Mirai是一个十万数量级别的僵尸网络,由互联网上的物联网设备(网络摄像头等)构成,8月开始构建,9月出现高潮。攻击者通过猜测设备的默认用户名和口令控制系统,将其纳入到Botnet中,在需要的时候执行各种恶意操作,包括发起DDoS攻击,对互联网造成巨大的威胁。
随着黑客技术的不断发展,人们越来越难以区分真实世界和恐怖电影之间的区别, 2016年的DDoS攻击事件更是加深了人们的这种感觉。
你相信么?事实上,我们的真实生活可能比好莱坞的恐怖电影更加可怕!当你家的物联网设备被黑客用来发动DDoS攻击时,你会不会觉得脊背一阵发凉,而显然目前的DDoS攻击现状不仅于此。
今年的BASHLITE或是Mirai僵尸网络已经让人们体验了利用物联网设备发起DDoS攻击的可怕性,但事情显然还没有完。Akamai高级安全倡导者Martin McKeay表示,2016年仅仅是一个过渡,更严峻的形势即将到来。接下来我们对2016年最严重的7起DDoS攻击事件进行盘点:
鼓励奖
获得奖励奖一般是一些未启动/未成功(Non-Starter)的DDoS攻击,对于它们而言,一旦生效就会造成毁灭性的后果。正如Dobbins在8月份的博客中写道,我们观察到攻击者正在强化他们在DDoS攻击方面的能力,一旦攻击启动就可以生成500GB/秒的持续性攻击,但是却没有人注意到这些。以下就列举出一些入围鼓励奖的攻击案例,希望引起大家的重视:
1)猖獗的勒索软件
2016年勒索软件确实带来了很多麻烦,最广为人知的就是好莱坞长老会医学中心的事件。今年2月,攻击者通过勒索工具入侵了医院网络系统,锁定医务人员的电脑并勒索9000比特币(约360万美元)作为解锁条件。
据报道,由于当时该医院的网络无法使用,还被迫将病人转送到其他医院,并希望在联邦调查局的帮助下恢复被锁定系统。但是一周之后问题依然没有解决,最终医院支付了攻击者17000美元才得以重新访问系统。这次事件虽然不能算是一次真正的DDoS攻击,但是却无疑是一场巨大的针对“可用性”的攻击活动。
PS:在信息安全的三要素——“保密性”、“完整性”和“可用性”中,DoS(Denial ofService),即拒绝服务攻击,针对的目标正是“可用性”。
2)“放空弹”的DDoS勒索威胁
入围鼓励奖的此类DDoS威胁其实从未发生过。自今年3月初开始,有数百家公司收到了自称“无敌舰队”(Armada Collective)的团伙发出的威胁信,宣称要么支付10~50比特币(约4600~2.3万美元)的保护费,要么就等着面对1Tbps以上的DDoS攻击。
大部分公司不予理会,但有些公司认怂了。该团伙的比特币钱包地址显示,入账高达10万美元之巨。但那些拒绝支付保护费的公司至今尚未遭到攻击。
但是,有必要指出:不是所有的DDoS敲诈威胁都是狐假虎威的,当下还是有几个发出敲诈信的犯罪团伙会切实兑现自己的威胁的。
公司企业需要对DDoS攻击有所准备,但向敲诈低头绝对不是建议选项,因为这会鼓励更多网络罪犯参与到此类犯罪活动中来。而且一旦你向某个团伙支付了保护费,难保另一个团伙不会找上门来。
3)不存在的选举日DDoS攻击
入选鼓励奖的毁灭性攻击活动也从未发生过。“Mirai”攻击之后,Tripwire公司安全研究专家Travis Smith曾说,黑客们已经做好准备在选举日发动另一场DDoS攻击。这可能牵涉到那些针对性的服务,例如地图网站或者政府网站,它们会告诉投票者投票的地点。但McKeay表示:“我们并没有在选举日看到任何大规模的DDoS攻击行为,不过这也让我很担忧,是我们遗漏了什么吗?”其实此类针对系统的攻击行为目的之一就是干扰人们对系统的信任,这样攻击的威胁目的就达成了。(近日,美国怀疑三个摇摆省投票系统被黑客操纵,影响了票选结果,这是攻击威胁起作用了?)
