DDoS攻击愈加强烈 成本低、手段多、回报高

勒索软件占据网络犯罪生态中心舞台位置,仅去年就造成10亿+美元的全球损失,为网络罪犯赚取几亿美元的利润。同时,传统上被用来勒索企业的分布式拒绝服务(DDoS)攻击亦卷土重来。勒索软件组织甚至使用DDoS攻击增加受害者支付赎金的压力。

[[401173]]

根据近期多家内容分发网络和DDoS缓解提供商的年度报告,2020年是DDoS攻击破纪录的一年,攻击数量、攻击规模和所用攻击方法数量均突破历史记录。DDoS勒索的死灰复燃可能是受新冠肺炎疫情的驱动:疫情迫使公司为其大多数员工启用远程办公功能,导致公司更易遭受业务运营中断威胁,在攻击者眼中也就成了更愿意支付勒索费的目标。

2021年延续了这一趋势。今年2月,阿卡迈录得六起史上最大规模DDoS攻击中的三起,2021年头三个月里超过50Gbps的DDoS攻击数量就已经比2019年全年还多了。阿卡迈估测,没有设置DDoS缓解措施的绝大多数在线服务,遭遇50Gbps以上的攻击时,会因带宽饱和而掉线。

▶ DDoS勒索回归

DDoS攻击背后的动机各种各样:从无良企业主想要中断竞争对手的服务,到激进黑客想要向自己反对的组织表明主张,再到不同团体之间的竞争而造成的单纯破坏行为。然而,勒索一直是推动此类非法活动的最大因素,而且可以说是最赚钱的一个因素,因为发起DDoS攻击实在要不了多少投资。DDoS租赁服务的费用甚至低到每次攻击仅7美元,几乎任何人都负担得起。

事实上,应用和网络性能监测公司Netscout Systems的数据表明,网络罪犯向潜在客户展示其DDoS能力才是此类攻击的头号动机,其次是与在线游戏相关的动机(疫情期间很多人都靠这个打发时间),然后才是勒索。攻击者也常常用DDoS攻击作为伪装,让公司IT和安全团队无暇顾及检测其网络上的其他恶意活动,比如基础设施入侵和数据渗漏。

2020年8月开始,勒索DDoS(RDDoS)事件案例激增,原因是多个勒索软件团伙将DDoS用作额外的勒索技术,但也有部分原因在于某个网络犯罪团伙在伪装俄罗斯奇幻熊(Fancy Bear)或朝鲜Lazarus Group等黑客国家队发起攻击。这个名为Lazarus Bear Armada (LBA)的网络犯罪团伙首先针对选定目标发起一波范围在50Gbps到300Gbps之间的演示性DDoS攻击。然后,该团伙发出勒索电子邮件,宣称拥有2Tbps规模DDoS攻击的能力,以此勒索目标公司支付比特币。在这些电子邮件中,攻击者宣称自己隶属常见诸于新闻报道的几个著名网络犯罪组织,借此提高自身可信度。很多案例中,即使目标公司未支付赎金,该团伙也没有继续发起更多攻击,但有时候确实会再次攻击。而且,一段时间后,他们还会回过头来再咬一口之前的受害者。

该团伙主要针对世界范围内金融、零售、旅游和电子商务行业的企业,似乎还会做侦察和规划。他们会识别受害公司可能监测的非通用电子邮件地址,并以关键但不明显的应用、服务和虚拟用网集线器为目标,表明其规划水平比较高级。多家安全供应商和美国联邦调查局(FBI)已经就该团伙的活动发布过警示。

不同于仅依赖RDDoS从企业勒索金钱的LBA等团伙,勒索软件犯罪组织将DDoS作为说服受害者支付原始赎金的额外砝码,与使用数据泄露作为威胁的方式异曲同工。换句话说,一些勒索软件攻击目前已经演变为综合了加密、数据盗窃和DDoS攻击的三重威胁。以这种方式使用或声称要使用DDoS攻击的一些勒索软件团伙包括Avaddon、SunCrypt、Ragnar Locker和REvil。

