3种类型的DDoS攻击(3d走势图带连线图)
DDoS攻击主要分为三类:
1.基于流量的攻击使用大量虚假流量来淹没网站或服务器等资源。它们包括ICMP、UDP和欺骗性数据包泛洪攻击。基于卷的攻击的大小以每秒比特数(bps)来衡量。
2.协议或网络层DDoS攻击将大量数据包发送到目标网络基础设施和基础设施管理工具。这些协议攻击包括SYN洪水和SmurfDDoS等,它们的大小以每秒数据包(PPS)来衡量。
3.应用层攻击是通过用恶意制作的请求淹没应用程序来进行的。应用层攻击的规模以每秒请求数(RPS)来衡量。
对于每种类型的攻击,目标始终相同:使在线资源缓慢或完全无响应。
DDoS攻击症状
DDoS攻击看起来像许多可导致可用性问题的非恶意事件,例如服务器或系统宕机、合法用户发出的合法请求过多,甚至电缆被切断。通常需要进行流量分析来确定准确发生的情况。
这种攻击将永远改变人们对拒绝服务攻击的看法。2000年初,加拿大高中生MichaelCalce,又名MafiaBoy,攻击了雅虎!通过分布式拒绝服务(DDoS)攻击,成功关闭了当时领先的网络强国之一。在接下来的一周里,卡尔斯瞄准并成功地破坏了亚马逊、CNN和eBay等其他网站。
这当然不是第一次DDoS攻击,但那一系列高度公开且成功的攻击将拒绝服务攻击从新奇和小麻烦转变为CISO和CIO心中永远的强大业务破坏者。
从那时起,DDoS攻击已成为一种非常频繁的威胁,因为它们通常用于报复、勒索、作为在线激进主义的一种手段,甚至用于发动网络战争。
这些年来,它们也变得更大了。在1990年代中期,一次攻击可能包含每秒150个请求——这足以使许多系统瘫痪。今天,它们可以超过1,000Gbps。这在很大程度上是由现代僵尸网络的庞大规模推动的。
2016年10月,互联网基础设施服务提供商DynDNS(现为OracleDYN)被来自数千万IP地址的DNS查询浪潮所困。该攻击通过Mirai僵尸网络执行,据报道感染了超过100,000台物联网设备,包括IP摄像机和打印机。在巅峰时期,Mirai达到了400,000个机器人。包括亚马逊、Netflix、Reddit、Spotify、Tumblr和Twitter在内的服务中断。
对驱动攻击的技术的分析表明,它在某些方面比其他攻击更简单。虽然Dyn攻击是Mirai僵尸网络的产物,它需要恶意软件来感染数千个物联网设备,但GitHub攻击利用了运行Memcached内存缓存系统的服务器,该系统可以响应简单的请求返回非常大的数据块。
Memcached旨在仅用于在内部网络上运行的受保护服务器,并且通常几乎没有安全措施来防止恶意攻击者欺骗IP地址并向毫无戒心的受害者发送大量数据。不幸的是,数以千计的Memcached服务器位于开放的互联网上,它们在DDoS攻击中的使用激增。说服务器被“劫持”是不公平的,因为他们会很高兴地在任何被告知的地方发送数据包而不问任何问题。
就在GitHub攻击发生几天后,另一次基于Memecached的DDoS攻击以每秒1.7TB的数据冲击了一家美国服务提供商。
Mirai僵尸网络的重要性在于,与大多数DDoS攻击不同,它利用易受攻击的物联网设备而不是PC和服务器。当人们考虑到2020年时,根据BIIntelligence的数据,将有340亿台互联网连接设备,其中大多数是(240亿)将是物联网设备。
不幸的是,Mirai不会是最后一个由物联网驱动的僵尸网络。对Akamai、Cloudflare、Flashpoint、Google、RiskIQ和TeamCymru安全团队的调查发现了一个类似规模的僵尸网络,称为WireX,由100个国家/地区的100,000台受感染的Android设备组成。一系列针对内容提供商和内容交付网络的大型DDoS攻击促使了调查。
2020年6月21日,Akamai报告称,它已缓解了针对一家大型欧洲银行的DDoS攻击,该攻击的峰值达到每秒8.09亿个数据包(Mpps),这是有史以来最大的数据包量。这种攻击旨在通过发送数十亿个小型(包括IPv4标头在内的29字节)数据包来压倒目标数据中心中的网络设备和应用程序。
Akamai研究人员表示,由于使用了大量源IP地址,因此这次攻击是独一无二的。“在攻击期间,将流量注册到客户目的地的源IP数量大幅增加,表明它在本质上是高度分布的。与我们通常观察到的该客户相比,我们看到每分钟的源IP数量增加了600倍目的地,”研究人员指出。
今天的DDoS攻击
据卡巴斯基称,最近发现的像Torii和DemonBot这样能够发起DDoS攻击的僵尸网络令人担忧。Torii能够接管一系列物联网设备,被认为比Mirai更持久和危险。DemonBot劫持了Hadoop集群,从而获得了更多的计算能力。
另一个令人担忧的趋势是新的DDoS启动平台(如0x-booter)的可用性。这种DDos即服务利用了大约16,000个感染了武士道恶意软件(一种Mirai变体)的物联网设备。
Imperva的一份DDoS报告发现,2019年的大多数DDoS攻击都相对较小。例如,网络层攻击通常不超过5000万PPS。该报告的作者将此归因于DDoS-for-hire服务,该服务提供无限但小规模的攻击。Imperva确实在2019年看到了一些非常大的攻击,包括达到5.8亿PPS的网络层攻击和峰值为292,000RPS并持续13天的应用层攻击。
Cloudflare还观察到2020年RDDoS攻击数量增加的所谓“令人不安的趋势”,组织会收到DDoS攻击的威胁,除非支付赎金,否则将中断其运营。恶意方往往将目标锁定在无法响应此类攻击并从中恢复的受害者。
DDoS攻击工具
DDoS攻击如何演变
如上所述,通过租用的僵尸网络进行这些攻击变得越来越普遍。预计这一趋势将继续。
另一个趋势是在一次攻击中使用多个攻击向量,也称为高级持续拒绝服务APDoS。例如,APDoS攻击可能涉及应用层,例如针对数据库和应用程序以及直接针对服务器的攻击。“这不仅仅是'泛滥',”BinaryDefense合作伙伴成功董事总经理ChuckMackey说。
此外,Mackey解释说,攻击者通常不仅直接针对受害者,还针对他们所依赖的组织,例如ISP和云提供商。他说:“这些是广泛协调的、影响广泛的攻击。”
当然,随着犯罪分子完善他们的DDoS攻击,技术和战术不会停滞不前。正如JASK安全研究主管RodSoto所解释的那样,新物联网设备的加入、机器学习和人工智能的兴起都将在改变这些攻击方面发挥作用。“攻击者最终也会将这些技术集成到攻击中,使防御者更难追上DDoS攻击,尤其是那些无法通过简单的ACL或签名阻止的攻击。DDoS防御技术也必须朝这个方向发展,”索托说。