近日，美國最大燃油管道運營商科洛尼爾（Colonial Pipeline）因受勒索軟體攻擊，被迫臨時關閉其美國東部沿海各州供油的關鍵燃油網路。

公司表明，為遏制威脅，已主動切斷部分網路連線，暫停所有管道運營。為解除對燃料運輸的各種限制，保障石油產品的公路運輸，美國政府宣佈進入緊急狀態。多方訊息證實，此次勒索軟體名為 DarkSide，攻擊者劫持了該公司近 100GB 的資料以索取贖金。

網路攻擊屢見不鮮

5 月 10 日，俄羅斯衛星中文網報道稱，CNN 援引網路安全領域前高官的話報道，認為對科洛尼爾管道運輸公司進行網路攻擊的黑客可能與俄羅斯有關。

該訊息人士表示，此次網路攻擊的背後是來自俄羅斯的黑客團伙 DarkSide，這些黑客通常攻擊非俄語國家，而他們的手段是對目標系統植入惡意軟體，以索要贖金。

這種惡意軟體也被稱為“勒索病毒”。

勒索病毒檔案一旦進入本地，就會自動執行，同時刪除勒索軟體樣本，以躲避查殺和分析。這種病毒利用各種加密演算法對檔案進行加密，被感染者一般無法解密，必須拿到解密的私鑰才有可能破解。直至受害者支付贖金，黑客才可能將其解鎖。

《紐約時報》表示，這種網路犯罪行為好比“對資料的綁架”。

其實，近年來，利用勒索軟體進行網路攻擊的事件屢見不鮮。

據報道，2016 年勒索軟體攻擊開始爆發，當時至少影響五家美國和加拿大醫院，這促使專家再次呼籲使用自動備份來緩解這種攻擊的影響。

例如 2016 年 2 月，美國舊金山好萊塢長老會醫療中心遭受勒索軟體攻擊後，該醫院支付近 17000 美元贖金。

2018 年 1 月，美國印第安納州格林菲爾德的漢考克健康（Hancock Health）遭遇了勒索軟體攻擊。

據報道，這讓醫院失去了部分計算機系統的控制權，當時黑客要求以比特幣作為贖金支付。

從 2018 年初到 9 月中旬，勒索病毒總計對超過 200 萬臺終端發起過攻擊，攻擊次數高達 1700 萬餘次，且整體呈上升趨勢。

截至當地時間 2021 年 4 月 27 日，美國華盛頓警局內部系統遭黑客勒索，美國已有 26 個政府機構遭勒索病毒攻擊。

中國的網路安全防範如何？

相比之下，中國的網路安全防範相對完善，但威脅依然不少。

一方面是國內網路在與全球網路連線前，還需通過另一張“綠網”的檢核；

另一方面，國內對於企業有嚴格的監管要求，若觸犯相關法規，政府將嚴懲不貸。

但網路攻擊沒有終點，一山還有一山高。

業內知名安全專家曾向雷 鋒網 AI 掘金志介紹道，網路攻擊從弱到強可分為五個等級。

第一級是因內部人員管理不當，引發的安全問題；

第二級是早期常見的黑客攻擊，以單兵作戰的形式，通過潛伏、滲透等手段達到竊取密碼的目的；

第三級以 DDoS 攻擊為主，是有組織、成體系的攻擊，多是由商業競爭對手發起；

第四級是黑產，通過挖礦、勒索甚至資本聯動等方式盈利。資金流向分散，存證取證極為困難；

第五級則是網路軍隊。

目前來看，美國此次事件則屬於四級甚至是第五級的網路攻擊。

而近年來，隨著數字化轉型、聯網裝置數量增加以及處理器算力提升，位於第三級的 DDoS 攻擊愈趨複雜，攻擊目標大多直指企業並造成重大財務損失。

以全球視角來看，其最大市場是北美和亞太地區。

據統計，2020 年第三季度，中國遭遇的 DDoS 攻擊為全球之首，佔攻擊總量的 72.83%。

時至今日，國內利用殭屍網路的 DDoS 攻擊仍大行其道。

近日，一個基於殭屍網路“Pareto”的廣告欺詐活動被發現並搗毀。

此次攻擊活動中，網路犯罪分子利用惡意軟體成功感染了 100 多萬臺 Android 移動裝置。

據研究人員稱，該殭屍網路利用數十個移動應用程式，模擬了超 6000 個 CTV 應用程式，每天提供至少 6.5 億條廣告訪問請求。

攻擊者與被感染後受遠端控制的“殭屍”計算機之間，實現了可一對多操控的網路，就是殭屍網路。

就隱蔽性而言，殭屍主機在未執行特點指令時，與伺服器之間不會進行通訊。

這樣一個可隱身潛伏在目標陣營裡的工具，很難不受到攻擊者青睞。

使用殭屍網路最常發動的攻擊，即分散式拒絕服務攻擊（DDoS）。

DDoS 又稱洪水攻擊，攻擊者利用一臺臺殭屍電腦，向受害者系統傳送如洪水般迅猛的合法或偽造的請求，致使其頻寬飽和或資源耗盡，以達到服務暫時中斷、網路及系統癱瘓的目的。

