未来的DDoS 攻击战

一、未来的网络战

未来的网络战会同时表现出两种趋势:更广泛的打击和更精确的打击。更广泛的打击是指将敌对国家整体作为打击目标,通过制造社会混乱来降低对手的抵抗。战争爆发的同时,金融系统数据会突然出现混乱,各种交易无法进行;智能电网瘫痪,电力供应中断导致生产停滞;交通调度系统也陷入失控状态,城里的人无法出去,城外的物资无法进入;电话和网络中断,电视广播只能收到敌对台的宣传。这里描述的场景非幻想,其中的每种现象都是攻击者当前就可以通过网络攻击来实现的。例如,2008年俄罗斯和格鲁吉亚的战争中,格鲁吉亚的官方网站和主要媒体都因遭受DDoS攻击而关闭,总统萨卡什维利数次迁移个人主页的服务器。

而更精确的打击是指在具体的战斗中精确制造获胜的契机。《网电空间战》中,克拉克给出了一个真实的例子。2007年9月6日午夜,叙利亚境内的某处正在修建的秘密设施突然遇袭。短短一分钟的轰炸结束后,现场就只剩下满地的残骸和远去的以色列战机。令人百思不得其解的是,当晚来袭的以色列战机是20世纪70年代设计的F-15和F-16,没有专门的隐身能力,而叙利亚耗资数十亿美元建造的防空系统却完全没有发现这次袭击。虽然对以色列采用的具体方法未能确定,但军事专家一致认为,导致这一结果的原因是叙利亚的防空系统遭到了入侵,无法显示真实信息。

DDoS具有强大的破坏性,在广泛打击的过程中是有力的武器;然而在精确打击中,早期DDoS的缺点暴露无遗,为了发挥更大的作用,新的DDoS正在进入APT时代。

二、DDoS的APT时代

随着攻防技术的不断发展,DDoS攻击也不断出现新的特性。DDoS攻击显现出技术高级、过程持续、危害严重的特点。DDoS攻击已经开始进入APT时代。

1、技术高级

过去,DDoS攻击就是攻击者通过控制大量的PC僵尸主机或使用简单的工具,直接向目标发送大量的请求数据包,这是一种相对简单而粗暴的攻击模式。而在近几年,DDoS攻击者开始使用更高级和高效的攻击技术,这体现在更强大的僵尸主机平台、更有效的攻击方法和更智能的攻击工具上。

在“燕子行动”(Operation Ababil)中,攻击者使用了主要由Web服务器组成的僵尸网络Brobot进行DDoS攻击。与PC相比,Web服务器具有更高的性能、更大的带宽和更长的在线时间。在进行DDoS攻击时,一台Web服务器僵尸主机的攻击效果能够比得上几十甚至数百台PC僵尸主机,而管理僵尸网络的开销则降低了许多。

在针对Spamhaus的DDoS攻击中,攻击者并不是直接发送攻击数据包,而是利用开放DNS解析器将原始的3Gbit/s流量放大为300Gbit/s攻击流量,实现更有效的带宽消耗效果。此后,攻击者在进行流量式DDoS攻击时,也更偏好于使用放大技术进行攻击。

在面对应用层DDoS攻击时,通常可以通过挑战/应答式的认证算法进行客户端验证,以识别并丢弃恶意的攻击请求。之前,出现了Outflare、Kill’em All等多个智能化攻击工具,这些工具通过解析和执行JavaScript代码、加入无界面浏览器组件等方式模拟浏览器行为,Apache添加多端口及实现单ip多端口映射的方法,绕过客户端验证算法;通过验证码识别技术模拟人类访问行为,历史故事的成语,绕过人机识别算法。更具智能化的攻击工具对DDoS防护方法提出了更大的挑战。

