从 Tin00 恶意软件到 Mirai 僵尸网络,分布式拒绝服务仍然是攻击者武器库中的强大武器
1999 年 7 月,一组感染了 Trin00 恶意软件的计算机攻击并关闭了明尼苏达大学的网络。这一事件标志着分布式拒绝服务 (DDoS) 攻击的第一个记录案例。
20 年后,DDoS 已演变为来自网络犯罪团伙和民族国家行为者武器库的最严重的安全威胁之一。
什么是 DDoS?
顾名思义,DDoS 攻击的目标是通过用虚假流量淹没其服务器并使其资源匮乏来防止目标网站向其用户提供服务。
在参与 DDoS 之前,攻击者通常会组装一个“僵尸网络”。僵尸网络是一组感染了恶意软件的计算机,该恶意软件使攻击者(即“僵尸主机”)能够向它们发送远程命令。在组装僵尸设备大军后,僵尸主机可以通过命令僵尸网络同时向目标发送虚假请求来发起 DDoS 攻击。
借助足够强大的僵尸网络,攻击者可以压倒目标服务器并使其崩溃,从而阻止其响应合法用户的请求。
威胁演变
自从明尼苏达大学遭受攻击以来,犯罪分子的 DDoS 攻击已经造成了巨大的经济损失,并损害了目标组织的声誉。
仅在过去一年中,网络托管和内容交付巨头 Akamai每周就记录了数百次 DDoS 攻击。据The Daily Swig报道,网络安全供应商卡巴斯基实验室最近的一份报告还发现,2019 年第一季度 DDoS 攻击的数量增加了 84% 。
除了频率之外,DDoS 攻击的规模和可能造成的损害程度也有所增加。
Akamai 全球安全运营总监 Domingo Ponce 十多年来一直站在与 DDoS 抗争的第一线。
“当我开始时,我们正在防止黑客行动主义(如匿名者)、脚本小猫和公司相互攻击(阴暗的赌博网站),”他告诉The Daily Swig。
“现在 DDoS 已经长大了——攻击是由国家赞助的,涉及大型犯罪集团,而 DDoS 是一个非常重要的基于收入的黑市行业。”
物联网不安全助长了火势
物联网 (IoT) 的扩展在近期 DDoS 攻击的增长中发挥了重要作用。由于依赖默认凭据,这些设备中的许多都放弃了安全性,这使它们很容易成为僵尸网络病毒的游戏。
“Mirai 是一个转折点,突显了由物联网设备组成的 DDoS 僵尸网络的力量,”Akamai 安全战略高级总监 Patrick Sullivan 告诉The Daily Swig。
Mirai 僵尸网络是针对 DNS 提供商 Dyn的重大 DDoS 攻击的幕后黑手,该攻击导致 2016 年 10 月的一次重大互联网中断。该僵尸网络包括大量连接互联网的摄像机、家庭路由器和婴儿监视器。
“不仅数量庞大的易受攻击的物联网设备构成了挑战,而且攻击者愿意使用这些机器人来执行应用层攻击会导致更高水平的复杂性,”沙利文说。
保护和生存
在 2016 年 Dyn 攻击之后不久,Mirai 僵尸网络背后的黑客宣布他们将以 7,500 美元的价格出租他们的庞大僵尸网络,这标志着 DDoS 即服务的兴起,网络犯罪分子几乎不需要或不需要技术知识来实施攻击。
DDoS 攻击的蔓延也催生了 DDoS 缓解市场。
“唯一可行的选择是在更加分布式的架构中部署缓解措施,”Akamai 的 Sullivan 说。
“即使是部署到少数位置和 ISP 的大规模可扩展云解决方案,也将难以遏制真正的大规模攻击。对等点并非旨在处理巨大的流量高峰,并且在流量路由到缓解点之前就会发生拥塞。”
