DDoS攻击趋势:更复杂,规模更大(一)DDoS
欧洲反垃圾邮件组织Spamhaus遭受了分布式拒绝服务攻击(DDoS),这次攻击因其规模巨大而受到广泛的关注。从DDoS攻击趋势来看,随着带宽的增加,有针对性的攻击正在不断上升,对此,DDoS攻击防护服务供应商很担忧。
CloudFlare是负责帮助Spamhaus处理DDoS攻击的公司,该公司首席执行官Matthew Prince表示,尽管报告速度达到300Gbps,处理工作还是相对比较容易,因为数据包能被丢弃在他们的路由器中。
Prince称,相比之下,最讨厌的攻击是那些针对底层应用逻辑的攻击,这种攻击通常会试图利用应用层协议中的某种限制,例如,web服务器可能只会处理一定数量的会话,这样,攻击者就会尝试超过这个阈值。
登录系统是攻击者最喜爱的目标之一,攻击者会不断向系统发送用户名和密码请求,但他们不会试图通过暴力破解来猜测正确的信息,他们只是想让系统处理大量虚假的请求。
“他们使用不正确的用户名和密码组合,每个登录请求都会到达数据库,如果攻击者发送假的请求,没有经过检查的话,应用将没有办法知道请求是假的,”Prince表示,“这样,数据库将面对庞大的垃圾请求,最终将崩溃,导致所有人都无法登录。”
DDoS防护供应商Prolexic公司信息安全经理David Fernandez表示,犯罪团伙的手段日益复杂,他们已经开始瞄准应用层。根据Prolexic对DDoS攻击趋势的报告显示,在2013年第一季度,7层网络攻击占该公司面对的所有DDoS攻击的25%。该报告还提到,应用层攻击(例如HTTP GET和HTTP POST洪水攻击)已经成为DDoS攻击工具包中流行的攻击,DDoS工具包是简化以及自动化执行DDoS攻击的工具集。
很多这些攻击带来很大挑战,因为它们并不一定侧重于带宽,而是利用大量并发连接。“这些请求规模相对较小,它们都是非伪造的IP地址,所以它们可以通过三方握手和防欺骗机制,直接连接到你的root页面,并持续不断地制造更多连接,”Fernandez表示,“有效的7层网络攻击有10万个并发连接,这通常是我们需要阻止的事情,但实际带宽相对比较低。2Gbps的攻击基本上会创造20万个并发连接,这会影响企业。”
供应商Arbor Networks全球销售工程和运营副总裁Carlos Morales表示,这种低带宽、高并发连接攻击是很大的挑战,主要是因为它对网络带宽的影响极其微小。僵尸网络有很多主机能够连接到web服务器,并向服务器发送少量数据包来保持连接,从而导致用于其它客户端的可用服务器连接数量减少。
“从网络的角度来看,这真的是防不胜防;大部分时候,人们会说,‘为什么我的服务器不能正常工作?我的网络显示流量并没有明显增长啊’,”Morales指出,“然后他们会发现‘通常这个时候我只有1万名用户,而现在却有150万用户。’这是因为攻击者始终在保持连接。”
Morales表示,在了解潜在目标的攻击面时,攻击者确实做了很多功课。例如,一家银行可能需要为其网上银行用户处理大量SSL加密流量,攻击者就会部署专门的方法来针对这种流量。攻击者的目的就是弄清楚你的薄弱环节,然后趁虚而入。
TechTarget中国原创内容,原文链接:http://www.searchsecurity.com.cn/showcontent_74357.htm