歐洲反垃圾郵件組織Spamhaus遭受了分布式拒絕服務(wù)攻擊(DDoS)，這次攻擊因其規(guī)模巨大而受到廣泛的關(guān)注，被認為是史上最大的DDos攻擊，。從DDoS攻擊趨勢來看，隨著帶寬的增加，有針對性的攻擊正在不斷上升，對此，DDoS攻擊防護服務(wù)供應(yīng)商很擔憂。

CloudFlare是負責幫助Spamhaus處理DDoS攻擊的公司，該公司首席執(zhí)行官Matthew Prince表示，盡管報告速度達到300Gbps，處理工作還是相對比較容易，因為數(shù)據(jù)包能被丟棄在他們的路由器中。

Prince稱，相比之下，最討厭的攻擊是那些針對底層應(yīng)用邏輯的攻擊，這種攻擊通常會試圖利用應(yīng)用層協(xié)議中的某種限制，例如，web服務(wù)器可能只會處理一定數(shù)量的會話，這樣，攻擊者就會嘗試超過這個閾值。

登錄系統(tǒng)是攻擊者最喜愛的目標之一，攻擊者會不斷向系統(tǒng)發(fā)送用戶名和密碼請求，但他們不會試圖通過暴力破解來猜測正確的信息，他們只是想讓系統(tǒng)處理大量虛假的請求。

“他們使用不正確的用戶名和密碼組合，每個登錄請求都會到達數(shù)據(jù)庫，如果攻擊者發(fā)送假的請求，沒有經(jīng)過檢查的話，應(yīng)用將沒有辦法知道請求是假的，”Prince表示，“這樣，數(shù)據(jù)庫將面對龐大的垃圾請求，最終將崩潰，導(dǎo)致所有人都無法登錄。”

DDoS防護供應(yīng)商Prolexic公司信息安全經(jīng)理David Fernandez表示，犯罪團伙的手段日益復(fù)雜，他們已經(jīng)開始瞄準應(yīng)用層。根據(jù)Prolexic對DDoS攻擊趨勢的報告顯示，在2013年第一季度，7層網(wǎng)絡(luò)攻擊占該公司面對的所有DDoS攻擊的25%。該報告還提到，應(yīng)用層攻擊(例如HTTP GET和HTTP POST洪水攻擊)已經(jīng)成為DDoS攻擊工具包中流行的攻擊，DDoS工具包是簡化以及自動化執(zhí)行DDoS攻擊的工具集。

很多這些攻擊帶來很大挑戰(zhàn)，因為它們并不一定側(cè)重于帶寬，而是利用大量并發(fā)連接。“這些請求規(guī)模相對較小，它們都是非偽造的IP地址，所以它們可以通過三方握手和防欺騙機制，直接連接到你的root頁面，并持續(xù)不斷地制造更多連接，”Fernandez表示，“有效的7層網(wǎng)絡(luò)攻擊有10萬個并發(fā)連接，這通常是我們需要阻止的事情，但實際帶寬相對比較低。2Gbps的攻擊基本上會創(chuàng)造20萬個并發(fā)連接，這會影響企業(yè)。”

供應(yīng)商Arbor Networks全球銷售工程和運營副總裁Carlos Morales表示，這種低帶寬、高并發(fā)連接攻擊是很大的挑戰(zhàn)，主要是因為它對網(wǎng)絡(luò)帶寬的影響極其微小。僵尸網(wǎng)絡(luò)有很多主機能夠連接到web服務(wù)器，并向服務(wù)器發(fā)送少量數(shù)據(jù)包來保持連接，從而導(dǎo)致用于其它客戶端的可用服務(wù)器連接數(shù)量減少。

“從網(wǎng)絡(luò)的角度來看，這真的是防不勝防;大部分時候，人們會說，‘為什么我的服務(wù)器不能正常工作?我的網(wǎng)絡(luò)顯示流量并沒有明顯增長啊’，”Morales指出，“然后他們會發(fā)現(xiàn)‘通常這個時候我只有1萬名用戶，而現(xiàn)在卻有150萬用戶。’這是因為攻擊者始終在保持連接。”