与勒索软件攻击的情况类似,我们很难说清楚到底有多少RDDoS受害者支付了赎金,但此类攻击的数量、规模和频率一直在上升的事实,充分说明了这一活动足够有利可图。这或许是因为DDoS租赁服务遍地开花且不需要很多技术知识,导致其准入门槛比勒索软件本身要低得多。Cloudflare在最近的报告中写道:“2021年第一季度,遭遇DDoS攻击的受访Cloudflare客户中,有13%表示遭到RDDoS攻击勒索,或提前收到了威胁。”

阿卡迈观测到,遭攻击公司的数量比去年同期增加了57%;Netscout则报告称,年度DDoS攻击数量首次超过了1000万的阈值。

上月,阿卡迈研究人员在报告中称:“坚守可获得巨额比特币支付的希望,网络罪犯已经开始加大努力和扩展攻击带宽,使得DDoS勒索已成旧闻的说法通通烟消云散。”最近一次勒索攻击的峰值超过800Gbps,目标是一家欧洲赌博公司,这是自2020年8月中旬勒索攻击普遍回归以来,我们见过的规模最大、最复杂的一次。自那次攻击开始,武力展示型攻击已从8月的200+Gbps增长到9月中旬的500+Gbps,然后在2021年2月膨胀到800+Gbps。”

▶ 新攻击方法加入导致攻击复杂度上升

阿卡迈透露,去年观测到的DDoS攻击中近三分之二包含多种攻击方法,有些甚至含有14种之多。Netscout也报告称多方法攻击显著上升,尤其是2020年末,以及超过15种不同方法的攻击。该公司观测到的攻击中还有综合使用了25种不同方法的。

滥用多个UDP类协议的DDoS反射和放大攻击依然非常流行。这种攻击技术中,攻击者以伪造的源IP地址向互联网上防护不周的服务器发送数据包,迫使这些服务器将回复发送给既定受害者而不是攻击者本人。这能达成两个目的:

  • 一是反射,因为受害者看到的是来自合法服务器的流量,而不是来自攻击者僵尸主机的流量;
  • 二是放大,因为攻击者可以滥用某些协议为短查询产生更大的回复包,放大攻击者可以触发的数据包的规模或频率。

DDoS攻击的规模有两种计算方式:按能够饱和带宽的每秒流量大小计算,或者用能够饱和服务器处理能力的每秒数据包数量表示。

2020年最常见的DDoS攻击方法与过去几年保持一致,都是DNS放大攻击。常用于放大攻击的其他协议包括网络时间协议(NTP)、无连接轻型目录访问协议(CLDAP)、简单服务发现协议(SSDP)和Web服务发现(WDS或WS-DD)、基于UDP的远程桌面协议(RDP)和数据报传输层安全(DTLS)。

攻击者经常寻找可以绕过现有防御措施和缓解策略的新攻击方法和协议。今年3月,阿卡迈首次观测到依赖数据报拥塞控制协议(DCCP)的新型攻击方法。数据报拥塞控制协议是类似于UDP的网络数据传输协议,但具备UDP所欠缺的拥塞和流量控制功能。目前为止,阿卡迈观测到的此类攻击是典型的流量洪水,旨在绕过基于UDP和TCP的缓解措施。该协议在技术上也可以用于反射和放大攻击场景,但互联网上使用该协议的服务器不多,不足以滥用来反射流量。

Netscout的研究人员总结道:“可以滥用的UDP开源和商业应用与服务对攻击者来说是宝贵的资产,他们挖掘此类资产以发现新的反射/放大DDoS攻击方法,从而推动新一波攻击。”此类案例包括Plex Media Server的SSDP实现,以及Jenkins软件开发自动化服务器所用的UDP网络发现协议。

