未來的DDoS 攻擊戰
一、未來的網絡戰
未來的網絡戰會同時表現出兩種趨勢:更廣泛的打擊和更精確的打擊。更廣泛的打擊是指將敵對國家整體作為打擊目標,通過制造社會混亂來降低對手的抵抗。戰爭爆發的同時,金融系統數據會突然出現混亂,各種交易無法進行;智能電網癱瘓,電力供應中斷導致生產停滯;交通調度系統也陷入失控狀態,城裏的人無法出去,城外的物資無法進入;電話和網絡中斷,電視廣播只能收到敵對臺的宣傳。這裏描述的場景非幻想,其中的每種現象都是攻擊者當前就可以通過網絡攻擊來實現的。例如,2008年俄羅斯和格魯吉亞的戰爭中,格魯吉亞的官方網站和主要媒體都因遭受DDoS攻擊而關閉,總統薩卡什維利數次遷移個人主頁的服務器。
而更精確的打擊是指在具體的戰鬥中精確制造獲勝的契機。《網電空間戰》中,克拉克給出了一個真實的例子。2007年9月6日午夜,敘利亞境內的某處正在修建的秘密設施突然遇襲。短短一分鐘的轟炸結束後,現場就只剩下滿地的殘骸和遠去的以色列戰機。令人百思不得其解的是,當晚來襲的以色列戰機是20世紀70年代設計的F-15和F-16,沒有專門的隱身能力,而敘利亞耗資數十億美元建造的防空系統卻完全沒有發現這次襲擊。雖然對以色列采用的具體方法未能確定,但軍事專家一致認為,導致這一結果的原因是敘利亞的防空系統遭到了入侵,無法顯示真實信息。
DDoS具有強大的破壞性,在廣泛打擊的過程中是有力的武器;然而在精確打擊中,早期DDoS的缺點暴露無遺,為了發揮更大的作用,新的DDoS正在進入APT時代。
二、DDoS的APT時代
隨著攻防技術的不斷發展,DDoS攻擊也不斷出現新的特性。DDoS攻擊顯現出技術高級、過程持續、危害嚴重的特點。DDoS攻擊已經開始進入APT時代。
1、技術高級
過去,DDoS攻擊就是攻擊者通過控制大量的PC僵屍主機或使用簡單的工具,直接向目標發送大量的請求數據包,這是一種相對簡單而粗暴的攻擊模式。而在近幾年,DDoS攻擊者開始使用更高級和高效的攻擊技術,這體現在更強大的僵屍主機平臺、更有效的攻擊方法和更智能的攻擊工具上。
在“燕子行動”(Operation Ababil)中,攻擊者使用了主要由Web服務器組成的僵屍網絡Brobot進行DDoS攻擊。與PC相比,Web服務器具有更高的性能、更大的帶寬和更長的在線時間。在進行DDoS攻擊時,一臺Web服務器僵屍主機的攻擊效果能夠比得上幾十甚至數百臺PC僵屍主機,而管理僵屍網絡的開銷則降低了許多。
在針對Spamhaus的DDoS攻擊中,攻擊者並不是直接發送攻擊數據包,而是利用開放DNS解析器將原始的3Gbit/s流量放大為300Gbit/s攻擊流量,實現更有效的帶寬消耗效果。此後,攻擊者在進行流量式DDoS攻擊時,也更偏好於使用放大技術進行攻擊。
在面對應用層DDoS攻擊時,通常可以通過挑戰/應答式的認證算法進行客戶端驗證,以識別並丟棄惡意的攻擊請求。之前,出現了Outflare、Kill’em All等多個智能化攻擊工具,這些工具通過解析和執行JavaScript代碼、加入無界面瀏覽器組件等方式模擬瀏覽器行為,Apache添加多端口及實現單ip多端口映射的方法
2、過程持續
2013年9月18日,從“燕子行動”開始整整經過了一年的時間。
從2012年9月18日開始,整個“燕子行動”經歷了四個階段,第一階段、第二階段發生在2012年,而第三階段、第四階段發生在2013年。
為了達到移除影片的目的,QCF持續對美國的金融機構發動DDoS攻擊,美國銀行(Bank of America)、花旗集團(Citigroup)、富國銀行(Wells Fargo)、美國合眾銀行(US Bancorp)、PNC金融服務集團、第一資本(Capital One)、五三銀行(Fifth Third Bank)、BB&T銀行和匯豐銀行(HSBC)等金融機構的在線業務都受到了影響。同時,為了保證DDoS攻擊的效果,QCF不斷地對其攻擊工具itsoknoproblembro進行修改,增加新的攻擊方法和手段,並調整攻擊的策略。
