年末了,盤點2016年最嚴重的7起DDoS攻擊事件
隨著黑客技術的不斷發展,人們越來越難以區分真實世界和恐怖電影之間的區別, 2016 年的 DDoS 攻擊事件更是加深了人們的這種感覺。
你相信么?事實上,我們的真實生活可能比好萊塢的恐怖電影更加可怕!當你家的物聯網設備被黑客用來發動 DDoS 攻擊時,你會不會覺得脊背一陣發涼,而顯然目前的 DDoS 攻擊現狀不僅于此。
今年的 BASHLITE 或是 Mirai 僵尸網絡已經讓人們體驗了利用物聯網設備發起 DDoS 攻擊的可怕性,但事情顯然還沒有完。Akamai 高級安全倡導者 Martin McKeay 表示,2016 年僅僅是一個過渡,更嚴峻的形勢即將到來。接下來我們對 2016 年最嚴重的 7 起 DDoS 攻擊事件進行盤點:
鼓勵獎
獲得獎勵獎一般是一些未啟動/未成功(Non-Starter)的 DDoS 攻擊,對于它們而言,一旦生效就會造成毀滅性的后果。正如 Dobbins 在 8 月份的博客中寫道,我們觀察到攻擊者正在強化他們在 DDoS 攻擊方面的能力,一旦攻擊啟動就可以生成 500GB/秒的持續性攻擊,但是卻沒有人注意到這些。以下就列舉出一些入圍鼓勵獎的攻擊案例,希望引起大家的重視:
1)猖獗的勒索軟件
2016 年勒索軟件確實帶來了很多麻煩,最廣為人知的就是好萊塢長老會醫學中心的事件。今年 2 月,攻擊者通過勒索工具入侵了醫院網絡系統,鎖定醫務人員的電腦并勒索 9000 比特幣(約 360 萬美元)作為解鎖條件。
據報道,由于當時該醫院的網絡無法使用,還被迫將病人轉送到其他醫院,并希望在聯邦調查局的幫助下恢復被鎖定系統。但是一周之后問題依然沒有解決,最終醫院支付了攻擊者 17000 美元才得以重新訪問系統。這次事件雖然不能算是一次真正的 DDoS 攻擊,但是卻無疑是一場巨大的針對“可用性”的攻擊活動。
PS:在信息安全的三要素——“保密性”、“完整性”和“可用性”中,DoS(Denial ofService),即拒絕服務攻擊,針對的目標正是“可用性”。
2)“放空彈”的 DDoS 勒索威脅
入圍鼓勵獎的此類 DDoS 威脅其實從未發生過。自今年 3 月初開始,有數百家公司收到了自稱“無敵艦隊”(Armada Collective)的團伙發出的威脅信,宣稱要么支付 10~50 比特幣(約 4600~2.3 萬美元)的保護費,要么就等著面對 1Tbps 以上的 DDoS 攻擊。
大部分公司不予理會,但有些公司認慫了。該團伙的比特幣錢包地址顯示,入賬高達 10 萬美元之巨。但那些拒絕支付保護費的公司至今尚未遭到攻擊。
但是,有必要指出:不是所有的 DDoS 敲詐威脅都是狐假虎威的,當下還是有幾個發出敲詐信的犯罪團伙會切實兌現自己的威脅的。
公司企業需要對 DDoS 攻擊有所準備,但向敲詐低頭絕對不是建議選項,因為這會鼓勵更多網絡罪犯參與到此類犯罪活動中來。而且一旦你向某個團伙支付了保護費,難保另一個團伙不會找上門來。
3)不存在的選舉日 DDoS 攻擊
入選鼓勵獎的毀滅性攻擊活動也從未發生過。“Mirai”攻擊之后,Tripwire 公司安全研究專家 Travis Smith 曾說,黑客們已經做好準備在選舉日發動另一場 DDoS 攻擊。這可能牽涉到那些針對性的服務,例如地圖網站或者政府網站,它們會告訴投票者投票的地點。但 McKeay 表示:“我們并沒有在選舉日看到任何大規模的 DDoS 攻擊行為,不過這也讓我很擔憂,是我們遺漏了什么嗎?”其實此類針對系統的攻擊行為目的之一就是干擾人們對系統的信任,這樣攻擊的威脅目的就達成了。(近日,美國懷疑三個搖擺省投票系統被黑客操縱,影響了票選結果,這是攻擊威脅起作用了?)
