什么是DDoS攻擊？

　　分布式拒絕服務（DDoS）攻擊是指攻擊者利用合理服務請求占用過多的資源，致使目標系統無法提供正常服務。這可以通過阻止各類訪問請求來實現：服務器、設備、服務、網絡、應用程序，甚至程序內的特定事務等。DoS攻擊是一個系統發送惡意數據或請求，而DDoS攻擊可以來自多個系統。

　　通常，DDoS攻擊是通過請求數據來攻擊淹沒系統的。它可能是向Web服務器發送大量請求致使頁面崩潰，或者是一個包含大量查詢命令的數據庫。后果是可用的互聯網帶寬、CPU和RAM容量不堪重負，其影響范圍可能是應用程序和網站體驗服務的中斷，甚至導致整個業務宕機。

　　DDoS攻擊的癥狀

　　DDoS攻擊看起來和一些非惡意事件一樣，例如：服務器或系統崩潰、過多的合法請求、甚至電纜被切斷等等。通常需通過流量分析才能確定癥結所在。

　　DDoS攻擊的發展史

　　然而，DDoS攻擊的危害讓人們改變了對它的看法。在2000年年初，加拿大高中生邁Michael Calce通過一個分布式拒絕服務(DDoS)攻擊，設法關閉了當時全球最主要門戶網站之一雅虎(Yahoo)的服務。在接下來的一周中，Calce又成功地中斷了Amazon、CNN和eBay等其他網站。

　　當然這并不是DDoS攻擊的第一次實施，但是一連串高調且成功的攻擊使得DDoS從新奇、輕微的滋擾轉變成首席信息安全官和首席信息官維護業務安全運營的噩夢。

　　從那時起，DDoS攻擊已成為一種頻繁發生的威脅。通常用于目標明確的報復，進行敲詐勒索，甚至發動網絡戰。

　　經過多年的發展和演變，DDoS攻擊的功能和危害也變得越來越大。20世紀90年代中期的攻擊每秒可能只有150次請求，但這足以讓許多系統癱瘓。如今他們傳播的速度甚至超過1000Gbps。這在很大程度上是由現代僵尸網絡的龐大規模所推動的。

　　2016年10月，互聯網基礎架構服務提供商Dyn DNS（現在的Oracle DYN）遭到數以千萬計的IP地址的DNS查詢服務的襲擊。通過僵尸網絡病毒“Mirai”實施的這次攻擊據報道感染了超過十萬臺物聯網設備，包括IP攝像機和打印機。在其爆發的高峰期，“Mirai”僵尸網絡病毒感染了40萬臺以上的機器人。包括Amazon、Netflix、Reddit、Spotify、Tumblr和Twitter在內的服務都遭到攻擊。

　　在2018年初，一種新的DDoS技術開始出現。2月28日，GitHub遭遇了可能是迄今為止最大的DDoS攻擊，最高訪問量為1.35Tbps。盡管Github經歷了兩次間歇性不可訪問，但在20分鐘內擊退了攻擊。這次攻擊的規模令人擔憂，因為它超過了Dyn攻擊（1.2Tbps）。

　　對這次攻擊技術的分析顯示，它在某些方面比其他攻擊更簡單。雖然Dyn攻擊是Mirai僵尸網絡的產物，它需要惡意軟件來攻擊成千上萬的物聯網設備，但GitHub攻擊利用了運行Memcached內存緩存系統的服務器，該系統可以響應簡單的請求返回非常大的數據塊。

　　Memcached是一個高性能的分布式內存對象緩存系統，用于動態Web應用以減輕數據庫負載。

　　Memcached僅用于在內部網絡上運行的受保護服務器上，并且通常幾乎沒有安全性來防止惡意攻擊者欺騙IP地址和向毫無戒心的受害者發送大量數據。不幸的是，成千上萬的Memcached服務器正在開放的互聯網上，并且它們在DDoS攻擊中的使用率已大幅上升。不能說服務器被“劫持”，因為它們會在不提出數據請求的情況下興奮地發送數據包。

　　在GitHub攻擊發生幾天后，另一個基于Memecached的DDoS攻擊猛烈涌入美國服務提供商，每秒數據為1.7TB。

　　與大多數DDoS攻擊不同，“Mirai”僵尸網絡的特點在于主要攻擊安全防護比較脆弱的物聯網設備，而非電腦和服務器。據調研機構BI Intelligence的調查到2020年將有340億臺互聯網連接設備，而大多數(240億臺)將是物聯網設備。

