年末了,盘点2016年最严重的7起DDoS攻击事件
jopen 8年前
<p style="text-align:center"><img alt="年末了,盘点2016年最严重的7起DDoS攻击事件" src="https://simg.open-open.com/show/1cb8bb6ea84a616f731b997bd93f1808.jpg" /></p> <p>随着黑客技术的不断发展,人们越来越难以区分真实世界和恐怖电影之间的区别, 2016 年的 DDoS 攻击事件更是加深了人们的这种感觉。</p> <p>你相信么?事实上,我们的真实生活可能比好莱坞的恐怖电影更加可怕!当你家的物联网设备被黑客用来发动 DDoS 攻击时,你会不会觉得脊背一阵发凉,而显然目前的 DDoS 攻击现状不仅于此。</p> <p>今年的 BASHLITE 或是 Mirai 僵尸网络已经让人们体验了利用物联网设备发起 DDoS 攻击的可怕性,但事情显然还没有完。Akamai 高级安全倡导者 Martin McKeay 表示,2016 年仅仅是一个过渡,更严峻的形势即将到来。接下来我们对 2016 年最严重的 7 起 DDoS 攻击事件进行盘点:</p> <p><strong>鼓励奖</strong></p> <p style="text-align:center"><img alt="年末了,盘点2016年最严重的7起DDoS攻击事件" src="https://simg.open-open.com/show/b0ff9d6278b0bb63341426f72b68500c.jpg" /></p> <p>获得奖励奖一般是一些未启动/未成功(Non-Starter)的 DDoS 攻击,对于它们而言,一旦生效就会造成毁灭性的后果。正如 Dobbins 在 8 月份的博客中写道,我们观察到攻击者正在强化他们在 DDoS 攻击方面的能力,一旦攻击启动就可以生成 500GB/秒的持续性攻击,但是却没有人注意到这些。以下就列举出一些入围鼓励奖的攻击案例,希望引起大家的重视:</p> <p><strong>1)猖獗的勒索软件</strong></p> <p>2016 年勒索软件确实带来了很多麻烦,最广为人知的就是好莱坞长老会医学中心的事件。今年 2 月,攻击者通过勒索工具入侵了医院网络系统,锁定医务人员的电脑并勒索 9000 比特币(约 360 万美元)作为解锁条件。</p> <p>据报道,由于当时该医院的网络无法使用,还被迫将病人转送到其他医院,并希望在联邦调查局的帮助下恢复被锁定系统。但是一周之后问题依然没有解决,最终医院支付了攻击者 17000 美元才得以重新访问系统。这次事件虽然不能算是一次真正的 DDoS 攻击,但是却无疑是一场巨大的针对“可用性”的攻击活动。</p> <p>PS:在信息安全的三要素——“保密性”、“完整性”和“可用性”中,DoS(Denial ofService),即拒绝服务攻击,针对的目标正是“可用性”。</p> <p><strong>2)“放空弹”的 DDoS 勒索威胁</strong></p> <p>入围鼓励奖的此类 DDoS 威胁其实从未发生过。自今年 3 月初开始,有数百家公司收到了自称“无敌舰队”(Armada Collective)的团伙发出的威胁信,宣称要么支付 10~50 比特币(约 4600~2.3 万美元)的保护费,要么就等着面对 1Tbps 以上的 DDoS 攻击。</p> <p>大部分公司不予理会,但有些公司认怂了。该团伙的比特币钱包地址显示,入账高达 10 万美元之巨。但那些拒绝支付保护费的公司至今尚未遭到攻击。</p> <p>但是,有必要指出:不是所有的 DDoS 敲诈威胁都是狐假虎威的,当下还是有几个发出敲诈信的犯罪团伙会切实兑现自己的威胁的。</p> <p>公司企业需要对 DDoS 攻击有所准备,但向敲诈低头绝对不是建议选项,因为这会鼓励更多网络罪犯参与到此类犯罪活动中来。而且一旦你向某个团伙支付了保护费,难保另一个团伙不会找上门来。</p> <p><strong>3)不存在的选举日 DDoS 攻击</strong></p> <p>入选鼓励奖的毁灭性攻击活动也从未发生过。“Mirai”攻击之后,Tripwire 公司安全研究专家 Travis Smith 曾说,黑客们已经做好准备在选举日发动另一场 DDoS 攻击。