在2016年,攻擊者最常用的兩個(gè)攻擊是突發(fā)式攻擊,又名“打了就跑”攻擊,另一個(gè)是高級持續性拒絕服務(wù)(ApDoS)攻擊。Radware發(fā)現許多攻擊者使用了隨機間隔的高容量突發(fā)式攻擊,這些攻擊可以持續數周,包含有多個(gè)可以同時(shí)攻擊所有網(wǎng)絡(luò )層的攻擊載體。這些類(lèi)型的攻擊很可能引發(fā)網(wǎng)絡(luò )服務(wù)器SLA的頻繁中斷,并阻礙合法用戶(hù)訪(fǎng)問(wèn)服務(wù)。
另一方面,黑客也在尋求可以實(shí)行網(wǎng)絡(luò )癱瘓式攻擊的新載體和方法。2016年,Radware注意到物聯(lián)網(wǎng)(IoT)被廣泛用于創(chuàng )建強大的僵尸網(wǎng)絡(luò ),以及BlackNurse、ICMP攻擊等許多新的攻擊載體。最值得注意的是某用戶(hù)在HackForum上發(fā)布的Mirai僵尸網(wǎng)絡(luò )源代碼。該僵尸網(wǎng)絡(luò )利用了在基于BusyBox的IoT設備上發(fā)現的60多個(gè)出廠(chǎng)默認憑證,創(chuàng )建了迄今為止最為強大的僵尸網(wǎng)絡(luò )。Mirai背后更令人關(guān)注的因素之一就是通用路由封裝(GRE)攻擊載體。這一相對較新的方法在數據包中封裝了包含大量的數據,試圖使接收網(wǎng)絡(luò )因解封負載時(shí)而耗盡資源。
來(lái)自Radware ERT的5大DDoS載體
- HTTP/s
2016年,Radware ERT發(fā)現了385,000個(gè)以上針對客戶(hù)發(fā)起的HTTP泛洪攻擊。HTTP泛洪攻擊是黑客用于攻擊Web服務(wù)器和應用的一種攻擊方法。HTTP泛洪攻擊由一組發(fā)送到目標服務(wù)器的看似合法的基于會(huì )話(huà)的HTTP GET或POST請求組成。為了增強整體的攻擊能力,通常會(huì )通過(guò)僵尸網(wǎng)絡(luò )大批量發(fā)送這類(lèi)請求,但同時(shí)也會(huì )利用HULK和SlowLoris等DoS工具發(fā)起攻擊。HULK是一個(gè)簡(jiǎn)單的泛洪攻擊工具,可以為每個(gè)請求生成獨特的HTTP請求。藉此,HULK可以幫助攻擊規避緩存技術(shù),直接攻擊服務(wù)器。在今年的OpIcarus攻擊中,攻擊者采用了HULK、SlowLoris、TorsHammer和Slowhttp等許多L7 DoS工具。
- DNS
DNS泛洪攻擊是針對特定應用的UDP泛洪攻擊的變體。由于DNS服務(wù)器使用UDP進(jìn)行名稱(chēng)解析,因此向DNS服務(wù)器發(fā)送大量DNS請求可以消耗其資源,進(jìn)而引發(fā)服務(wù)降級和對合法請求的響應時(shí)間變慢。DNS放大攻擊是可以利用DNS服務(wù)器工作方式來(lái)放大攻擊流量的復雜拒絕服務(wù)攻擊。攻擊者向多個(gè)DNS服務(wù)器發(fā)送高速率的簡(jiǎn)短DNS查詢(xún)內容,使服務(wù)器將完整的DNS記錄列表發(fā)送給受害者。由于攻擊者每發(fā)送一個(gè)簡(jiǎn)短DNS查詢(xún),DNS服務(wù)器就會(huì )回復更大的針對受害者的響應內容,因此攻擊者可以把攻擊放大。迄今為止,Radware ERT團隊發(fā)現超過(guò)130,000個(gè)針對AAAA記錄的DNS泛洪攻擊,其中48個(gè)攻擊來(lái)自Mirai僵尸網(wǎng)絡(luò )。
- TCP