　　不幸的是，“Mirai”不會是最后一個物聯網的僵尸網絡。Akamai、Cloudflare、Flashpoint、Google、RiskIQ和Team Cymru等安全團隊的調查發現了一個類似規模的僵尸網絡——WireX，由100個國家內10萬臺安全設備組成的僵尸網絡。而這次調查是針對內容提供商和內容傳送網絡的一系列大型DDoS攻擊所促成的。

　　當今的DDoS攻擊

　　雖然DDoS攻擊量一直在下降，但它們仍然是一個重大威脅?？ò退够鶎嶒炇覉蟾嬲f：“九月攻擊異?；钴S”，即除了第三季度之外，DDoS攻擊的數量呈現下降態勢?？傮w而言，DDoS活動在2018年下降了13％。

　　據卡巴斯基稱，最近發現的像Torii和DemonBot這樣能夠發動DDoS攻擊的僵尸網絡是一個值得關注的問題。Torii能夠接管一系列物聯網設備，被認為比Mirai更具持久性和危險性。DemonBot劫持了Hadoop集群，使其能夠獲得更多的計算能力。

　　另一個驚人的趨勢是新的DDoS攻擊平臺如0x-booter的可用性。這種DDoS攻擊利用了大約1.6萬個感染了惡意軟件的物聯網設備，這是一種Mirai變體。

　　卡巴斯基報告確實找到了減少DDoS攻擊量及其造成損害的因素。它引用了全球法律執行機構在關閉DDoS運營商方面的有效性，這可能是攻擊減少的原因。

　　常見的三種DDoS攻擊

　　DDoS攻擊有三個主要類別：

　　第一類是使用大量虛假流量來降低資源(如網站或服務器)，包括ICMP、UDP和欺騙數據包泛洪攻擊；

　　第二類是DDoS攻擊使用數據包來定位網絡基礎架構和基礎架構管理工具。這些協議攻擊包括SYN Floods和Smurf DDoS等；

　　第三類是一些DDoS攻擊針對組織的應用層，并通過惡意請求來淹沒應用程序。

　　這三個類別的DDoS攻擊目標是一致的：使網絡資源反應遲鈍或完全無反應。

　　DDoS攻擊如何演變

　　綜上所述，這些攻擊通過租用的僵尸網絡來實現變得越來越普遍。而這一趨勢將會持續下去。

　　另一個趨勢是在攻擊中使用多個攻擊向量，也稱為高級持久拒絕服務(APDoS)。例如，APDoS攻擊可能涉及應用層，例如對數據庫和應用程序的攻擊以及直接在服務器上的攻擊。

　　Binary Defense公司合伙人兼執行總監Chuck Mackey表示：

　　這超越了單純的洪水攻擊。

　　此外，Mackey解釋說，攻擊者通常不僅直接針對受害者，還直接攻擊受害者所依賴的組織，如互聯網服務提供商和云計算提供商。他表示：這些是具有高影響力的廣泛攻擊，并且協調一致。

　　這也正在改變DDoS攻擊對組織的影響，并擴大了他們的風險。美國富理達律師事務所(Foley & Lardner LLP)的網絡安全律師Mike Overly說：

　　企業不僅要關心自己免受DDoS攻擊，還要關注其所依賴的廣泛的業務合作伙伴，供應商和服務商是否會遭遇攻擊。安全最古老的諺語之一就是：業務的安全取決于最薄弱環節。在當今的環境(最近的違規行為證明)中，最弱的環節可以就是第三方。

　　當然，隨著犯罪分子完善他們的DDoS攻擊，技術和戰術將不會停滯不前。正如JASK安全研究主管Rod Soto提到的那樣，新的物聯網設備的增加、機器學習和人工智能的興起，都將在改變這些攻擊中發揮作用。

　　攻擊者最終將這些技術整合到DDoS攻擊中，使安全人員難以應對，特別是那些無法通過簡單的訪問控制列表（ACL）或簽名來阻止的攻擊。因此，DDoS攻擊的安全防御技術也必須向這個方向發展。

責任編輯：韓希宇