在Netscout看来,去年常见的其他DDoS攻击方法包括TCP ACK、TCP SYN、TCP reset、TCP ACK/SYN放大和DNS洪水。

▶ DDoS僵尸网络诱捕物联网和移动设备

由被黑设备和服务器组成的僵尸网络是DDoS攻击背后的驱动力。感染网络设备的Mirai恶意软件变种仍在2020年主流DDoS僵尸网络中占据显著位置。这些设备常被攻击者通过弱凭证或默认凭证入侵,Netscout的观测结果表明,相比2019年,Telnet和Secure Shell(SSH)暴力破解攻击增加了42%。

此外,被黑Android移动设备也被用于发起DDoS攻击。2月,中国安全公司奇虎360网络安全部门Netlab的研究人员报告了名为Matryosh的新僵尸网络,该僵尸网络通过Android设备暴露在互联网上的ADB(Android调试桥)接口入侵设备。在Netscout的年度云与互联网服务提供商调查报告中,近四分之一的受访者表示看到移动设备被用于发起DDoS设备。

 

 

 

文章来源网络,作者:管理,如若转载,请注明出处:https://shuyeidc.com/wp/128638.html<

(0)
管理的头像管理
上一篇2025-02-25 05:59
下一篇 2025-02-25 06:01

相关推荐

  • 云服务器和云虚拟主机怎么选?云服务器和虚拟主机区别

    云服务器适合业务增长快、需弹性扩展的场景,而云虚拟主机适合预算有限、技术门槛低的小型静态网站或测试环境,二者核心区别在于资源独享性与运维复杂度,核心差异解析:从底层架构到使用体验很多人容易混淆这两者,觉得它们都是“买空间建站”,它们的底层逻辑完全不同,云服务器(ECS)就像是你租了一整栋别墅,水电网络独立,你想……

    2026-06-29
    0
  • 赣州智慧旅游招聘是真的吗?赣州旅游人才招聘信息

    中级岗位(3-5年经验)月薪范围通常在6000-10000元,这类岗位需要独立负责项目模块,如独立运营一个抖音账号,或维护一个景区小程序的功能迭代,具备成功案例的候选人议价能力较强,高级岗位(5年以上经验)月薪范围通常在10000-20000元,部分核心管理岗可达更高,这类人才需要具备战略规划能力,如制定整个景……

    2026-06-29
    0
  • 赣州智能物联网车位锁如何管理?智能车位锁管理系统多少钱

    赣州智能物联网车位锁管理的核心在于通过云端平台实现远程控锁、状态实时监控及自动计费,彻底解决传统车位“被占难管”与“找位难”的痛点,在赣州这样的城市,随着机动车保有量的持续增长,老旧小区、商业综合体以及私人固定车位的资源矛盾日益凸显,传统的机械地锁或简易遥控锁,不仅操作繁琐,更无法实现数据化管理,引入智能物联网……

    2026-06-29
    0
  • 赣州智能消防栓好用吗,智能消防栓多少钱一个

    赣州智能消防栓通过物联网技术实现实时监测与远程报警,能显著降低火灾响应时间并提升城市消防安全管理水平,是目前智慧城市建设中不可或缺的基础设施,赣州智能消防栓的核心价值与应用场景传统消防栓往往存在“看不见、摸不着、用不了”的痛点,在赣州这样地形复杂、老城区与新城区并存的区域,传统设施的管理难度极大,智能消防栓的出……

    2026-06-29
    0
  • 云服务器和物理机到底有啥区别?

    云服务器本质上是虚拟化资源池中的弹性实例,而传统物理服务器是独占的硬件实体,前者胜在弹性与运维便捷,后者强在物理隔离与性能稳定,具体选择取决于业务对成本、扩展性及安全合规的权衡,很多人初次接触服务器时,容易把“云服务器”和“传统物理服务器”混为一谈,觉得它们都是用来跑网站或存数据的盒子,这两者的底层逻辑完全不同……

    2026-06-29
    0

发表回复

您的邮箱地址不会被公开。必填项已用 * 标注