Morales表示，在了解潛在目標的攻擊面時，攻擊者確實做了很多功課。例如，一家銀行可能需要為其網(wǎng)上銀行用戶處理大量SSL加密流量，攻擊者就會部署專門的方法來針對這種流量。攻擊者的目的就是弄清楚你的薄弱環(huán)節(jié)，然后趁虛而入。#p#

平均數(shù)字各不相同，但整體在增長

雖然DDoS攻擊趨勢顯示，攻擊者并不僅依靠帶寬來執(zhí)行攻擊，攻擊的整體規(guī)模仍然可能讓企業(yè)措手不及。CloudFlare公司的Prince指出，20世紀90年代和2000年代的僵尸網(wǎng)絡(luò)依賴于感染家用電腦來發(fā)送攻擊，而現(xiàn)在，攻擊者開始感染web服務(wù)器(包括WordPress和消費應(yīng)用的服務(wù)器)，這些服務(wù)器連接到相對“粗的管道”。

在高帶寬DDoS攻擊中，地理因素也發(fā)揮著一定作用，犯罪團伙試圖利用各個國家的基礎(chǔ)設(shè)施的優(yōu)勢。例如，Arbor發(fā)現(xiàn)，從全球范圍來看，韓國是第三大DDoS流量來源，僅次于中國和美國。Morales認為，這主要是韓國互聯(lián)網(wǎng)服務(wù)供應(yīng)商提供的可用的帶寬量，很多家庭都有光纖連接。

Prolexic還發(fā)現(xiàn)了全球DDoS攻擊環(huán)境中一個顯著的趨勢，在其2013年第一季度報告中，5個不同的南美國家排在惡意流量來源的前20位。這個結(jié)果部分是因為南美洲新興的互聯(lián)網(wǎng)基礎(chǔ)設(shè)施，但他指出，犯罪團伙正在瞄準除傳統(tǒng)DDoS來源國之外的國家來利用更多地區(qū)的優(yōu)勢。

雖然專家一致認為DDoS攻擊的規(guī)模正在不斷增長，但我們很難得出一個平均數(shù)字。Prolexic聲稱平均規(guī)模是48.25Gbps，而Arbor的2013年第一季度數(shù)據(jù)顯示平均規(guī)模為1.77Gbps。Prince指出，CloudFlare發(fā)現(xiàn)DDoS攻擊每天超過30Gbps到40Gbps，但他沒有給出平均值，因為“有太多變量在不斷變化”。

存在這種差異性的部分是因為Prolexic和CloudFlare都是專注于DDoS防護的云基礎(chǔ)設(shè)施公司，這意味著，只有當發(fā)展到不可收拾的時候，他們才會處理攻擊。相比之下，Arbor提供企業(yè)內(nèi)部部署的DDoS檢測產(chǎn)品，其最高容量產(chǎn)品包含40Gbps端口。Morales指出，Arbor的產(chǎn)品能夠擴展到2Tbps，目前還沒有攻擊能夠超越這種水平的容量，盡管在未來可能出現(xiàn)特定部署超越這個容量。

Arbor不僅提供企業(yè)內(nèi)部部署的產(chǎn)品，該公司同時也涉足基于云的DDoS防護領(lǐng)域。Arbor是云信令聯(lián)盟(Cloud Signaling Coalition)背后的主要推動力，這個聯(lián)盟是互聯(lián)網(wǎng)服務(wù)提供商(ISP)和運行Arbor設(shè)備來緩解DDoS威脅的企業(yè)的聯(lián)盟。Arbor的內(nèi)部部署設(shè)備允許企業(yè)客戶在超出帶寬限制時向云服務(wù)供應(yīng)商(在這種情況下，主要是由ISP運行)尋求幫助。

“他們基本會說，‘我受到了攻擊，請幫助我’，”Morales表示，“這使企業(yè)供應(yīng)商非常緊密地結(jié)合在一起來對抗攻擊，而這是只有少量開支的單個企業(yè)無法實現(xiàn)的。”