【51CTO.com獨(dú)家翻譯】由于僵尸網(wǎng)絡(luò)的增殖而使攻擊者的能力變得更加強(qiáng)大，這個(gè)我們已經(jīng)在本系列的第一篇文章（《僵尸兇狠！DDoS攻擊強(qiáng)勢歸來》）中提到過了，這種趨勢也正在僵尸網(wǎng)絡(luò)構(gòu)建者中擴(kuò)大。

在本文中，兩名IT安全從業(yè)人員——一位有處理DDoS對政府系統(tǒng)攻擊經(jīng)驗(yàn)，另一位則是來自企業(yè)的專家——分享他們所知的關(guān)于DDoS如何確定攻擊目標(biāo)以及應(yīng)如何采取安全應(yīng)對策略的經(jīng)驗(yàn)。

CSO在線問答， 參與者 ：Jerry Mangiarelli(加拿大TD銀行安全專家)，以及來自以色列的研究人員 Gadi Evron.

對攻擊者動機(jī)和策略深有研究的社區(qū)安全專家Jerry Mangiarelli通過自己多年來對僵尸網(wǎng)絡(luò)的獨(dú)立研究，而形成了自己對DDoS威脅的一套獨(dú)立看法。在類似的安全討論中，他經(jīng)常在這一話題（攻擊者的動機(jī)和策略）上以EC-Council、SecTor 以及 FSP的身份回答各種問題。這里，他舉了研究中的例子，來闡述黑客攻擊的手段和動機(jī)。

CSO: 是什么讓你的研究重點(diǎn)發(fā)生了巨大轉(zhuǎn)變，從而進(jìn)入與僵尸網(wǎng)絡(luò)相關(guān)的DDoS攻擊領(lǐng)域呢？

Mangiarelli:這次轉(zhuǎn)變主要是由于我在惡意軟件和應(yīng)用程序方面繼續(xù)研究（以及個(gè)人興趣）的結(jié)果。多年來我們一直關(guān)注著對手們的動機(jī)，動機(jī)主要是因?yàn)閼?yīng)用層上的僵尸網(wǎng)絡(luò)能夠給他們帶來巨大回報(bào)（ROI）。

問:根據(jù)花費(fèi)的時(shí)間和使用的工具來講， 你在研究中做了哪些工作。

Mangiarelli:我花費(fèi)了很長的時(shí)間來進(jìn)行研究。我喜歡將孩子睡覺后我仍在工作的時(shí)間為夜班。我花費(fèi)了很多時(shí)間來評估（基于WEB的DDoS工具箱開發(fā)領(lǐng)域的）對手們使用的工具。

到目前為止基于你的研究成果，DDoS攻擊的火力在哪方面最令你震驚？

Mangiarelli:最令我震驚的是，太多的用戶對他們使用WEB服務(wù)器的權(quán)限漠不關(guān)心。發(fā)生在2009年初的FTP攻擊以及（從2008年開始一直持續(xù)到2009年的）海量SQL注入攻擊顯示了DDoS攻擊隊(duì)伍的擴(kuò)大。

問：你認(rèn)為這些攻擊主要是針對企業(yè)呢還是出于政治目的？

Mangiarelli: 我早先已經(jīng)提到過，對手們的動機(jī)已經(jīng)發(fā)生了變化。每一臺僵尸機(jī)器會根據(jù)僵尸網(wǎng)絡(luò)管理者以及他們顧客的需求添加到不同的模塊中。我們將在這兩個(gè)領(lǐng)域（企業(yè)和政府）關(guān)于進(jìn)行更加深入、長期的研究。這項(xiàng)工作會一直持續(xù)下去。

