CTI論壇(ctiforum)2月22日消息(記者 李文杰): 2016年1月2日,BBC遭受了針對其所有應用的網(wǎng)絡(luò )攻擊。此次攻擊導致了至少3個(gè)小時(shí)的應用不可用。此次DDoS攻擊超過(guò)600Gbps--這是有史以來(lái)規模最大的一次DDoS攻擊。NewWorldHackers黑客組織聲稱(chēng)對此次攻擊負責,該組織中的成員還發(fā)表了多篇文章,詳述此次事件。其中一個(gè)主要觀(guān)點(diǎn)就是,該黑客組織成功避開(kāi)了亞馬遜的安全措施,利用管理者權限發(fā)起了攻擊。
亞馬遜擁有巨大的供其用戶(hù)使用的基礎架構資源,其存在的資源被濫用風(fēng)險(如發(fā)起大型DDoS攻擊)一直以來(lái)都在被大家討論。
該組織是如何利用亞馬遜的基礎架構生成高流量攻擊的?
亞馬遜的AWS安全白皮書(shū)中指出,亞馬遜已采用了多種技術(shù)來(lái)防止此類(lèi)情況的發(fā)生。我們看一下幾個(gè)重要的技術(shù)及其對生成大型攻擊意味著(zhù)什么:
防欺詐:亞馬遜彈性計算云(EC2)實(shí)例不能發(fā)送虛假的網(wǎng)絡(luò )流量。由AWS控制的托管防火墻基礎架構不允許實(shí)例發(fā)送源IP或MAC地址不屬于自己地址范圍的的數據流。因此可以防御幾乎所有的大流量網(wǎng)絡(luò )層攻擊,如:欺詐洪水、反射和放大式洪水。
網(wǎng)絡(luò )監控及防護措施:AWS采用了各種各樣的自動(dòng)化監控系統,可以提供很高的服務(wù)性能和可用性。AWS監控工具可以在入口和出口通信點(diǎn)處檢測不尋常的或未經(jīng)授權的活動(dòng)。這些工具可以監控服務(wù)器和網(wǎng)絡(luò )的使用情況、端口掃描活動(dòng)、應用使用情況和未經(jīng)授權的入侵嘗試。這些工具還可以設置針對于不尋常活動(dòng)的自定義性能指標閾值。因此,任何在網(wǎng)絡(luò )中流動(dòng)的不尋常流量都可以被檢測出來(lái),并引發(fā)相關(guān)節點(diǎn)的關(guān)閉。
DDoS防護措施:部署了專(zhuān)有的防護系統。盡管關(guān)于系統的詳細描述沒(méi)有披露出來(lái),但仍有一些用于保護這些系統的監控和自動(dòng)化防護措施。
濫用報告:亞馬遜的客戶(hù)可以向亞馬遜報告賬戶(hù)的濫用情況。亞馬遜調查團隊會(huì )研究每一份報告,并采取相應的行動(dòng)。因此,一般可以認為,當一個(gè)攻擊被報告后,亞馬遜應該會(huì )針對攻擊采取及時(shí)的行動(dòng)。
其它措施:部署了訪(fǎng)問(wèn)控制、防掃描、加密和隔離措施,以防范此類(lèi)情況的出現。
攻擊確實(shí)是由亞馬遜發(fā)起的可能性有多大呢?雖然我們已經(jīng)意識到,發(fā)起大流量攻擊是一個(gè)很具有挑戰性的任務(wù),但我們不妨換個(gè)方法,如果攻擊容量不是那么高會(huì )怎樣呢?如果攻擊更復雜、更巧妙又會(huì )怎樣呢?
開(kāi)始動(dòng)態(tài)IP攻擊--帶來(lái)同樣的毀滅性結果
動(dòng)態(tài)IP攻擊的目標是應用層。他們利用真實(shí)的IP地址完成與服務(wù)器之間的三次握手,也能夠規避諸如JavaScript質(zhì)詢(xún)等緩解技術(shù)。通過(guò)恰當的方法分發(fā)這類(lèi)攻擊,攻擊者能夠成功做到讓檢測措施幾乎無(wú)法區分攻擊者和合法用戶(hù)。
攻擊者會(huì )采用各種各樣的技術(shù)來(lái)規避常見(jiàn)的防御機制。無(wú)頭瀏覽器的使用、規避技術(shù)、加密和特定的模仿用戶(hù)行為都是這些技術(shù)的范例。當這樣的攻擊分布在海量源中時(shí),每個(gè)源的速率就會(huì )變得很低,這使得應用速率限制機制也無(wú)法將其檢測出來(lái)。由于在不影響正常操作的前提下公有云不易被添加到訪(fǎng)問(wèn)列表中,因此,如果這樣的攻擊源自于主要的公有云基礎架構,就會(huì )給緩解系統帶來(lái)更多挑戰。
我們再重新審視一下針對上述安全措施的動(dòng)態(tài)IP攻擊:
防欺詐:應用攻擊需要完整的會(huì )話(huà),因此不會(huì )出現相關(guān)的IP欺詐,而且會(huì )創(chuàng )建真正的會(huì )話(huà)。然而,利用亞馬遜提供的地址范圍,IP可以頻繁改變。
網(wǎng)絡(luò )監控及防護措施:復雜攻擊會(huì )在每個(gè)源節點(diǎn)采用低帶寬,但會(huì )進(jìn)行高頻率分發(fā)來(lái)隱藏攻擊。這樣的話(huà),每個(gè)信息源看起來(lái)都是合法的。
DDoS防護措施:低流量攻擊可以躲過(guò)任何監控措施的檢測,只可能在最終目的地位置被發(fā)現。事實(shí)上,即使在最終目的地位置也還是難于進(jìn)行朋友和敵人的區分。
濫用報告:為了報告濫用情況,首先需要確認的是被濫用的信息源,并將這些上報給亞馬遜。當信息源表現的像普通用戶(hù)一樣時(shí),這幾乎是一個(gè)不可能完成的任務(wù)。
其它措施:當僅使用在通常執行策略?xún)鹊目山邮苄袨闄C制時(shí),仍然可以生成帶有上述屬性但仍在合理使用標準內的攻擊。
總而言之,考慮到現有的安全措施,利用亞馬遜或其它任何公有云服務(wù)生成攻擊并不容易實(shí)現,但同時(shí)我們也知道,多數安全措施都是為了防御傳統的、與網(wǎng)絡(luò )相關(guān)的DDoS攻擊類(lèi)型。我們相信,越來(lái)越多的攻擊者正在快速掌握高復雜度攻擊方式,這種高復雜度攻擊變得越來(lái)越難于探測和控制,這就意味著(zhù)毀滅性結果的風(fēng)險越來(lái)越高。
關(guān)于Radware
Radware(NASDAQ:RDWR)是為虛擬數據中心和云數據中心提供應用交付和應用安全解決方案的全球領(lǐng)導者。Radware屢獲殊榮的解決方案為關(guān)鍵業(yè)務(wù)應用提供充分的彈性、最大的IT效率和完整的業(yè)務(wù)靈敏性。Radware解決方案幫助全球上萬(wàn)家企業(yè)和運營(yíng)商快速應對市場(chǎng)挑戰,保持業(yè)務(wù)的連續性,在實(shí)現最高生產(chǎn)效率的同時(shí)有效降低成本。