这可能牵涉到那些针对性的服务,例如地图网站或者政府网站,它们会告诉投票者投票的地点。但 McKeay 表示:“我们并没有在选举日看到任何大规模的 DDoS 攻击行为,不过这也让我很担忧,是我们遗漏了什么吗?”其实此类针对系统的攻击行为目的之一就是干扰人们对系统的信任,这样攻击的威胁目的就达成了。(近日,美国怀疑三个摇摆省投票系统被黑客操纵,影响了票选结果,这是攻击威胁起作用了?)</p> <p><strong>4)BlackNurse 攻击</strong></p> <p>上个月,安全研究人员发现了“BlackNurse Attack”——一种新型的攻击技术,可以发起大规模 DDoS 攻击,可以让资源有限的攻击者利用普通笔记本电脑让大型服务器瘫痪。</p> <p>由于这种攻击并不基于互联网连接的纯泛洪攻击,专家将其命名为“BlackNurse”。BlackNurse 与过往的 ICMP 泛洪攻击不一样,后者是快速将 ICMP 请求发送至目标;而 BlackNurse 是基于含有 Type 3 Code 3 数据包的 ICMP。</p> <p>丹麦 TDC 安全运营中心报告指出:</p> <blockquote> <p>“我们注意到 BlackNurse 攻击,是因为在反 DDoS 解决方案中,我们发现,即使每秒发送很低的流量速度和数据包,这种攻击仍能使我们的客户服务器操作陷入瘫痪。这种攻击甚至适用于带有大量互联网上行链路的客户,以及部署防火墙保护的大企业。我们期望专业防火墙设备能应对此类攻击”。</p> </blockquote> <p><strong>7 大 DDoS 攻击事件盘点</strong></p> <p><strong>1. 暴雪 DDoS 攻击</strong></p> <p style="text-align:center"><img alt="年末了,盘点2016年最严重的7起DDoS攻击事件" src="https://simg.open-open.com/show/3ad9e14113e844976a6e98d856858c66.jpg" /></p> <p>今年 4 月,Lizard Squad 组织对暴雪公司战网服务器发起 DDoS 攻击,包括《星际争霸2》、《魔兽世界》、《暗黑破坏神3》在内的重要游戏作品离线宕机,玩家无法登陆。名为“Poodle Corp”黑客组织也曾针对暴雪发起多次 DDoS 攻击,8 月三起,另一起在 9 月。</p> <p style="text-align:center"><img alt="年末了,盘点2016年最严重的7起DDoS攻击事件" src="https://simg.open-open.com/show/0b294202742787307902b2d3110c091d.jpg" /></p> <p>攻击不仅导致战网服务器离线,平台多款游戏均受到影响,包括《守望先锋》,《魔兽世界》、《暗黑3》以及《炉石传说》等,甚至连主机平台的玩家也遇到了登陆困难的问题。</p> <p><strong>2. 珠宝店遭遇 25000 个摄像头组成的僵尸网络攻击</strong></p> <p style="text-align:center"><img alt="年末了,盘点2016年最严重的7起DDoS攻击事件" src="https://simg.open-open.com/show/7cdea88d359b129ad9d4eccdda7d84f5.jpg" /></p> <p>今年 6 月,一家普通的珠宝在线销售网站遭到了黑客的攻击,美国安全公司 Sucuri 在对这一事件进行调查时发现,该珠宝店的销售网站当时遭到了泛洪攻击,在每秒钟 35000 次的 HTTP 请求(垃圾请求)之下,该网站便无法再提供正常的服务。</p> <p>当时,Sucuri 公司的安全研究人员曾尝试阻止这次网络攻击,但是这一僵尸网络却进一步提升了垃圾请求的发送频率,随后该网络每秒会向该商店的销售网站发送超过 50000 次垃圾 HTTP 请求。</p> <p>安全研究人员对此次攻击中的数据包来源进行分析后发现,这些垃圾请求全部来源于联网的监控摄像头,25000 个摄像头组成僵尸网络发起 DDoS 攻击,成为已知最大的 CCTV(闭路电视摄像头)僵尸网络。