為了對黑客的政治性攻擊行為進(jìn)行深入研究，以色列安全研究人員Gadi Evron 在檢測針對政府網(wǎng)絡(luò)的DDoS攻擊上花費(fèi)了大量的時(shí)間。他的研究案例包括前幾年針對愛沙尼亞共和國的海量攻擊。當(dāng)時(shí)，Gadi Evron認(rèn)為此次攻擊的幕后黑手應(yīng)該是一群所謂的黑客分子，而非哪些工作在敵對政府（比如說，俄羅斯）的工作人員。在這里，他將解釋一下企業(yè)級的安全專家可以從針對公共部門的攻擊中學(xué)到些什么?！?1CTO王文文：2009年4月，愛沙尼亞不理會俄羅斯抗議強(qiáng)行拆除蘇軍紀(jì)念碑，隨后疑似來自俄羅斯的數(shù)波攻擊很快就癱瘓了該國各類政府站點(diǎn)，繼而又將攻擊擴(kuò)大到該國報(bào)紙、電視臺、學(xué)校，銀行等站點(diǎn)。一度造成恐慌。其中所用最多的攻擊手段即是DDoS。

CSO:除了你從愛沙尼亞事件（或與此類似的其他事件）中學(xué)到的一些東西之外，IT安全從業(yè)人員們還有其他更好的方法來了解攻擊者的攻擊手段么？

Gadi Evron:DDoS攻擊并不是最好的攻擊方式。它們（DDoS攻擊）要么是有預(yù)謀（對基礎(chǔ)設(shè)施和聯(lián)絡(luò)點(diǎn)）的，要么是有意轉(zhuǎn)移人們視線的攻擊。

問：請講一下企業(yè)該如何做？

Evron:企業(yè)最應(yīng)該做的便是了解他們的流量負(fù)載，并確保他們可以承擔(dān)一個(gè)（比原有負(fù)載）更加夸張的負(fù)載。沒有人可以承受高于他們正常流量1000倍的負(fù)載，但至少他們應(yīng)該建立一個(gè)他們可以承受的波動區(qū)間。建立一些可以承受洪水攻擊的網(wǎng)絡(luò)以及與此相關(guān)的網(wǎng)絡(luò)應(yīng)用程序，至少不要在這上面發(fā)生問題，是至關(guān)重要的?；诖它c(diǎn)，最好的做法應(yīng)該是有超過一個(gè)的上限連接值，并且（為了緩解洪水攻擊的壓力）和ISP供應(yīng)商們保持良好關(guān)系。

問：以你的經(jīng)驗(yàn)來看，目前最常使用的DDoS攻擊技術(shù)是什么？我們曾經(jīng)和有些人談?wù)?，他們遇到過更加強(qiáng)大、攻擊范圍更過的僵尸網(wǎng)絡(luò)，比如說。

Evron:我不能談?wù)撎嘤嘘P(guān)攻擊者們使用的特殊攻擊手段，我覺得他們的攻擊手段呈現(xiàn)了多樣發(fā)展的趨勢。他們的攻擊底線：他們可以使用任何手段，基于此，他們要么使CPU、內(nèi)存過載，或是使負(fù)載檢測應(yīng)用程序過載，或是使網(wǎng)絡(luò)流量過載。

問：愛沙尼亞對發(fā)生在他們身上的攻擊事件的反應(yīng)相當(dāng)強(qiáng)烈。你能講述一下國家對于他們受到的攻擊所采取的一些回應(yīng)措施嗎？

Evron:對事故的反應(yīng)和國際影響，這兩者是完全不同的。就事件反應(yīng)來說，合作或是協(xié)調(diào)才是解決之道；就國際影響來說，沒有其他國家的幫助的話，該事件能夠引起較好的反應(yīng)是不可能的，即使該事故很明顯。

本文是DDoS攻擊回歸系列報(bào)道的第二篇文章。第一篇文章為《僵尸兇狠！DDoS攻擊強(qiáng)勢歸來》。51CTO網(wǎng)站已經(jīng)發(fā)布，需要的朋友可以自檢索。

【51CTO.com獨(dú)家翻譯。合作站點(diǎn)轉(zhuǎn)載請注明原文作者和出處】