2、过程持续

2013年9月18日,从“燕子行动”开始整整经过了一年的时间。

从2012年9月18日开始,整个“燕子行动”经历了四个阶段,第一阶段、第二阶段发生在2012年,而第三阶段、第四阶段发生在2013年。

为了达到移除影片的目的,QCF持续对美国的金融机构发动DDoS攻击,美国银行(Bank of America)、花旗集团(Citigroup)、富国银行(Wells Fargo)、美国合众银行(US Bancorp)、PNC金融服务集团、第一资本(Capital One)、五三银行(Fifth Third Bank)、BB&T银行和汇丰银行(HSBC)等金融机构的在线业务都受到了影响。同时,为了保证DDoS攻击的效果,QCF不断地对其攻击工具itsoknoproblembro进行修改,增加新的攻击方法和手段,并调整攻击的策略。

目前,虽然“燕子行动”已经没有进一步的消息,但是这次行动已经持续了超过一年的时间,成为安全史上持续时间最长的DDoS攻击行动。

3、危害严重

DDoS攻击会对服务提供者造成严重的危害,影响其服务的可用性。然而,当现实世界与网络世界的结合越来越紧密时,这些DDoS攻击所造成的危害就不仅仅局限于服务提供者,还会威胁到服务使用者的资产安全。

比特币(Bitcoin)是一种用户自治的、去中心化的加密电子货币,通过电子货币交易所、服务商等渠道,比特币能够兑换为当地的货币或者金币。比特币的汇率随着其流通程度和人们对于比特币的价值预期不断变化,DDoS攻击者也开始逐渐关注这种新型资产。

攻击者对比特币交易平台发起攻击,对于比特币持有者会产生两方面的危害。

其一,比特币交易平台和比特币在线钱包业务的中断会导致比特币汇率动荡,在每次交易平台遭到DDoS攻击后,比特币的价格都会有较大幅度的下跌。Mt.Gox遭到DDoS攻击后,比特币的价格从142美元下跌到112美元。这是对比特币持有者造成的间接损失。

其二,在运维团队忙于处理DDoS攻击以恢复业务运行时,攻击者可能正在进行隐蔽的入侵并窃取比特币。丹麦比特币创业公司BIPS遭到DDoS攻击时,安全团队紧急处理,而攻击者则进行了隐秘的入侵并成功偷窃了1295个比特币,价值100万美元。这是对比特币持有者造成的直接损失。

事实上,将DDoS攻击作为烟幕弹,吸引安全响应团队的注意力,然后从另一条通道进行入侵的手法已经不是第一次出现了。2011年4月,索尼(SONY)的欧洲分部遭到了DDoS攻击,安全团队忙于处理DDoS攻击而忽视了攻击者的信息窃取行为,这导致7700万份PSN用户的姓名、地址、生日、密码等私密信息泄露,索尼也在今年遭到了英国政府开出的25万英镑罚单。此外,美国一些银行也曾遭遇过类似的攻击,导致该银行在2小时内损失了900万美元。

和其他的网络攻击技术一样,DDoS攻击技术也在不断发展和进化,并开始进入APT时代。APT时代的DDoS攻击将具有更加高级、高效的攻击技术,更持续的攻击过程和更严重的危害,同时也会对DDoS防护、缓解技术和响应流程提出更大的挑战。随着国家级网军和网络战的不断升级,这样的DDoS攻击将会成为普遍现象。

三、DDoS与大数据

网络攻击技术从诞生的一刻起,就在不断发展和改变。DDoS的方法同样在不断发展,以致国际上一些研究者正在讨论“下一代DDoS”的定义与特点。当前,DDoS的缓解面临着一些日益严重的问题:

  • 攻击者越来越善于将自己伪装成真实用户(真实浏览器),区分恶意和正常访问正变得比以往更加困难。
  • 攻击方法和工具的多样化和定制化,使得攻击模式的提取工作变得越来越繁重。
  • 快速增长的攻击流量,需要更高效的清洗方法来应对。