4)BlackNurse攻击
上个月,安全研究人员发现了“BlackNurse Attack”——一种新型的攻击技术,可以发起大规模DDoS攻击,可以让资源有限的攻击者利用普通笔记本电脑让大型服务器瘫痪。
由于这种攻击并不基于互联网连接的纯泛洪攻击,专家将其命名为“BlackNurse”。BlackNurse与过往的ICMP泛洪攻击不一样,后者是快速将ICMP请求发送至目标;而BlackNurse是基于含有Type 3 Code 3数据包的ICMP。
丹麦TDC安全运营中心报告指出:
“我们注意到BlackNurse攻击,是因为在反DDoS解决方案中,我们发现,即使每秒发送很低的流量速度和数据包,这种攻击仍能使我们的客户服务器操作陷入瘫痪。这种攻击甚至适用于带有大量互联网上行链路的客户,以及部署防火墙保护的大企业。我们期望专业防火墙设备能应对此类攻击”。
7大DDoS攻击事件盘点
- 暴雪DDoS攻击
今年4月,Lizard Squad组织对暴雪公司战网服务器发起DDoS攻击,包括《星际争霸2》、《魔兽世界》、《暗黑破坏神3》在内的重要游戏作品离线宕机,玩家无法登陆。名为“Poodle Corp”黑客组织也曾针对暴雪发起多次DDoS攻击,8月三起,另一起在9月。
攻击不仅导致战网服务器离线,平台多款游戏均受到影响,包括《守望先锋》,《魔兽世界》、《暗黑3》以及《炉石传说》等,甚至连主机平台的玩家也遇到了登陆困难的问题。
今年6月,一家普通的珠宝在线销售网站遭到了黑客的攻击,美国安全公司Sucuri在对这一事件进行调查时发现,该珠宝店的销售网站当时遭到了泛洪攻击,在每秒钟35000次的HTTP请求(垃圾请求)之下,该网站便无法再提供正常的服务。
当时,Sucuri公司的安全研究人员曾尝试阻止这次网络攻击,但是这一僵尸网络却进一步提升了垃圾请求的发送频率,随后该网络每秒会向该商店的销售网站发送超过50000次垃圾HTTP请求。
安全研究人员对此次攻击中的数据包来源进行分析后发现,这些垃圾请求全部来源于联网的监控摄像头,25000个摄像头组成僵尸网络发起DDoS攻击,成为已知最大的CCTV(闭路电视摄像头)僵尸网络。
今年5月,Anonymous(匿名者)麾下的BannedOffline、Ghost Squad Hackers(幽灵黑客小队)等黑客小组,针对全球范围内的多家银行网站,发动了短期性网络攻击,Anonymous将此次攻击行动称为:“Operation OpIcarus”。
此次选定的攻击目标包括约旦国家央行、韩国国家央行、摩纳哥央行以及一些设立在摩纳哥的企业银行网站等,随后黑客们对其实施了一系列的DDoS攻击。这次攻击导致约旦、韩国以及摩纳哥等央行网络系统陷入了半小时的瘫痪状态,使其无法进行正常工作,而黑山国家银行网络系统则被迫关闭,停止服务。
今年5月,DNS和流量管理供应商NS1(ns1.com)遭遇了历时10天的针对性大规模DDoS攻击,它通过执行上游流量过滤和使用基于行为的规则屏蔽了大部分攻击流量。
攻击者没有使用流行的DNS放大攻击,而是向NS1的域名服务器发送编程生成的DNS查询请求,攻击流量达到了每秒5000万到6000万 数据包,数据包表面上看起来是真正的查询请求,但它想要解析的是不存在于NS1客户网络的主机名。攻击源头也在东欧、俄罗斯、中国和美国的不同僵尸网络中轮换。