安全專家表示，DDoS 是攻擊中的核武器。

攻擊者不僅在攻擊媒介上不斷做出新的嘗試，在攻擊規模、頻率和目標上也不斷進行著調整。

據檢測，今年一季度的一大 DDoS 勒索攻擊，最近一次攻擊的峰值達 800Gbps。

此次攻擊目標不是“重災區”內的遊戲公司，而是一家歐洲賭博公司。

各行各業，氾濫成災

在疫情背景下，各行業業務紛紛轉至線上開展。

這也招致了大量有勒索動機的攻擊者，打起大型企業和機構的算盤。

自 2020 年中下旬起，針對企業組織的 RDDoS 攻擊顯著增加，受害企業若沒有備份資料，只能以支付勒索金額暫停攻擊。

即使有備份資料，也難以避免因攻擊造成的業務系統停擺。

據調查，有 91% 的組織由於 DDoS 攻擊而遭遇業務停擺，平均每次停擺帶來的損失高達 30 萬美元。

而騰訊安全釋出白皮書指出，2020 年的 DDoS 攻擊次數創歷史新高。

從行業分佈上看，金融、政務、網際網路、零售等領域都成為了 DDoS 攻擊的戰場，但遊戲行業仍為重災區，在整體 DDoS 攻擊中佔比超 7 成。

除了對遊戲企業進行勒索，惡意遊戲玩家作弊也是攻擊行為的一大動機。

自去年二季度起，國外一外掛團伙開發了一款“炸房掛”，呼叫第三方攻擊站點發起 DDoS 攻擊，並以數十美元的價格，將外掛批量售給惡意玩家，致使多地域遊戲玩家掉線、遊戲伺服器宕機等後果。

對於遊戲企業而言，除了直接的收益損失，還可能流失一大批無法接受任何延遲的玩家客戶。

同理，在金融行業，使用者可能無法完成線上交易，對平臺失去信任；

在網際網路行業，使用者可能因訪問速度過慢，甚至無法訪問頁面等體驗，對業務失去信任；

在零售行業，使用者可能因其新品釋出活動受阻，對產品失去信任……

去年八月，就發生了兩起影響極大的攻擊事件。

被連續攻擊 5 日的紐西蘭證交所多次被迫中斷交易；白俄國安委和內務部網站因遭攻擊影響了白俄總統選舉。

十月，Google 公開宣佈，2017 年曾遭受峰值流量達 2.54Tb 的 DDoS 攻擊，表示“希望提高人們對國家黑客組織濫用 DDoS 攻擊趨勢的認知”。

DDoS 攻擊還將攻往哪些領域，難以預判。

針對全球 DDoS 攻擊現狀，華為認為，其攻擊強度依然呈增長態勢，攻擊手法將更加複雜。

「洪水」無情，「防洪」有眼

隨著攻擊演變不斷，各企從識別、清洗和黑洞策略三個層面著手，數管齊下。

首先是負載均衡，識別檢測。

CDN 作為網路堵塞的有效緩解方法之一，博得各企業關注。

以其擁有的大量節點，CDN 可代替源伺服器為訪問者提供就近服務。

這一特性，實現了源伺服器減負，使用者訪問快速響應，企業受 DDoS 攻擊的機率也在一定程度上降低。

但同時，各 CDN 節點也成為了訪問者的把關人。

為進行自動識別排程，阿里雲、華為雲等企業都推出了 CDN 聯動 DDoS 高防方案。

高防 CDN 的原理是利用 CNAME 記錄，將攻擊流量引至高防節點。

而高防節點 IP 是對源站點的業務轉發，即使追蹤業務互動也無法得知真正的使用者源站點，從而保障伺服器安全。

其次是清洗闕值與黑洞闕值。

正如人的免疫力再好，也難免會生病；防護機制再完善，也難保就此萬無一失。

就算沒有生病，也可以買保險。

以正常流量基線設定闕值，據自身防禦能力設定黑洞策略，借“同歸於盡”換最後的安全。

不同於固定闕值，阿里雲基於其大資料能力，結合 AI 智慧分析和演算法學習使用者的業務流量基線，以此識別異常攻擊。

檢測到 DDoS 攻擊且請求流量達到清洗闕值時，DDoS 防護就會觸發清洗。

華為雲也有這樣的“底線”。

當流量攻擊超出其提供的基礎攻擊防禦範圍，華為雲將採取黑洞策略封堵 IP，遮蔽該殭屍電腦的外網訪問。

物聯未來，變成殭屍電腦的風險有多大？

小到智慧家居，大到智慧城市，線上 IoT 裝置在各領域已大面積普及，包括配電、通訊網路等關鍵設施裝置。

物聯網裝置雖逐步完善，但對於安全運維，仍受限於裝置的各種形態和功能。

從終端、無線接入、閘道器，再到雲平臺，許多裝置使用的作業系統都不是統一的。

運維難度因此大大提升。

除此之外，“攻擊工具”的獲取門檻之低，使得 DDoS 攻擊成為一種“傻瓜式”網路攻擊，物聯網下的各企極易受到威脅。

即便是沒有充足經驗的“黑客”，也可藉助 Mirai 等公開惡意軟體，植入殭屍病毒發起攻擊。

據分析，Mirai 和 Gafgyt 仍是目前主流的兩大殭屍網路家族。

而 Mirai 的主要感染物件，就是路由器、網路攝像頭、DVR 裝置等 Linux 物聯網裝置。

物聯網裝置的資源縱深價值，一方面為企業和個體帶來便利，另一方面也招致攻擊者的覬覦。

美國東海岸 DNS 服務商 Dyn，曾因該殭屍網路，影響了千萬量級的 IP 數量，其中大部分來自物聯網和智慧裝置。

總結

目前，對於 DDoS 攻擊其門檻低、易操作、高效率的特點，各行各業仍膽顫心驚。

利用負載均衡、闕值設定等方法，建立 DDoS 防護和相關應變團隊，定期進行安全監控演練，並檢視自身營運風險，是企業可參考的幾個方面。

有專家建議，在物聯網環境下，切割關鍵性業務、限制聯機來源或隱蔽聯機入口等方法，也有助於降低遭受攻擊的風險。