近日發(fā)布的《全球基礎(chǔ)設(shè)施安全報(bào)告》顯示，一個(gè)令人非常擔(dān)憂的統(tǒng)計(jì)數(shù)據(jù)在受訪者中呈增長(zhǎng)趨勢(shì)，就是多矢量DDoS攻擊。這類攻擊集合了大流量、狀態(tài)耗盡和應(yīng)用層攻擊等多種手段。46%的受訪者都遭受過(guò)這些攻擊，比去年增長(zhǎng)了19個(gè)百分點(diǎn)。這些攻擊很難預(yù)防，通常需要通過(guò)數(shù)據(jù)中心和云管理分層解決。

在2012年第四季度期間，我們見(jiàn)證了一個(gè)有針對(duì)性的、復(fù)雜的DDoS攻擊美國(guó)金融機(jī)構(gòu)的實(shí)例。這些攻擊是非常有預(yù)謀和有重點(diǎn)的，它們以有條理和有組織的方式執(zhí)行攻擊。

多矢量攻擊過(guò)程

2012年第四季度，在針對(duì)美國(guó)金融機(jī)構(gòu)的DDoS攻擊活動(dòng)中，許多PHP網(wǎng)絡(luò)應(yīng)用程序受到連累，它們成了攻擊中的機(jī)器人。此外，許多經(jīng)常使用過(guò)時(shí)的TimThumb插件的WordPress網(wǎng)站大約在同一時(shí)間作出妥協(xié)。Joomla和其它基于PHP應(yīng)用程序的網(wǎng)站也受到了影響。無(wú)人維護(hù)的、使用過(guò)時(shí)的擴(kuò)展軟件的網(wǎng)站也是易受攻擊的對(duì)象，攻擊者充分利用此漏洞上傳各種PHP網(wǎng)頁(yè)木馬，然后用這些PHP網(wǎng)頁(yè)木馬進(jìn)一步部署攻擊工具。攻擊者用這些工具直接連接到易受感染的網(wǎng)站服務(wù)器或通過(guò)中間服務(wù)器/代理服務(wù)器/腳本發(fā)起攻擊命令。這些攻擊使用了幾種以PHP為基礎(chǔ)的工具。最突出的是“Brobot”。還有兩個(gè)工具KamiKaze和AMOS被經(jīng)常使用。Brobot也被稱為“itsoknoproblembro。”

我們觀察到的攻擊戰(zhàn)術(shù)是一個(gè)HTTP、HTTPS和DNS上帶有體積攻擊流量的應(yīng)用層和各種TCP、UDP、ICMP以及其它IP協(xié)議的組合。另一個(gè)明顯的、不常見(jiàn)的因素也起著同時(shí)攻擊的作用，以高帶寬垂直性的攻擊多個(gè)公司。2012年12月10日，一群自稱對(duì)先前的攻擊負(fù)責(zé)的Izzad-Dinal-Qassam網(wǎng)絡(luò)戰(zhàn)士宣布了“第2階段操作Ababil。”在他們的Pastebin網(wǎng)頁(yè)上宣布了新一波的攻擊。

2012年12月11日，我們看到了幾個(gè)實(shí)現(xiàn)宣布的攻擊目標(biāo)。有些攻擊看起來(lái)與Brobotv1的構(gòu)建很相似。然而，又有了一個(gè)新制作的DNS報(bào)文攻擊和其它一些由Brobotv2演變而來(lái)的攻擊。

這些攻擊說(shuō)明了為什么DDoS一直是一個(gè)流行和有效的攻擊載體。DDoS的攻擊規(guī)模很大，事實(shí)上，一些攻擊已經(jīng)大到60Gbps。讓這些攻擊如此顯著的不是它們的大小，而是這些攻擊相當(dāng)集中，部分正在活動(dòng)，就像DDoS攻擊一樣，相當(dāng)?shù)墓_(kāi)。從網(wǎng)絡(luò)基礎(chǔ)設(shè)施到網(wǎng)絡(luò)應(yīng)用程序，這些攻擊利用了多個(gè)目標(biāo)。

多矢量DDoS攻擊的經(jīng)驗(yàn)教訓(xùn)

雖然這些攻擊的背后目的很難猜測(cè)，我們也不再重點(diǎn)針對(duì)“誰(shuí)”或“為什么”，我們更應(yīng)該考慮的是如何才能成功的防御這些攻擊。我們從每個(gè)人所涉及到的攻擊部分吸取了很多教訓(xùn)——包括目標(biāo)企業(yè)、管理網(wǎng)絡(luò)提供商、網(wǎng)絡(luò)安全和網(wǎng)絡(luò)應(yīng)用程序管理員以及載體群體。

對(duì)于企業(yè)來(lái)說(shuō)，很明顯，它們都采取典型的外圍防御，如防火墻和IPS，但是當(dāng)受到DDoS攻擊時(shí)，這些方法并不奏效，因?yàn)槁?lián)機(jī)到目標(biāo)上的每種技術(shù)都是一個(gè)潛在的瓶頸。

這些設(shè)備可以是分層防御戰(zhàn)略中的一個(gè)重要組成部分，但是創(chuàng)建它們的目的是解決問(wèn)題，遠(yuǎn)遠(yuǎn)不同于當(dāng)今復(fù)雜的DDoS威脅。根據(jù)當(dāng)今威脅的復(fù)雜性和應(yīng)用層攻擊的性質(zhì)，企業(yè)需要更好的可視性和控制，這就需要一個(gè)專用的DDoS防御方案。這聽(tīng)起來(lái)自我服務(wù)的意識(shí)很重。然而，DDoS攻擊的可視性需要遠(yuǎn)遠(yuǎn)好于您關(guān)于網(wǎng)站或關(guān)鍵的業(yè)務(wù)資產(chǎn)的報(bào)告。沒(méi)有實(shí)時(shí)的攻擊知識(shí)，防御和恢復(fù)將變得越來(lái)越困難。托管安全服務(wù)提供商已經(jīng)開(kāi)始評(píng)估它們的部署和防御能力。這些攻擊是唯一的，在同一個(gè)垂直系統(tǒng)內(nèi)它們以多個(gè)組織為目標(biāo)，緩解基于云計(jì)算防御服務(wù)提供商的能力。

這些攻擊繼續(xù)證明DDoS將繼續(xù)是一種流行的和日趨復(fù)雜的攻擊載體。DDoS不再是一個(gè)簡(jiǎn)單的網(wǎng)絡(luò)問(wèn)題，而是日益成為一個(gè)在功能和其它方面都存在的威脅。

現(xiàn)代攻擊者的動(dòng)機(jī)是單一的，但是威脅形勢(shì)將會(huì)變得越來(lái)越復(fù)雜，它融合各種威脅以增加成功的可能性。當(dāng)然存在MSSP成功減輕攻擊的情況，但是由于底層應(yīng)用程序數(shù)據(jù)已經(jīng)遭到了破壞，目標(biāo)網(wǎng)站仍然會(huì)受到攻擊。為了保護(hù)今天的網(wǎng)絡(luò)，企業(yè)需要在多個(gè)應(yīng)用層上部署DDoS安全性，從網(wǎng)絡(luò)的周邊到提供商的云計(jì)算，并且確保終端設(shè)備可以在和諧的提供商網(wǎng)絡(luò)上有效地運(yùn)行，增強(qiáng)了攻擊的緩解度。