- 五家俄罗斯银行遭遇DDoS攻击
11月10日,俄罗斯五家主流大型银行遭遇长达两天的DDoS攻击。来自30个国家2.4万台计算机构成的僵尸网络持续不间断发动强大的DDOS攻击。
卡巴斯基实验室提供的分析表明,超过50%的僵尸网络位于以色列、台湾、印度和美国。每波攻击持续至少一个小时,最长的不间断持续超过12个小时。攻击的强度达到每秒发送66万次请求。卡巴斯基实验室还指出,有些银行反复遭受被攻击。
Mirai是一个十万数量级别的僵尸网络,由互联网上的物联网设备(网络摄像头等)构成,8月开始构建,9月出现高潮。攻击者通过猜测设备的默认用户名和口令控制系统,将其纳入到Botnet中,在需要的时候执行各种恶意操作,包括发起DDoS攻击,对互联网造成巨大的威胁。
今年9月20日,安全研究机构KrebsonSecurity遭遇Mirai攻击,当时被认为是有史以来最大的一次网络攻击之一。然而没过多久,法国主机服务供应商OVH也遭到了两次攻击,罪魁祸首依然是Mirai。据悉,KrebsonSecurity被攻击时流量达到了665GB,而OVH被攻击时总流量则超过了1TB。
- 美国大半个互联网下线事件
说起今年的DDOS攻击就不得不提Dyn事件。10月21日,提供动态DNS服务的Dyn DNS遭到了大规模DDoS攻击,攻击主要影响其位于美国东区的服务。
此次攻击导致许多使用DynDNS服务的网站遭遇访问问题,其中包括 GitHub、Twitter、Airbnb、Reddit、Freshbooks、Heroku、SoundCloud,、Spotify 和 Shopify。攻击导致这些网站一度瘫痪,Twitter甚至出现了近24小时0访问的局面。
10月27日,Dyn产品部门执行副总裁ScottHilton签发了一份声明表示,Dyn识别出了大约10万个向该公司发动恶意流量攻击的来源,而它们全都指向被Mirai恶意软件感染和控制的设备。
Scott Hilton还深入剖析了本轮攻击的技术细节,称攻击者利用DNS TCP和UDP数据包发起了攻击。尽管手段并不成熟,但一开始就成功打破了Dyn的防护,并对其内部系统造成了严重破坏。该公司并未披露本次攻击的确切规模,外界估计它可能大大超过了针对OVH的那次DDoS攻击。(峰值达到了1.1Tbps,这也是迄今所知最大的一次DDoS攻击)
在这所有的攻击事件中,Herzberg最关注的问题是越来越多的僵尸网络开始利用物联网设备组建攻击,包括智能手机、摄像头等。他表示:
“如果我是攻击者,我也会对拥有一个移动僵尸网络非常感兴趣。”
事实上,互联网史上每一次大规模DDoS攻击,都能引发大动荡。
2013年3月的一次DDoS攻击,流量从一开始的10GB、90GB,逐渐扩大至300GB,Spamhaus、CloudFlare遭到攻击,差点致使欧洲网络瘫痪;
2014年2月的一次DDoS攻击,攻击对象为CloudFlare客户,当时包括维基解密在内的78.5万个网站安全服务受到影响,规模甚至大于Spamhaus,流量为400GB;
……
几年时间内,攻击流量从300G到400GB,如今已经以“T”级别来计算,DDoS攻击几乎在以飞跃式的速度增长,而随着技术发展,利用物联网设备组建僵尸网络发起攻击的现象也日益严峻,网络安全之路可谓任重道远,如何解决日益增多的难题成为未来网络安全发展的考验。