DDoS攻击的暗黑世界:爷爷辈的DDoS已是过去[转]

DDoS攻击的暗黑世界:爷爷辈的DDoS已是过去

2016-07-04 Martin 安全牛

今天,分布式拒绝服务攻击已经和我们在千禧年的开端所见到的婴儿期的DDoS不同。它们变得越来越精致和狡猾,而且造成的后果也远不只让服务器宕机这么简单。

在DDoS刚兴起的早期,大体量的攻击很流行。受政治或经济因素驱动的攻击者会控制成千上万个“肉鸡”来对某个特定目标发动攻击,从而宕掉他们的服务器。虽然这样的攻击现在也很常见,但是越来越多的攻击者开始倾向于更为复杂的攻击——“暗黑”DDoS,也可以称之为烟幕攻击。

发动DDoS攻击的目的是为了掩盖真实的攻击,偷取数据。

一家专门研究和模拟DDoS攻击的咨询公司 Nimbus DDoS表示,在这种模式下,攻击者并不会利用拒绝服务来敲诈或是报复他们的目标;相反,这只是一种达到最终结果的手段。攻击者发动这样的攻击可以误导目标机构的管理员,并挤占有价值的时间和资源以至于他们无暇顾及内部网络发生的其它安全事件。

这是一种针对人而不是基础设施的攻击。关键点在于尽可能长时间地拖住目标机构的工作人员,而这是使拥有合格人员的安全运维中心彻底瘫痪的最有效的办法之一。

暗黑DDoS攻击只是为了搞掉目标的网络的可见性,大多数情况下,流量洪峰将致使网络设备上某些探测异常行为的工具不能有效工作或者完全失效。这些设备通常设有一个阈值,如果通信量过大它就无法再继续工作,所以这些攻击就会逃过过滤,被设备默认为进入目标网络。

暗黑技巧

一场暗黑DDoS攻击通常都是一个更复杂犯罪的标志。对于工程师而言,一场这样的攻击会误导目标对于其它安全事件的判断。如果攻击者处理得当,它甚至可以通过强迫目标公司的管理人员因难于处理通信量问题改变他们的基础设施,从而产生意想不到的效果。事实上,在某些情况下,网络运营或者安全部门的人员确实会降低他们在流程上的安全性以应对流量洪峰。

不像传统的攻击,暗黑DDoS的攻击者不会试图通过毁灭性的流量洪峰使目标宕机。因为下线反而令攻击无法继续。暗黑DDoS攻击的特征往往和我们平时所能看到的那些针对企业的大体量攻击不同,比如经常是不到1Gbit每秒的攻击,用以产生大量的安全事件,以及有效的掩盖入侵。

而且,暗黑DDoS的出现会逐渐改变DDoS的运作方式。当然,我们仍可以看到数百Gbit每秒的攻击,但是它们的规模会越来越小,更具针对性而且持续时间更短。有很多统计均显示, 小于1Gbit每秒量级的DDoS攻击越来越多,超过95%的攻击仅持续了30分钟甚至更短。

危险不在于‘拒绝服务’,而在于攻击本身。

暗黑DDoS为更复杂的以偷取数据为主要目的入侵留出足够的带宽,并且消耗防护资源、使安全人员分心,以掩盖真正的攻击。

而且这种攻击可以避开那些用来应付大体量的DDoS攻击的流量清洗技术,因此应该把暗黑DDoS视作一种严重威胁来考虑。

真实的暗黑DDoS攻击什么样?

大多数入侵都始于对整个网络的扫描以便找到一个潜在的入口,而扫描行为是非常容易观察到的,所以烟幕攻击可以被用来模糊这种行为使你很难发现它。

攻击者进入网络后同样会使用烟幕攻击来隐藏他们的活动。因为攻击者无法确切地知道他们会在目标的网络环境中留下什么痕迹。要知道,从目标网络中拖走客户数据库或者大量的信息资产是很容易被发现的。于是,用于掩盖行为的“烟幕”会非常有帮助。

即使有了“烟幕”的帮助,攻击者还会在目标机构的网络变换技巧,不断地尝试以找出在当前网络环境中最有效的办法,给保护系统的安全人员带来了很大的困难。

数年前,研究人员就发现了一个暗黑DDoS攻击,以转移系统管理员的注意力,然后在DDoS攻击的掩盖下,使用伪造的自动清算转账(ACH)从被入侵的账户中盗取资金。

最为公众熟知的一暗黑DDoS攻击的实例,就是去年10月发生的TalkTalk数据泄露事件。在这起事件中,攻击者用大流量淹没了企业的网站,在工作人员疲于应付的时候,进入系统盗取客户数据。类似的还有,今年八月,欧洲最大的移动电话零售商 Carphone Warehouse 在被大流量攻击淹没后,240万的客户个人数据泄露。

保持警惕

但暗黑DDoS攻击并非万能,它也是可以被检测到的。

首先需要了解自己的网络服务,了解正常的通信流量。可以通过一些培训去帮助运维人员识别小体量的DDoS,并且把这种攻击作为需要对可疑活动监测的标识。

“虽然金融机构是暗黑DDoS的主要目标,但金融并不是唯一一个被这种攻击瞄准的行业。”

DDoS攻击与日俱增,并且简单地破坏企业的网络已不再是攻击者的唯一目标。它很可能是更更具危险与破坏力的潜在威胁的征兆,正所谓:山雨欲来风满楼。

关于xmsg

技术面前人人平等.同时技术也不分高低贵贱.正所谓学无大小,达者为尊.
此条目发表在安全资讯分类目录。将固定链接加入收藏夹。