安全动态深解析：DDoS攻击的发展与演变

二十年来，分布式拒绝服务攻击(DDoS)一直是网络犯罪分子进行攻击的一个重要的工具，如今其感染蔓延得越来越广泛，功能也越来越强大。

什么是DDoS攻击?

分布式拒绝服务(DDoS)攻击是指攻击者或攻击者们试图使服务无法交付。这可以通过阻止任何访问的事物来实现：服务器，设备，服务，网络，应用程序，甚至应用程序内的特定事务。在DoS攻击中，它向系统发送恶意数据或请求，而DDoS攻击可以来自多个系统。

通常，这些攻击是通过请求数据来攻击淹没系统的。这可能是向Web服务器发送大量的请求来访问一个页面，而这个页面不能响应用这些需求而崩溃;或者可能是数据库遭遇大量查询，其结果是使可用的互联网带宽，CPU和内存容量变得不堪重负。

其影响范围可能是应用程序和网站体验服务的中断，甚至导致整个业务宕机。

DDoS攻击的症状

DDoS攻击看起来像许多可能产生可用性问题的非恶意事件，例如服务器或系统被破坏，合法用户的合法请求太多，甚至导致数据传输中断。它通常需要流量分析来确定正在发生的情况。

当今的DDoS攻击

然而，分布式拒绝服务攻击的危害让人们改变了对它的看法。2000年年初，加拿大高中生Michael Calce，网名为“黑手党男孩”，通过一个分布式拒绝服务(DDoS)攻击，设法关闭了当时全球最主要门户网站之一雅虎(Yahoo)网站的服务。在接下来的一周中，Calce又成功地中断了亚马逊，CNN和eBay等其他网站的服务。

当然不是这并不是DDoS攻击的第一次实施，但是这种高度公开和一系列成功的攻击将拒绝服务攻击从新奇和微小的骚扰转变成了首度信息安全官和首席信息官维护业务安全运营的噩梦。

从那时起，DDoS攻击已经成为一种频繁发生的威胁，因为它们作为网络活动的一种手段，通常用于目标明确的报复，进行敲诈勒索，甚至发动网络战。

经过多年的发展和演变，DDoS攻击的功能和危害也变得越来越大。20世纪90年代中期，每秒可能只有150次请求攻击，但这足以让许多系统瘫痪。如今他们传播的速度甚至超过1000Gbps。这在很大程度上是由现代僵尸网络的庞大规模所推动的。

去年秋天，互联网基础架构服务提供商Dyn DNS(如今的Oracle DYN)遭到数以千万计的IP地址的DNS查询服务的袭击，这是去年所发生的最新和最强大的DDoS攻击之一。据报道，通过物联网僵尸网络病毒“Mirai”实施的这起袭击事件感染了超过100,000个物联网设备，其中包括IP摄像机和打印机。在其爆发的高峰期，“Mirai”僵尸网络病毒感染了40万台以上的机器人。亚马逊，Netflix，Reddit，Spotify，Tumblr和Twitter等服务都遭到攻击。

“Mirai”僵尸网络的特点在于，与大多数DDoS攻击不同，它主要攻击安全防护比较脆弱的物联网设备，而不是电脑和服务器。根据调研机构BI Intelligence的调查，到2020年，将有340亿台互联网连接设备，而大多数(240亿台)将是物联网设备。

不幸的是，“Mirai”不会是最后一个物联网的僵尸网络。在Akamai，Cloudflare，Flashpoint，Google，RiskIQ和Cymru团队的安全团队进行的调查中，发现了一个同样规模大小的僵尸网络，被称之为WireX，这由100多个国家的10万个安全设备组成的僵尸网络。而这次调查是针对内容提供商和内容传送网络的一系列大型DDoS攻击所促成的。

DDoS攻击工具

通常，DDoS攻击者依赖于僵尸网络，这是集中控制的受到恶意软件感染的系统网络的集合。这些受感染的端点通常是计算机和服务器，但更多的是物联网设备和移动设备。攻击者通过网络钓鱼攻击，恶意攻击和其他大规模感染技术等手段识别和攻击脆弱的系统。攻击者通过各种方法越来越多地从构建者那里租用这些僵尸网络。

DDoS攻击的类型

DDoS攻击有三个主要类别：第一类是使用大量虚假流量来降低资源(如网站或服务器)，包括ICMP，UDP和欺骗数据包泛洪攻击。第二类是DDoS攻击使用数据包来定位网络基础架构和基础架构管理工具。这些协议攻击包括SYN Floods和Smurf DDoS等。第三类是一些DDoS攻击针对组织的应用层，并通过恶意编写的请求来淹没应用程序。这三个类别的DDoS攻击目标是一致的：使网络资源反应迟钝或完全无反应。

DDoS攻击如何演变

如上所述，这些攻击通过租用的僵尸网络来实现变得越来越普遍。而这一趋势将会持续下去。

另一个趋势是在攻击中使用多个攻击向量，也称为高级持久拒绝服务(APDoS)。例如，APDoS攻击可能涉及应用层，例如对数据库和应用程序的攻击以及直接在服务器上的攻击。 “这超越了单纯的洪水攻击。”Binary Defense公司合伙人兼执行总监Chuck Mackey说。

另外，Mackey解释说，攻击者通常不仅直接针对受害者，还直接攻击受害者所依赖的组织，如互联网服务提供商和云计算提供商。他说：“这些是具有高影响力的广泛攻击，并且协调一致。”

这也正在改变DDoS攻击对组织的影响，并扩大了他们的风险。美国富理达律师事务所(Foley & Lardner LLP)的网络安全律师Mike Overly说：“企业不仅要关心自己免受DDoS攻击，还要关注其所依赖的广泛的业务合作伙伴，供应商和服务商是否会遭遇攻击。安全最古老的格言之一就是业务的安全与否取决于最薄弱环节。在当今的环境(最近的违规行为证明)中，最弱的环节可以就是第三方。”

当然，网络犯罪分子还在不断改进和完善DDoS攻击，其技术和策略也不会停滞不前。正如JASK公司安全研究总监Rod Soto所说，新增的物联网设备，机器学习和人工智能的兴起都将在这些攻击中发挥重要的作用。

“攻击者最终将这些技术整合到DDoS攻击中，使安全人员难以应对，特别是那些无法通过简单的ACL或签名来阻止的攻击。因此，DDoS攻击的安全防御技术也必须向这个方向发展。”Soto说。