之上升,以该方式发动DDoS 攻击峰值可达数百Gbps,对大部分非专业防护企业造成致命影响。图表3: 2010至2016上半年中国网民