4)BlackNurse 攻擊
上個月,安全研究人員發現了“BlackNurse Attack”——一種新型的攻擊技術,可以發起大規模 DDoS 攻擊,可以讓資源有限的攻擊者利用普通筆記本電腦讓大型服務器癱瘓。
由于這種攻擊并不基于互聯網連接的純泛洪攻擊,專家將其命名為“BlackNurse”。BlackNurse 與過往的 ICMP 泛洪攻擊不一樣,后者是快速將 ICMP 請求發送至目標;而 BlackNurse 是基于含有 Type 3 Code 3 數據包的 ICMP。
丹麥 TDC 安全運營中心報告指出:
“我們注意到 BlackNurse 攻擊,是因為在反 DDoS 解決方案中,我們發現,即使每秒發送很低的流量速度和數據包,這種攻擊仍能使我們的客戶服務器操作陷入癱瘓。這種攻擊甚至適用于帶有大量互聯網上行鏈路的客戶,以及部署防火墻保護的大企業。我們期望專業防火墻設備能應對此類攻擊”。
7 大 DDoS 攻擊事件盤點
1. 暴雪 DDoS 攻擊
今年 4 月,Lizard Squad 組織對暴雪公司戰網服務器發起 DDoS 攻擊,包括《星際爭霸2》、《魔獸世界》、《暗黑破壞神3》在內的重要游戲作品離線宕機,玩家無法登陸。名為“Poodle Corp”黑客組織也曾針對暴雪發起多次 DDoS 攻擊,8 月三起,另一起在 9 月。
攻擊不僅導致戰網服務器離線,平臺多款游戲均受到影響,包括《守望先鋒》,《魔獸世界》、《暗黑3》以及《爐石傳說》等,甚至連主機平臺的玩家也遇到了登陸困難的問題。
2. 珠寶店遭遇 25000 個攝像頭組成的僵尸網絡攻擊
今年 6 月,一家普通的珠寶在線銷售網站遭到了黑客的攻擊,美國安全公司 Sucuri 在對這一事件進行調查時發現,該珠寶店的銷售網站當時遭到了泛洪攻擊,在每秒鐘 35000 次的 HTTP 請求(垃圾請求)之下,該網站便無法再提供正常的服務。
當時,Sucuri 公司的安全研究人員曾嘗試阻止這次網絡攻擊,但是這一僵尸網絡卻進一步提升了垃圾請求的發送頻率,隨后該網絡每秒會向該商店的銷售網站發送超過 50000 次垃圾 HTTP 請求。
安全研究人員對此次攻擊中的數據包來源進行分析后發現,這些垃圾請求全部來源于聯網的監控攝像頭,25000 個攝像頭組成僵尸網絡發起 DDoS 攻擊,成為已知最大的 CCTV(閉路電視攝像頭)僵尸網絡。
3. Anonymous 組織發起的“Operation OpIcarus”攻擊
今年 5 月,Anonymous(匿名者)麾下的 BannedOffline、Ghost Squad Hackers(幽靈黑客小隊)等黑客小組,針對全球范圍內的多家銀行網站,發動了短期性網絡攻擊,Anonymous 將此次攻擊行動稱為:“Operation OpIcarus”。
此次選定的攻擊目標包括約旦國家央行、韓國國家央行、摩納哥央行以及一些設立在摩納哥的企業銀行網站等,隨后黑客們對其實施了一系列的 DDoS 攻擊。這次攻擊導致約旦、韓國以及摩納哥等央行網絡系統陷入了半小時的癱瘓狀態,使其無法進行正常工作,而黑山國家銀行網絡系統則被迫關閉,停止服務。
4. 精準的 NS1 攻擊
今年 5 月,DNS 和流量管理供應商 NS1(ns1.com)遭遇了歷時 10 天的針對性大規模 DDoS 攻擊,它通過執行上游流量過濾和使用基于行為的規則屏蔽了大部分攻擊流量。
攻擊者沒有使用流行的 DNS 放大攻擊,而是向 NS1 的域名服務器發送編程生成的 DNS 查詢請求,攻擊流量達到了每秒 5000 萬到 6000 萬包,數據包表面上看起來是真正的查詢請求,但它想要解析的是不存在于 NS1 客戶的主機名。攻擊源頭也在東歐、俄羅斯、中國和美國的不同僵尸網絡中輪換。
5. 五家俄羅斯銀行遭遇 DDoS 攻擊
