【51CTO.com獨(dú)家翻譯】大家可能對分布式拒絕服務(wù)攻擊（DDoS）非常熟悉吧。自從數(shù)字時(shí)代開始的那天，各大企業(yè)就開始忍受這種問題。但在過去六個月中，DDoS似乎發(fā)現(xiàn)了新的攻擊方式，使其再次成為關(guān)注的焦點(diǎn)，專家認(rèn)為這可能是由于一些高危目標(biāo)的存在及這種攻擊在特性上的兩種重要改變而引起的。

攻擊目標(biāo)仍和過去一樣——私有企業(yè)和政府部門的web站點(diǎn)。攻擊動機(jī)也無非是敲詐、使競爭對手企業(yè)的操作混亂、對不受歡迎的政府進(jìn)行報(bào)復(fù)等等。但攻擊的劇烈程度及持續(xù)時(shí)間如同滾雪球般增長，引起該問題的主要原因是因?yàn)榻┦W(wǎng)絡(luò)的巨大擴(kuò)張，以及攻擊方式已由過去的“對目標(biāo)端進(jìn)行ISP連接”轉(zhuǎn)變?yōu)椤皩ふ夷繕?biāo)服務(wù)器上的合理請求進(jìn)而發(fā)起攻擊”。

事實(shí)上，正如位于馬薩諸塞州Cambridge的Akamai Technologies公司CSO Andy Ellis所說，引起當(dāng)前DDoS攻擊的僵尸網(wǎng)絡(luò)非常巨大，很可能連控制僵尸網(wǎng)絡(luò)的攻擊者也失去了對很久以前所捕獲的肉雞的控制。（在《DDoS攻擊的漫長奇異進(jìn)化史》中可以了解到對Ellis的全部采訪）

Ellis已經(jīng)發(fā)現(xiàn)了一個非常有利的發(fā)展趨勢。很多人在無意識狀態(tài)下使用了Akamai服務(wù)。該公司所運(yùn)行的由上千服務(wù)器組成的平臺，可以滿足客戶們進(jìn)行在線商務(wù)活動的需求。

在該公司平臺上進(jìn)行Web交互的企業(yè)（如Audi、NBC、Fujitsu、及像美國國防部及NASDAQ之類的機(jī)構(gòu)）資金有幾百億元之巨，而這些Akamai的客戶幾乎都在DDoS攻擊的槍口之下。

根據(jù)對過去蠕蟲攻擊史（如Blaster、Mydoom以及Code Red）的調(diào)查，Ellis說道，“我們發(fā)現(xiàn)能夠使感染機(jī)器陷入癱瘓的惡意軟件攻擊正在減少。現(xiàn)在這些惡意軟件用于將被挾持的機(jī)器加入到僵尸網(wǎng)絡(luò)中去，并被當(dāng)做僵尸網(wǎng)絡(luò)武器來使用?！?/P>

在過去的一年中，Akamai遇到了自創(chuàng)建起最大的幾起DDoS攻擊，這些攻擊被Ellis描述為“每秒超過120Gb流量的巨大DDoS攻擊。如果你在接收端遇到如此海量的攻擊的話，這不是一個希望看見的情況?！?/P>

發(fā)生在7月4號的海量攻擊就是一個很好的例子。在此次攻擊中，控制著180000臺機(jī)器的僵尸網(wǎng)絡(luò)對美國政府的Web網(wǎng)站發(fā)起了攻擊，這對美國和南韓之間的貿(mào)易產(chǎn)生了影響。這次攻擊開始于周六，癱瘓了美國聯(lián)邦委員會（FTC）和美國交通部(DOT)的Web網(wǎng)站。美國第六大商業(yè)銀行US Bancorp也成為了攻擊對象（其他的攻擊對象還包括谷歌、雅虎、亞馬遜等）。對谷歌的攻擊持續(xù)時(shí)間并不長，但如果考慮到谷歌所遇到的攻擊數(shù)量大約占整個網(wǎng)絡(luò)攻擊的5%的話，那么對一些知名網(wǎng)絡(luò)企業(yè)的持久性攻擊可能是真實(shí)存在的。Prolexic研究所的CTO Paul Sop見證了來自他們企業(yè)內(nèi)部因感染僵尸網(wǎng)絡(luò)而引起的DDoS攻擊。大約有30個工程師花費(fèi)了他們?nèi)康墓ぷ鲿r(shí)間來解決此次危機(jī)。他說，“我們通過建立一個IP白名單數(shù)據(jù)庫的方法來尋找那些攻擊我們客戶的IP地址，到目前為止我們已經(jīng)找出了四百萬臺被感染的機(jī)器，我們對僵尸網(wǎng)絡(luò)的規(guī)模及擴(kuò)張能力感到震驚?！?/P>

另外，他說到，他們的企業(yè)正面臨對其HTTP、HTTPS、以及DNS服務(wù)的七層攻擊。這些攻擊的主要目的并不是掐斷用戶的ISP鏈接。恰恰相反，他們的主要攻擊目標(biāo)是服務(wù)器，這就使網(wǎng)絡(luò)攻擊變得更易隱藏和持久，因?yàn)閷τ趩蝹€僵尸節(jié)點(diǎn)來說，他們的行為并沒有太強(qiáng)的侵略性并且他們的行為看上去更像是一次合理的網(wǎng)絡(luò)事故。

根據(jù)他們團(tuán)隊(duì)的分析，絕大多攻擊是因?yàn)槭袌鲋懈偁帉κ值男钜馄茐囊鸬??！霸诤芏喔呋貓?bào)領(lǐng)域（例如在線賭博，此類公司在亞洲非常流行），存在著激烈競爭以及強(qiáng)烈的DDoS攻擊，”他說，“出于政治目的的網(wǎng)絡(luò)攻擊變得更加普遍，這就需要我們對各種新聞及視頻消息加以保護(hù)。通常這些攻擊是由國外某個黑客單獨(dú)發(fā)起的，但有時(shí)某些攻擊（例如針對緬甸民主之聲的攻擊）更可能受到了某些組織的利用和贊助?！?1CTO王文文：大家是不是想起了最近活躍的伊朗網(wǎng)軍？

僅僅在已經(jīng)對外公布的因僵尸網(wǎng)絡(luò)引起的DDoS攻擊中，Prolexic發(fā)現(xiàn)攻擊者們可以迅速集結(jié)他們的僵尸網(wǎng)絡(luò)，并造成攻擊對象的網(wǎng)絡(luò)癱瘓，并使這些癱瘓看上去更像是合法的網(wǎng)絡(luò)故障。

該報(bào)告說，“在過去，網(wǎng)絡(luò)流量突然爆增一般是攻擊開始的標(biāo)志。而現(xiàn)在，當(dāng)服務(wù)器受到攻擊時(shí)，網(wǎng)絡(luò)流量只會慢慢的擴(kuò)大，這可能是因?yàn)榫W(wǎng)絡(luò)僵尸節(jié)點(diǎn)是在隨機(jī)時(shí)間點(diǎn)、以多種方式向目標(biāo)進(jìn)行攻擊的緣故。這就使得我們很難將真正的客戶與僵尸節(jié)點(diǎn)區(qū)分開來。”

【51CTO.COM 獨(dú)家翻譯，轉(zhuǎn)載請注明出處及作者！】