这样的报刊标题太司空见惯了:攻击者黑掉了著名网站。这一对业务的威胁日趋严重的事件背景是分布式阻绝服务(DDoS)。重要的是,企业要对DDos的威胁有所察觉,并采取预防措施,才能避免成为出现在报刊头条上的下一个DDoS攻击受害者。本文阐释了什么是DDoS攻击,并提供了操作步骤,帮助您尽可能地降低DDoS的影响,甚至是在理想的情况下彻底地规避攻击。
风险并非虚幻,且危险性越来越高
如果您觉得您的公司很小、很不重要,资金也不雄厚,不足以为攻击者感兴趣的下手对象,则请您三思。任何公司企业都可能成为受害者,大多数机构都容易遭到DDoS攻击。无论您是《财富》世界500强企业、政府机构还是小中企业(SMB)——都会出现在当今网络暴徒的目标清单之中。即使是深谙安全之道、动用大量资金和专家保护自身的公司,包括亚马逊、维萨卡、索尼、孟山都(Monsanto)农业生化、PostFinance支付、贝宝( PayPal)支付和美洲银行(Bank of America),也都成为了这一威胁的受害者。
最近,DDoS攻击事件的数量明显增加,其攻击规模也在升级,远远超过了100千兆位秒的流量。对亚洲一家电子商务网站的一次长时间攻击形成的僵尸网络涉及超过25万台僵尸电脑,据说其中很多都在中国。
DDoS的攻击形式五花八门
从最基本的层面上讲,DDoS攻击是企图让一台机器或一个网络的资源无法为目标用户所使用。虽然DDoS攻击采用的手段、动机和目标有所不同,但这种攻击一般包括一人或多人试图暂时或无限期中断或暂停主机与互联网连接的服务。
通常情况下,这要通过分布式僵尸网络的协作来进行,要动用数百或数千台僵尸电脑,这些电脑之前已被感染并接受远程遥控,等待攻击者发出命令。DDoS攻击的方式是通过发起潮水般的大批量通信,强制覆没服务器资源,或利用内在弱点,让目标服务器崩溃。
潮水攻击包括网间控制报文协议(ICMP)潮(比如smurf和Ping潮水攻击)、同步符(SYN)潮(使用伪造的TCP/SYN包),以及其他应用程序级的潮水攻击。潮水式DDoS攻击往往借力于大型分布式僵尸网络的不对称力量。这些网络可以创建多个线程,发送极大数量的请求,使得网络服务器瘫痪。
崩溃攻击通常发送利用操作系统漏洞的畸形数据包。应用程序级的DDoS攻击通过利用服务器应用程序(比如缓冲溢出或叉路炸弹)来使系统崩溃。恶意软件搭载的DDoS攻击可能用木马病毒危害潜在的僵尸网络系统,木马反过来会触发大量下载僵尸代理程序。
此外,攻击已经变得更加复杂。例如,僵尸网络可能不仅仅对目标服务器潮水般地传播数据包,而且有可能侵入性地与服务器建立联系,从内部启动极大数量的伪造应用处理。
为什么用DDoS?
犯罪分子使用DDoS,因为它价格低廉、难以发现且十分高效。DDoS攻击很便宜,是因为它们利用了由成千上万的僵尸电脑组成的分布式网络,这些电脑通过电脑蠕虫病毒或其他自动化方法俘获。例如,DDoS攻击MyDoom就是使用一种蠕虫病毒来散布潮水攻击发起的命令。因为这些僵尸网络在全球范围内买卖,在黑市上唾手可得,攻击者可以用不到100美元购买僵尸网络的使用权进行潮水攻击,或者以低至每小时5美元的价格雇佣他人进行特定的攻击。
DDoS的攻击很难探测到,因为它们经常使用正常的连接,并模仿正常的授权通信。结果,这种攻击非常高效,因为通常情况下目标服务器会错误地信任通信,执行这些请求而最终将自身淹没,促成了攻击。比如,在HTTP-GET潮水攻击(例如Mydoom)中,请求通过正常的TCP连接发送,并被网络服务器认定为合法内容。
受金钱或意识形态驱使
受金钱驱使的DDoS攻击通常是基于敲诈勒索或竞争。勒索方案往往是要求受害组织支付大笔赎金来防止拒绝服务,从而使勒索方获利。例如,据报道,一家英国的电子赌博网站在拒绝赎金要求后,遭到了DDoS攻击而瘫痪。
来自不道德商业竞争对手的攻击比人们想象中的更为普遍。一项行业调查发现,对美国企业的所有DDoS攻击有一半以上是由竞争对手发起的,以得到不正当的商业优势。[corero网络安全调查,2012年]
意识形态攻击可能由政府机构或草根黑客积极分子发起。黑客积极分子通过阻塞高知名度的组织或网站来让自己出名,以表达不同的政见或抵触的做法。也许当今最臭名昭著的黑客积极分子的例子之一是松散的团体“无名氏(Anonymous)”,其声称自己的职责(和名声)是黑掉知名组织,像联邦调查局和中央情报局等的网站,并已经瞄准了遍及六大洲的25个国家的网站。
下一个受害者是谁?
因为黑客积极分子的攻击日程很不稳定、无法预测,任何公司都有可能被当做最新热点的象征,受到黑客的攻击。知名度高的组织(比如Facebook)或活动(比如奥运会、欧洲杯或美国大选)的网站极易成为攻击目标。
而对于由政府发起的网络战DDoS攻击,易受袭击的就不止是政府目标了。这些攻击也可能瞄准提供关键基础设施、通讯和运输服务的关联供应商,或者试图损坏关键业务或金融交易服务器。
基于云的服务现在也特别容易遭受针对性的攻击。因为需要进行过量计算或事务处理的网站(比如综合性的搜索引擎或数据挖掘网站)非常迫切地需要资源,它们也是DDoS攻击的首选目标。