“大数据”技术的兴起,为解决这些问题带来了一线曙光。早在20世纪70年代,一位名叫杰克·迈普的纽约警察就曾采用数据分析来预测犯罪行为。他对犯罪发生的时间、地点、类型等因素进行统计,以此来推测新案件的发生。90年代,这套方法被电子化,并在纽约市推广。未来,随着技术的发展,对抗中掌握数据的一方会拥有越来越大的优势。

维克多·迈尔·舍恩伯格在《大数据时代》中表示,与过去相比,“大数据”的精髓在于我们分析信息时的三个转变:

  • “在大数据时代,我们可以分析更多的数据,有时候甚至可以处理和某个特别现象相关的所有数据,而不再依赖于随机采样。”
  • “研究数据如此之多,以至于我们不再热衷于追求精确度。”
  • “我们不再热衷于寻找因果关系。”

也许,解决DDoS当前问题的钥匙,就是“大数据”技术。我们可以想象不远的未来:当某个网络服务的访问量突然增大,前端设备会自动启动分析功能,根据访问模式快速区分恶意和正常的访问,并提取出模式特征。这些特征自动在本地部署,并从云端发送给协同工作的数以万计的同类设备。而发起攻击的僵尸网络地址也被记录在信誉系统,当类似攻击再次发生时可以快速阻断。攻击者手中的武器和进攻基地,使用得越多就会被越快地无力化。

原文地址:https://www.cnblogs.com/asdf89/p/9634268.html

时间: 2024-10-06 21:11:47

未来的DDoS 攻击战的相关文章

DDoS攻防战 (二) :CC攻击工具实现与防御理论

故上兵伐谋 其次伐交 其次伐兵 其下攻城 攻城之法 为不得已 知己知彼 百战不殆 不知彼而知己 一胜一负 不知彼不知己 每战必败 --孙子兵法·谋攻 我们将要实现一个进行应用层DDoS攻击的工具,综合考虑,CC攻击方式是最佳选择,并用bash shell脚本来快速实现并验证这一工具,并在最后,讨论如何防御来自应用层的DDoS攻击. 第一步:获取大量可用代理ip:port列表   网上所处可见免费代理,我们使用http的GET方法抓取html文档,接着使用正则过滤出我们需要的ip port对,然后

F5 DDoS防御小妙招:减轻DDoS攻击危害的六大最佳方法

成功减轻DDoS攻击的基础包括:知道监视什么.全天候地监视这些征兆.有技术和能力来确认和减轻DDoS攻击,同时又允许合法的通信到达目的地,并拥有实时的正确解决问题的技能和经验.下面讨论的最佳方法就反映了这些原则. 最佳方法一:实现数据收集集中化,并理解其趋势 1.集中化监视 运用集中化监视功能,实现在一个位置就可以监视整个网络及通信模式:将通信的监管限制由一个小团队负责,以保持监管的连续性. 2.理解正常网络的通信模式 为建立进入企业的正常通信的基准,企业应当定期收集来自交换机.路由器及其它设备

DDoS攻击态势

DDoS态势报告刊登于绿盟科技安全+技术刊物.多年来,绿盟科技致力于帮助客户实现业务的安全顺畅运行.每天,绿盟科技的防护产品和监测系统会发现数以千计的DDoS(分布式拒绝服务)攻击危害客户安全.为了快速反馈这类攻击的信息,绿盟科技发布<2014H1DDoS 威胁报告>.本报告为2014 年半年报,用于快速跟踪及反馈DDoS 威胁的发展态势. 关键发现 本次报告包括以下关键观点: 政府网站依然是最主要的攻击对象,攻击者选择目标具有"潮流性" 广州.上海和浙江是最集中的受害区域

DDoS攻防战 (一) : 概述

岁寒 然后知松柏之后凋也 --论语·子罕 (此图摘自<Web脚本攻击与防御技术核心剖析>一书,作者:郝永清先生)    DDoS,即 Distributed Denial of Service ,可译为分散式阻断服务攻击. 上图与DDoS的字面已经清楚的表述出了此类攻击的原理,勿需多言.这类攻击泛滥存在的主要原因之一是网络服务的开放性,这一特点导致了DDoS攻击无法根本杜绝,目前主要应对策略是积极防御与消极防御. 典型DDoS的攻击方式:     ·死亡之Ping icmp封装于IP报文之中,