</p> <p><strong>3. Anonymous 组织发起的“Operation OpIcarus”攻击</strong></p> <p style="text-align:center"><img alt="年末了,盘点2016年最严重的7起DDoS攻击事件" src="https://simg.open-open.com/show/d714a2dc348f88955bc2c6843324587d.jpg" /></p> <p>今年 5 月,Anonymous(匿名者)麾下的 BannedOffline、Ghost Squad Hackers(幽灵黑客小队)等黑客小组,针对全球范围内的多家银行网站,发动了短期性网络攻击,Anonymous 将此次攻击行动称为:“Operation OpIcarus”。</p> <p>此次选定的攻击目标包括约旦国家央行、韩国国家央行、摩纳哥央行以及一些设立在摩纳哥的企业银行网站等,随后黑客们对其实施了一系列的 DDoS 攻击。这次攻击导致约旦、韩国以及摩纳哥等央行网络系统陷入了半小时的瘫痪状态,使其无法进行正常工作,而黑山国家银行网络系统则被迫关闭,停止服务。</p> <p><strong>4. 精准的 NS1 攻击</strong></p> <p style="text-align:center"><img alt="年末了,盘点2016年最严重的7起DDoS攻击事件" src="https://simg.open-open.com/show/91bf2e7a967372846a4373597f9e6be5.jpg" /></p> <p>今年 5 月,DNS 和流量管理供应商 NS1(ns1.com)遭遇了历时 10 天的针对性大规模 DDoS 攻击,它通过执行上游流量过滤和使用基于行为的规则屏蔽了大部分攻击流量。</p> <p>攻击者没有使用流行的 DNS 放大攻击,而是向 NS1 的域名服务器发送编程生成的 DNS 查询请求,攻击流量达到了每秒 5000 万到 6000 万包,数据包表面上看起来是真正的查询请求,但它想要解析的是不存在于 NS1 客户的主机名。攻击源头也在东欧、俄罗斯、中国和美国的不同僵尸网络中轮换。</p> <p><strong>5. 五家俄罗斯银行遭遇 DDoS 攻击</strong></p> <p style="text-align:center"><img alt="年末了,盘点2016年最严重的7起DDoS攻击事件" src="https://simg.open-open.com/show/09509627817b4e960061050fa29a6266.jpg" /></p> <p>11 月 10 日,俄罗斯五家主流大型银行遭遇长达两天的 DDoS 攻击。来自 30 个国家 2.4 万台计算机构成的僵尸网络持续不间断发动强大的 DDOS 攻击。</p> <p>卡巴斯基实验室提供的分析表明,超过 50% 的僵尸网络位于以色列、台湾、印度和美国。每波攻击持续至少一个小时,最长的不间断持续超过 12 个小时。攻击的强度达到每秒发送 66 万次请求。卡巴斯基实验室还指出,有些银行反复遭受被攻击。</p> <p><strong>6. Mirai 僵尸网络攻击 KrebsonSecurity</strong></p> <p style="text-align:center"><img alt="年末了,盘点2016年最严重的7起DDoS攻击事件" src="https://simg.open-open.com/show/a11337d61b124a02533adff88888d84f.jpg" /></p> <p>Mirai 是一个十万数量级别的僵尸网络,由互联网上的物联网设备(网络摄像头等)构成,8 月开始构建,9 月出现高潮。攻击者通过猜测设备的默认用户名和口令控制系统,将其纳入到 Botnet 中,在需要的时候执行各种恶意操作,包括发起 DDoS 攻击,对互联网造成巨大的威胁。</p> <p>今年 9 月 20 日,安全研究机构 KrebsonSecurity 遭遇 Mirai 攻击,当时被认为是有史以来最大的一次网络攻击之一。然而没过多久,法国主机服务供应商 OVH 也遭到了两次攻击,罪魁祸首依然是 Mirai。据悉,KrebsonSecurity 被攻击时流量达到了 665GB,而 OVH 被攻击时总流量则超过了 1TB。</p> <p><strong>7. 