DDoS攻击趋势：更复杂，规模更大(1)

admin

欧洲反垃圾邮件组织Spamhaus遭受了分布式拒绝服务攻击(DDoS)，这次攻击因其规模巨大而受到广泛的关注，被认为是史上最大的DDos攻击，。从DDoS攻击趋势来看，随着带宽的增加，有针对性的攻击正在不断上升，对此，DDoS攻击防护服务供应商很担忧。

CloudFlare是负责帮助Spamhaus处理DDoS攻击的公司，该公司首席执行官Matthew
Prince表示，尽管报告速度达到300Gbps，处理工作还是相对比较容易，因为数据包能被丢弃在他们的路由器中。

Prince称，相比之下，最讨厌的攻击是那些针对底层应用逻辑的攻击，这种攻击通常会试图利用应用层协议中的某种限制，例如，web服务器可能只会处理一定数量的会话，这样，攻击者就会尝试超过这个阈值。

登录系统是攻击者最喜爱的目标之一，攻击者会不断向系统发送用户名和密码请求，但他们不会试图通过暴力破解来猜测正确的信息，他们只是想让系统处理大量虚假的请求。

“他们使用不正确的用户名和密码组合，每个登录请求都会到达数据库，如果攻击者发送假的请求，没有经过检查的话，应用将没有办法知道请求是假的，”Prince表示，“这样，数据库将面对庞大的垃圾请求，最终将崩溃，导致所有人都无法登录。”

DDoS防护供应商Prolexic公司信息安全经理David
Fernandez表示，犯罪团伙的手段日益复杂，他们已经开始瞄准应用层。根据Prolexic对DDoS攻击趋势的报告显示，在2013年第一季度，7层网络攻击占该公司面对的所有DDoS攻击的25%。该报告还提到，应用层攻击(例如HTTP
GET和HTTP POST洪水攻击)已经成为DDoS攻击工具包中流行的攻击，DDoS工具包是简化以及自动化执行DDoS攻击的工具集。

很多这些攻击带来很大挑战，因为它们并不一定侧重于带宽，而是利用大量并发连接。“这些请求规模相对较小，它们都是非伪造的IP地址，所以它们可以通过三方握手和防欺骗机制，直接连接到你的root页面，并持续不断地制造更多连接，”Fernandez表示，“有效的7层网络攻击有10万个并发连接，这通常是我们需要阻止的事情，但实际带宽相对比较低。2Gbps的攻击基本上会创造20万个并发连接，这会影响企业。”

供应商Arbor Networks全球销售工程和运营副总裁Carlos
Morales表示，这种低带宽、高并发连接攻击是很大的挑战，主要是因为它对网络带宽的影响极其微小。僵尸网络有很多主机能够连接到web服务器，并向服务器发送少量数据包来保持连接，从而导致用于其它客户端的可用服务器连接数量减少。

“从网络的角度来看，这真的是防不胜防;大部分时候，人们会说，‘为什么我的服务器不能正常工作?我的网络显示流量并没有明显增长啊’，”Morales指出，“然后他们会发现‘通常这个时候我只有1万名用户，而现在却有150万用户。’这是因为攻击者始终在保持连接。”

Morales表示，在了解潜在目标的攻击面时，攻击者确实做了很多功课。例如，一家银行可能需要为其网上银行用户处理大量SSL加密流量，攻击者就会部署专门的方法来针对这种流量。攻击者的目的就是弄清楚你的薄弱环节，然后趁虚而入。

平均数字各不相同，但整体在增长

虽然DDoS攻击趋势显示，攻击者并不仅依靠带宽来执行攻击，攻击的整体规模仍然可能让企业措手不及。CloudFlare公司的Prince指出，20世纪90年代和2000年代的僵尸网络依赖于感染家用电脑来发送攻击，而现在，攻击者开始感染web服务器(包括WordPress和消费应用的服务器)，这些服务器连接到相对“粗的管道”。

在高带宽DDoS攻击中，地理因素也发挥着一定作用，犯罪团伙试图利用各个国家的基础设施的优势。例如，Arbor发现，从全球范围来看，韩国是第三大DDoS流量来源，仅次于中国和美国。Morales认为，这主要是韩国互联网服务供应商提供的可用的带宽量，很多家庭都有光纤连接。

Prolexic还发现了全球DDoS攻击环境中一个显著的趋势，在其2013年第一季度报告中，5个不同的南美国家排在恶意流量来源的前20位。这个结果部分是因为南美洲新兴的互联网基础设施，但他指出，犯罪团伙正在瞄准除传统DDoS来源国之外的国家来利用更多地区的优势。

虽然专家一致认为DDoS攻击的规模正在不断增长，但我们很难得出一个平均数字。Prolexic声称平均规模是48.25Gbps，而Arbor的2013年第一季度数据显示平均规模为1.77Gbps。Prince指出，CloudFlare发现DDoS攻击每天超过30Gbps到40Gbps，但他没有给出平均值，因为“有太多变量在不断变化”。

存在这种差异性的部分是因为Prolexic和CloudFlare都是专注于DDoS防护的云基础设施公司，这意味着，只有当发展到不可收拾的时候，他们才会处理攻击。相比之下，Arbor提供企业内部部署的DDoS检测产品，其最高容量产品包含40Gbps端口。Morales指出，Arbor的产品能够扩展到2Tbps，目前还没有攻击能够超越这种水平的容量，尽管在未来可能出现特定部署超越这个容量。

Arbor不仅提供企业内部部署的产品，该公司同时也涉足基于云的DDoS防护领域。Arbor是云信令联盟(Cloud Signaling
Coalition)背后的主要推动力，这个联盟是互联网服务提供商(ISP)和运行Arbor设备来缓解DDoS威胁的企业的联盟。Arbor的内部部署设备允许企业客户在超出带宽限制时向云服务供应商(在这种情况下，主要是由ISP运行)寻求帮助。

“他们基本会说，‘我受到了攻击，请帮助我’，”Morales表示，“这使企业供应商非常紧密地结合在一起来对抗攻击，而这是只有少量开支的单个企业无法实现的。”

---