DDoS攻击防御方案

DDoS攻击防御方案 近期DDoS攻击事件较多(2014年DDoS攻击事件分析),大家都在思考一个问题,在面临DDoS攻击的时候,如何防御ddos攻击?绿盟科技安全+技术刊物特别邀请到绿盟科技在运营商方面的DDoS专家,给大家讲讲DDoS攻击防御方案. DDoS攻击威胁现状 对于DDoS攻击,有多种分类方式,例如流量型DDoS攻击(如SYN Flood.UDP Flood.ICMP Flood.ACK Flood等).应用层的DDoS攻击(如Http Get Flood.连接耗尽.CC等).慢速

DDoS攻防战(三):ip黑白名单防火墙frdev的原理与实现

汤之盘铭曰 苟日新 日日新 又日新 康诰曰 作新民   诗曰 周虽旧邦 其命维新   是故 君子无所不用其极  ——礼记·大学 在上一篇文章<DDoS攻防战 (二) :CC攻击工具实现与防御理论>中,笔者阐述了一个防御状态机,它可用来抵御来自应用层的DDoS攻击,但是该状态机依赖一个能应对大量条目快速增删的ip黑白名单防火墙,我们目前并没有发现很好的开源实现以供我们使用. ·实现方案选择: 硬件实现或者软件实现? 在面对诸如大量畸形包这样的攻击时,硬件实现将会是非常好的选择,这是因为在进行此类

实战分享:如何成功防护1.2T国内已知最大流量DDoS攻击

作者:腾讯云宙斯盾安全团队&腾讯安全平台部 引言: DDoS攻击势头愈演愈烈,除了攻击手法的多样化发展之外,最直接的还是攻击流量的成倍增长.3月份国内的最大规模DDoS攻击纪录还停留在数百G规模,4月,这个数据已经突破T级,未来不可期,我们唯有保持警惕之心,技术上稳打稳扎,以应对DDoS攻击卷起的血雨腥风.4月8日,腾讯云宙斯盾成功防御了1.2Tbps的超大流量攻击,也是目前国内已知的最大攻击流量,这篇文章就此次攻防事件简单地为大家做一个梳理和分析. 国内已知最大攻击流量来袭 4月8日,清明节后

如何找个海外高防服务器,防御DDOS攻击呢?

如今大数据时代,DDOS攻击让很多站长头疼,找不到一台好的高防服务器也成了站长心目中的心病.那么,哪里有好的高防服务器呢?哪里有能防御DDOS的海外高防服务器呢?什么是DDOs攻击呢? DDoS攻击是利用一批受控制的机器向一台机器发起攻击,这样来势迅猛的攻击令人难以防备,因此具有较大的破坏性.如果说 以前网络管理员对抗Dos可以采取过滤IP地址方法的话,那么面对当前ddos众多伪造出来的地址则显得没有办法. (1)定期扫描 要定期扫描现有的网络主节点,清查可能存在的安全漏洞,对新出现的漏洞及时进

DDoS攻击给游戏网站带来灾难性的破坏,如何防御?

众所周知,游戏是个暴利的行业,稍有点名气就能赚个盆满钵满,但它的用户基数大且分布广泛,遍布全国各地,加大了线上运维难度,并成为影响游戏增长的固有顽疾,而这些"先天缺陷"也成为其致命弱点:一旦遭受ddos冲击,损失极其惨重. 调查发现2016年以来国内多家游戏公司遭遇到了ddos攻击,平局峰值在300G左右,甚至最高达到1T,如此大规模的攻击,使有些游戏公司日亏损数百万,甚至也有因遭遇ddos攻击而一蹶不振走向倒闭.对此,一些有实力游戏公司也采取相应手段并支付近千万的昂贵费用进行防御,而