523
一個多矢量融合式DDoS攻擊的實例
近日發布的《全球基礎設施安全報告》顯示,一個令人非常擔憂的統計數據在受訪者中呈增長趨勢,就是多矢量DDoS攻擊。這類攻擊集合了大流量、狀態耗盡和應用層攻擊等多種手段。46%的受訪者都遭受過這些攻擊,比去年增長了19個百分點。這些攻擊很難預防,通常需要通過數據中心和雲管理分層解決。
在2012年第四季度期間,我們見證了一個有針對性的、複雜的DDoS攻擊美國金融機構的實例。這些攻擊是非常有預謀和有重點的,它們以有條理和有組織的方式執行攻擊。
多矢量攻擊過程
2012年第四季度,在針對美國金融機構的DDoS攻擊活動中,許多PHP網絡應用程序受到連累,它們成了攻擊中的機器人。此外,許多經常使用過時的TimThumb插件的WordPress網站大約在同一時間作出妥協。Joomla和其它基於PHP應用程序的網站也受到了影響。無人維護的、使用過時的擴展軟件的網站也是易受攻擊的對象,攻擊者充分利用此漏洞上傳各種PHP網頁木馬,然後用這些PHP網頁木馬進一步部署攻擊工具。攻擊者用這些工具直接連接到易受感染的網站服務器或通過中間服務器/代理服務器/腳本發起攻擊命令。這些攻擊使用了幾種以PHP為基礎的工具。最突出的是“Brobot”。還有兩個工具KamiKaze和AMOS被經常使用。Brobot也被稱為“itsoknoproblembro。”
我們觀察到的攻擊戰術是一個HTTP、HTTPS和DNS上帶有體積攻擊流量的應用層和各種TCP、UDP、ICMP以及其它IP協議的組合。另一個明顯的、不常見的因素也起著同時攻擊的作用,以高帶寬垂直性的攻擊多個公司。2012年12月10日,一群自稱對先前的攻擊負責的Izzad-Dinal-Qassam網絡戰士宣布了“第2階段操作Ababil。”在他們的Pastebin網頁上宣布了新一波的攻擊。
2012年12月11日,我們看到了幾個實現宣布的攻擊目標。有些攻擊看起來與Brobotv1的構建很相似。然而,又有了一個新製作的DNS報文攻擊和其它一些由Brobotv2演變而來的攻擊。
這些攻擊說明了為什麼DDoS一直是一個流行和有效的攻擊載體。DDoS的攻擊規模很大,事實上,一些攻擊已經大到60Gbps。讓這些攻擊如此顯著的不是它們的大小,而是這些攻擊相當集中,部分正在活動,就像DDoS攻擊一樣,相當的公開。從網絡基礎設施到網絡應用程序,這些攻擊利用了多個目標。
多矢量DDoS攻擊的經驗教訓
雖然這些攻擊的背後目的很難猜測,我們也不再重點針對“誰”或“為什麼”,我們更應該考慮的是如何才能成功的防禦這些攻擊。我們從每個人所涉及到的攻擊部分吸取了很多教訓——包括目標企業、管理網絡提供商、網絡安全和網絡應用程序管理員以及載體群體。
對於企業來說,很明顯,它們都采取典型的外圍防禦,如防火牆和IPS,但是當受到DDoS攻擊時,這些方法並不奏效,因為聯機到目標上的每種技術都是一個潛在的瓶頸。
這些設備可以是分層防禦戰略中的一個重要組成部分,但是創建它們的目的是解決問題,遠遠不同於當今複雜的DDoS威脅。根據當今威脅的複雜性和應用層攻擊的性質,企業需要更好的可視性和控製,這就需要一個專用的DDoS防禦方案。這聽起來自我服務的意識很重。然而,DDoS攻擊的可視性需要遠遠好於您關於網站或關鍵的業務資產的報告。沒有實時的攻擊知識,防禦和恢複將變得越來越困難。托管安全服務提供商已經開始評估它們的部署和防禦能力。這些攻擊是唯一的,在同一個垂直係統內它們以多個組織為目標,緩解基於雲計算防禦服務提供商的能力。
這些攻擊繼續證明DDoS將繼續是一種流行的和日趨複雜的攻擊載體。DDoS不再是一個簡單的網絡問題,而是日益成為一個在功能和其它方麵都存在的威脅。
現代攻擊者的動機是單一的,但是威脅形勢將會變得越來越複雜,它融合各種威脅以增加成功的可能性。當然存在MSSP成功減輕攻擊的情況,但是由於底層應用程序數據已經遭到了破壞,目標網站仍然會受到攻擊。為了保護今天的網絡,企業需要在多個應用層上部署DDoS安全性,從網絡的周邊到提供商的雲計算,並且確保終端設備可以在和諧的提供商網絡上有效地運行,增強了攻擊的緩解度。
最後更新:2017-04-03 18:51:53