美国大半个互联网下线事件</strong></p> <p style="text-align:center"><img alt="年末了,盘点2016年最严重的7起DDoS攻击事件" src="https://simg.open-open.com/show/55f5d1ac91495de29265e8969a137f57.jpg" /></p> <p>说起今年的 DDOS 攻击就不得不提 Dyn 事件。10 月 21 日,提供动态 DNS 服务的 Dyn DNS 遭到了大规模 DDoS 攻击,攻击主要影响其位于美国东区的服务。</p> <p>此次攻击导致许多使用 DynDNS 服务的网站遭遇<a href="/misc/goto?guid=4958996030360436357">访问问题</a>,其中包括 GitHub、推ter、Airbnb、Reddit、Freshbooks、Heroku、SoundCloud,、Spotify 和 Shopify。攻击导致这些网站一度瘫痪,推ter 甚至出现了近 24 小时 0 访问的局面。</p> <p style="text-align:center"><img alt="年末了,盘点2016年最严重的7起DDoS攻击事件" src="https://simg.open-open.com/show/c09b7b4973bce7c7d420af4291195d4f.jpg" /></p> <p style="text-align:center"><img alt="年末了,盘点2016年最严重的7起DDoS攻击事件" src="https://simg.open-open.com/show/19dd165d536a0db33da7e5e6968d001c.jpg" /></p> <p>10 月 27 日,Dyn 产品部门执行副总裁 ScottHilton 签发了一份声明表示,Dyn 识别出了大约 10 万个向该公司发动恶意流量攻击的来源,而它们全都指向被 Mirai 恶意软件感染和控制的设备。</p> <p>Scott Hilton 还深入剖析了本轮攻击的技术细节,称攻击者利用 DNS TCP 和 UDP 数据包发起了攻击。尽管手段并不成熟,但一开始就成功打破了 Dyn 的防护,并对其内部系统造成了严重破坏。该公司并未披露本次攻击的确切规模,外界估计它可能大大超过了针对 OVH 的那次 DDoS 攻击。(峰值达到了 1.1Tbps,这也是迄今所知最大的一次 DDoS 攻击)</p> <p>在这所有的攻击事件中,Herzberg 最关注的问题是越来越多的僵尸网络开始利用物联网设备组建攻击,包括智能手机、摄像头等。他表示:</p> <blockquote> <p>“如果我是攻击者,我也会对拥有一个移动僵尸网络非常感兴趣。”</p> </blockquote> <p>事实上,互联网史上每一次大规模 DDoS 攻击,都能引发大动荡。</p> <p>2013 年 3 月的一次 DDoS 攻击,流量从一开始的 10GB、90GB,逐渐扩大至 300GB,Spamhaus、CloudFlare 遭到攻击,差点致使欧洲网络瘫痪;</p> <p>2014 年 2 月的一次 DDoS 攻击,攻击对象为 CloudFlare 客户,当时包括维基解密在内的 78.5 万个网站安全服务受到影响,规模甚至大于 Spamhaus,流量为 400GB;</p> <p>……</p> <p>几年时间内,攻击流量从 300G 到 400GB,如今已经以“T”级别来计算,DDoS 攻击几乎在以飞跃式的速度增长,而随着技术发展,利用物联网设备组建僵尸网络发起攻击的现象也日益严峻,网络安全之路可谓任重道远,如何解决日益增多的难题成为未来网络安全发展的考验。</p> <p>参考来源:<a href="/misc/goto?guid=4958996030462158665">darkreading</a>,米雪儿编译,转载请注明来自 <a href="/misc/goto?guid=4958986712151115655">FreeBuf.COM</a></p> <p>来自: <a href="/misc/goto?guid=4958996030591385005" id="link_source2">www.freebuf.com</a></p>