目前,雖然“燕子行動”已經沒有進一步的消息,但是這次行動已經持續了超過一年的時間,成為安全史上持續時間最長的DDoS攻擊行動。
3、危害嚴重
DDoS攻擊會對服務提供者造成嚴重的危害,影響其服務的可用性。然而,當現實世界與網絡世界的結合越來越緊密時,這些DDoS攻擊所造成的危害就不僅僅局限於服務提供者,還會威脅到服務使用者的資產安全。
比特幣(Bitcoin)是一種用戶自治的、去中心化的加密電子貨幣,通過電子貨幣交易所、服務商等渠道,比特幣能夠兌換為當地的貨幣或者金幣。比特幣的匯率隨著其流通程度和人們對於比特幣的價值預期不斷變化,DDoS攻擊者也開始逐漸關註這種新型資產。
攻擊者對比特幣交易平臺發起攻擊,對於比特幣持有者會產生兩方面的危害。
其一,比特幣交易平臺和比特幣在線錢包業務的中斷會導致比特幣匯率動蕩,在每次交易平臺遭到DDoS攻擊後,比特幣的價格都會有較大幅度的下跌。Mt.Gox遭到DDoS攻擊後,比特幣的價格從142美元下跌到112美元。這是對比特幣持有者造成的間接損失。
其二,在運維團隊忙於處理DDoS攻擊以恢復業務運行時,攻擊者可能正在進行隱蔽的入侵並竊取比特幣。丹麥比特幣創業公司BIPS遭到DDoS攻擊時,安全團隊緊急處理,而攻擊者則進行了隱秘的入侵並成功偷竊了1295個比特幣,價值100萬美元。這是對比特幣持有者造成的直接損失。
事實上,將DDoS攻擊作為煙幕彈,吸引安全響應團隊的註意力,然後從另一條通道進行入侵的手法已經不是第一次出現了。2011年4月,索尼(SONY)的歐洲分部遭到了DDoS攻擊,安全團隊忙於處理DDoS攻擊而忽視了攻擊者的信息竊取行為,這導致7700萬份PSN用戶的姓名、地址、生日、密碼等私密信息泄露,索尼也在今年遭到了英國政府開出的25萬英鎊罰單。此外,美國一些銀行也曾遭遇過類似的攻擊,導致該銀行在2小時內損失了900萬美元。
和其他的網絡攻擊技術一樣,DDoS攻擊技術也在不斷發展和進化,並開始進入APT時代。APT時代的DDoS攻擊將具有更加高級、高效的攻擊技術,更持續的攻擊過程和更嚴重的危害,同時也會對DDoS防護、緩解技術和響應流程提出更大的挑戰。隨著國家級網軍和網絡戰的不斷升級,這樣的DDoS攻擊將會成為普遍現象。
三、DDoS與大數據
網絡攻擊技術從誕生的一刻起,就在不斷發展和改變。DDoS的方法同樣在不斷發展,以致國際上一些研究者正在討論“下一代DDoS”的定義與特點。當前,DDoS的緩解面臨著一些日益嚴重的問題:
-
攻擊者越來越善於將自己偽裝成真實用戶(真實瀏覽器),區分惡意和正常訪問正變得比以往更加困難。
-
攻擊方法和工具的多樣化和定制化,使得攻擊模式的提取工作變得越來越繁重。
-
快速增長的攻擊流量,需要更高效的清洗方法來應對。
“大數據”技術的興起,為解決這些問題帶來了一線曙光。早在20世紀70年代,一位名叫傑克·邁普的紐約警察就曾采用數據分析來預測犯罪行為。他對犯罪發生的時間、地點、類型等因素進行統計,以此來推測新案件的發生。90年代,這套方法被電子化,並在紐約市推廣。未來,隨著技術的發展,對抗中掌握數據的一方會擁有越來越大的優勢。
維克多·邁爾·舍恩伯格在《大數據時代》中表示,與過去相比,“大數據”的精髓在於我們分析信息時的三個轉變:
-
“在大數據時代,我們可以分析更多的數據,有時候甚至可以處理和某個特別現象相關的所有數據,而不再依賴於隨機采樣。”
-
“研究數據如此之多,以至於我們不再熱衷於追求精確度。”
-
“我們不再熱衷於尋找因果關系。”
也許,解決DDoS當前問題的鑰匙,就是“大數據”技術。我們可以想象不遠的未來:當某個網絡服務的訪問量突然增大,前端設備會自動啟動分析功能,根據訪問模式快速區分惡意和正常的訪問,並提取出模式特征。這些特征自動在本地部署,並從雲端發送給協同工作的數以萬計的同類設備。而發起攻擊的僵屍網絡地址也被記錄在信譽系統,當類似攻擊再次發生時可以快速阻斷。攻擊者手中的武器和進攻基地,使用得越多就會被越快地無力化。
未來的DDoS 攻擊戰