TCP泛洪攻擊是一種使用時(shí)間最長(cháng)卻仍受歡迎的拒絕服務(wù)攻擊。TCP攻擊的最常見(jiàn)形式包括向受害者服務(wù)器發(fā)送大量的SYN數據包。此攻擊是通過(guò)濫用創(chuàng )建會(huì )話(huà)的三次握手規則來(lái)淹沒(méi)目標服務(wù)器的會(huì )話(huà)表。服務(wù)器需要為每個(gè)到達的數據包打開(kāi)一個(gè)狀態(tài),攻擊者利用攻擊流量填充這些表格,進(jìn)而導致服務(wù)器無(wú)法處理合法流量。2016年,Radware ERT發(fā)現大量TCP攻擊,如:TCP-SYN、25,081、FIN-ACK、17,264和SYN-ACK、14,758。Radware ERT還發(fā)現了來(lái)源于Mirai的名為T(mén)CP STOMP的攻擊。這是一個(gè)典型的ACK泛洪攻擊,Mirai在獲得合法序列號之后才開(kāi)始ACK泛洪攻擊,從而增加了它繞過(guò)安全解決方案的可能性。在反奧運攻擊(OpOlympicHacking)期間,黑客組織Anonymous發(fā)布了一個(gè)GUI工具,允許組織成員通過(guò)Tor針對預先定義的與比賽有關(guān)的組織發(fā)起TCP PSH+ACK泛洪攻擊。
- UDP
UDP泛洪攻擊是一種網(wǎng)絡(luò )泛洪攻擊,也是當前最常見(jiàn)的泛洪攻擊之一。攻擊者會(huì )將UDP數據包發(fā)送到單一目的端口或隨機端口。在多數情況下,由于UDP協(xié)議采用了無(wú)連接傳輸模式,沒(méi)有任何類(lèi)型的握手機制或會(huì )話(huà),因此攻擊者能夠假冒源IP。UDP攻擊的目的是通過(guò)高容量攻擊堵塞互聯(lián)網(wǎng)管道。簡(jiǎn)單而言,UDP泛洪攻擊通過(guò)大量濫用正常行為的方式引發(fā)目標網(wǎng)絡(luò )的擁塞和服務(wù)降級。2016年,Radware ERT發(fā)現了超過(guò)50萬(wàn)的IPv4泛洪攻擊、93,538個(gè)UDP分片攻擊和816個(gè)IPv6攻擊。在OpIsrael攻擊期間,Radware發(fā)現了黑客組織Anonymous發(fā)布的預包裝工具包,其中包括大量的GUI、圖形用戶(hù)界面和能夠發(fā)起BlackOut、Anonymous外部攻擊、DoSeR 2.0和LOIC等UDP泛洪攻擊的工具。除此之外,在Mirai僵尸網(wǎng)絡(luò )發(fā)布兩個(gè)月之后,Radware還發(fā)現了2,395個(gè)來(lái)自于Mirai僵尸網(wǎng)絡(luò )的UDP泛洪攻擊。
- GRE
2016年,Radware發(fā)現了一個(gè)全新的強大僵尸網(wǎng)絡(luò ),該僵尸網(wǎng)絡(luò )使用了通用路由封裝(GRE)的作為攻擊載體。在GRE泛洪攻擊中,攻擊者在封裝數據包中攜帶了大量數據,并將這些數據包發(fā)送到可以解封數據包有效負載的目標網(wǎng)絡(luò )。通過(guò)發(fā)送攜帶大量封裝數據的GRE數據包,攻擊者能夠消耗并耗盡可以解封有效負載的網(wǎng)絡(luò )資源。Mirai發(fā)布之后,Radware某客戶(hù)就報告了一個(gè)流量在70-180 Gbps之間波動(dòng)的GRE泛洪攻擊。被封裝的UDP數據包中含有512個(gè)字節的隨機數據,Radware的DDoS防護措施能夠成功緩解這種類(lèi)型的攻擊。
Radware ERT預測,進(jìn)入2017年之后,隨著(zhù)1 Tbps的攻擊成為新的標準,拒絕服務(wù)攻擊還將繼續快速增長(cháng)。由于IoT設備的使用和部署變得越來(lái)越廣泛,Radware預計,因為IoT設備糟糕的安全性,攻擊者將會(huì )找到IoT設備更多的漏洞,并將這些漏洞與Bashlite等其他僵尸網(wǎng)絡(luò )結合起來(lái)進(jìn)行攻擊,很可能實(shí)現攻擊規模記錄。
關(guān)于Radware
Radware(NASDAQ:RDWR)是為虛擬數據中心和云數據中心提供應用交付和應用安全解決方案的全球領(lǐng)導者。Radware屢獲殊榮的解決方案為關(guān)鍵業(yè)務(wù)應用提供充分的彈性、最大的IT效率和完整的業(yè)務(wù)靈敏性。Radware解決方案幫助全球上萬(wàn)家企業(yè)和運營(yíng)商快速應對市場(chǎng)挑戰,保持業(yè)務(wù)的連續性,在實(shí)現最高生產(chǎn)效率的同時(shí)有效降低成本。