11 月 10 日,俄羅斯五家主流大型銀行遭遇長達兩天的 DDoS 攻擊。來自 30 個國家 2.4 萬臺計算機構成的僵尸網絡持續不間斷發動強大的 DDOS 攻擊。
卡巴斯基實驗室提供的分析表明,超過 50% 的僵尸網絡位于以色列、臺灣、印度和美國。每波攻擊持續至少一個小時,最長的不間斷持續超過 12 個小時。攻擊的強度達到每秒發送 66 萬次請求。卡巴斯基實驗室還指出,有些銀行反復遭受被攻擊。
6. Mirai 僵尸網絡攻擊 KrebsonSecurity
Mirai 是一個十萬數量級別的僵尸網絡,由互聯網上的物聯網設備(網絡攝像頭等)構成,8 月開始構建,9 月出現高潮。攻擊者通過猜測設備的默認用戶名和口令控制系統,將其納入到 Botnet 中,在需要的時候執行各種惡意操作,包括發起 DDoS 攻擊,對互聯網造成巨大的威脅。
今年 9 月 20 日,安全研究機構 KrebsonSecurity 遭遇 Mirai 攻擊,當時被認為是有史以來最大的一次網絡攻擊之一。然而沒過多久,法國主機服務供應商 OVH 也遭到了兩次攻擊,罪魁禍首依然是 Mirai。據悉,KrebsonSecurity 被攻擊時流量達到了 665GB,而 OVH 被攻擊時總流量則超過了 1TB。
7. 美國大半個互聯網下線事件
說起今年的 DDOS 攻擊就不得不提 Dyn 事件。10 月 21 日,提供動態 DNS 服務的 Dyn DNS 遭到了大規模 DDoS 攻擊,攻擊主要影響其位于美國東區的服務。
此次攻擊導致許多使用 DynDNS 服務的網站遭遇訪問問題,其中包括 GitHub、推ter、Airbnb、Reddit、Freshbooks、Heroku、SoundCloud,、Spotify 和 Shopify。攻擊導致這些網站一度癱瘓,推ter 甚至出現了近 24 小時 0 訪問的局面。
10 月 27 日,Dyn 產品部門執行副總裁 ScottHilton 簽發了一份聲明表示,Dyn 識別出了大約 10 萬個向該公司發動惡意流量攻擊的來源,而它們全都指向被 Mirai 惡意軟件感染和控制的設備。
Scott Hilton 還深入剖析了本輪攻擊的技術細節,稱攻擊者利用 DNS TCP 和 UDP 數據包發起了攻擊。盡管手段并不成熟,但一開始就成功打破了 Dyn 的防護,并對其內部系統造成了嚴重破壞。該公司并未披露本次攻擊的確切規模,外界估計它可能大大超過了針對 OVH 的那次 DDoS 攻擊。(峰值達到了 1.1Tbps,這也是迄今所知最大的一次 DDoS 攻擊)
在這所有的攻擊事件中,Herzberg 最關注的問題是越來越多的僵尸網絡開始利用物聯網設備組建攻擊,包括智能手機、攝像頭等。他表示:
“如果我是攻擊者,我也會對擁有一個移動僵尸網絡非常感興趣。”
事實上,互聯網史上每一次大規模 DDoS 攻擊,都能引發大動蕩。
2013 年 3 月的一次 DDoS 攻擊,流量從一開始的 10GB、90GB,逐漸擴大至 300GB,Spamhaus、CloudFlare 遭到攻擊,差點致使歐洲網絡癱瘓;
2014 年 2 月的一次 DDoS 攻擊,攻擊對象為 CloudFlare 客戶,當時包括維基解密在內的 78.5 萬個網站安全服務受到影響,規模甚至大于 Spamhaus,流量為 400GB;
……
幾年時間內,攻擊流量從 300G 到 400GB,如今已經以“T”級別來計算,DDoS 攻擊幾乎在以飛躍式的速度增長,而隨著技術發展,利用物聯網設備組建僵尸網絡發起攻擊的現象也日益嚴峻,網絡安全之路可謂任重道遠,如何解決日益增多的難題成為未來網絡安全發展的考驗。
參考來源:darkreading,米雪兒編譯,轉載請注明來自 FreeBuf.COM
來自: www.freebuf.com