2015年DDoS攻击特点以及对策

近日，由Ponemon
Institute进行一个双年度的研究报告显示，大多数数据中心宕机是由错误的UPS(不间断电源)设备引发，占所有事故数量的25%，紧随其后的是DDoS攻击，占22%，DDos攻击数量在过去几年稳步增长，在2013年DDos攻击只占数据中心宕机次数的18%，而2010年只有4%。

DDoS也就是分布式拒绝服务攻击，指借助于客户/服务器技术，将多个计算机联合起来作为攻击平台，对一个或多个目标发动DDoS攻击，从而成倍地提高拒绝服务攻击的威力。该攻击方式利用目标系统网络服务功能缺陷或者直接消耗其系统资源，使得该目标系统无法提供正常的服务。

DDoS的攻击方式有很多种，最基本的DDoS攻击就是利用合理的服务请求来占用过多的服务资源，从而使合法用户无法得到服务的响应。

分布式拒绝服务攻击采取的攻击手段就是分布式的，在攻击的模式改变了传统的点对点的攻击模式，使攻击方式出现了没有规律的情况，而且在进行攻击的时候，通常使用的也是常见的协议和服务，这样只是从协议和服务的类型上是很难对攻击进行区分的。在进行攻击的时候，攻击数据包都是经过伪装的，在源IP
地址上也是进行伪造的，这样就很难对攻击进行地址的确定，在查找方面也是很难的。这样就导致了分布式拒绝服务攻击在检验方法上是很难做到的。

分布式拒绝服务在进行攻击的时候，要对攻击目标的流量地址进行集中，然后在攻击的时候不会出现拥塞控制。在进行攻击的时候会选择使用随机的端口来进行攻击，会通过数千端口对攻击的目标发送大量的数据包，使用固定的端口进行攻击的时候，会向同一个端口发送大量的数据包。

纵观整个2015年的DDoS现状，我们可以得出如下结论：

DDoS攻击频率更高，持续时间更长，大型DDoS攻击增长非常迅速。

　　DDoS攻击手段越来越多，而且是两种或者更多种攻击手段同时并用。

第三个趋势是DDoS攻击对企业造成的损失越来越大。

新形势下的DDoS市场

如果说以前的DDoS攻击是长时间的持续性行为，那么步入新常态后，DDoS攻击时间都低于一小时，不再像以前持续那么久。攻击行为产生效果后会在企业防御前撤退，同时通过变化攻击手法维持攻击的有效性。

虽然目前很多运营商提供了流量清洗服务，但是在受到攻击通知并启动运营商的流量清洗服务之前，攻击者可能已经转移了。所以这需要企业在应对DDoS攻击的时候需要更加有效的防御解决方案。

此外，DDoS攻击影响的范围在扩大，比如教育行业、政府和ISP。对于ISP来说，以前DDoS攻击的对象是主机托管商的客户，现在ISP自身也成为被攻击的对象。

在攻击手法上，DDoS攻击出现加密型的攻击，通过加密，攻击直接穿透防火墙。而且攻击是多维度的，不同类型的攻击混合使用。而且DDoS攻击的地域特征不是那么明显，也就是在中国发生的攻击也会出现在美国。

另外，DDoS攻击不再像以前那样偏向于偏向整个服务的阻断，所谓阻断就是服务完全不可用。现在的DDoS让服务变慢而不是直接阻断，通过影响服务的客户体验实现攻击。比如服务响应慢，其实是DDoS强制占用整个业务系统资源，从而拖慢系统，服务受到干扰，直接影响客户满意度。

企业如何防范DDoS攻击？

针对DDoS防护，建议企业遵循三个原则选择供应商。第一，威胁情报的可视化非常重要。这个供应商需要有全球性的视角去看，业界有哪些最新出现的威胁，我可以尽快的响应。这个行业内有哪些共性的危机和危险，我可以去建议，这个是非常重要的。

第二点就是一线的攻防经验，这家公司必须有很多的实操经验，它必须实际帮客户抵御很多的DDoS攻击，它才能不断改进它的技能。因为攻击从本质上来说是人与人的斗争，所谓魔高一尺，道高一丈。另外全球的防御能力和容量是非常重要的，因为DDoS攻击源头是分散在世界各地的。

第三是安全不再是一个支撑性的概念，而是一个业务的参与者，企业应将它上升到CXO的决策。有机构调研阻碍企业进行有效DDoS防护的因素，其中前三条因素都不是技术因素。第一条企业缺乏相应的安全预算预防DDoS。第二条企业缺乏安全人才，在市场上招聘一个有安全经验的人非常困难，而且流动率很高。第三就是企业的CXO没有参与到决策过程。

最后一点就是人员的安全意识，而且人员的安全意识应该是基于角色的安全意识。比如说您拥有CRM系统的管理权，您的安全等级是什么？您要做的安全预防措施是什么？这些教育培训和管理是非常重要的。DDoS防护一半是技术问题，但更主要的是业务和决策层面的问题。

最新进展

根据Akamai最新的DDoS趋势报告，利用DNSSEC协议的DDoS反射攻击更加猖獗。攻击者主要使用了.gov的域名，这归咎于美国法规必须支持DNSSEC。

DNSSEC是域名系统安全扩展的简称，作为DNS协议的扩展，其包括了诸多保护DNS认证和数据完整度的安全特性，然而反射DDoS也在滥用DNSSEC协议。

业内也将反射DDoS称作DRDoS或分布式反射拒绝服务攻击。一名攻击者将一个损坏的网络包发送到服务器，然而之后它会被发送回另一个用户(即攻击的受害者)。该网络包会滥用一个特定的协议，借助于各种缺陷，其可放大自身的数量。

尽管DNSSEC可以防止域名被劫持，但它却无法阻挡反射DDoS攻击。

Akamai
SIRT(安全情报响应小组)表示：攻击者没有做什么特殊的事情，他们用的还是同样的DDoS工具包，因为DNS解析器仍然开放着。问题的关键是他们请求了DNSSEC的域名(通常为.gov之类，修改为DNS请求的受害者IP，而不是他们自己的)。开放的DNS解析器会将它翻译成一个IP，通过额外的DNSSEC请求数据来阻塞响应，然后将它发送回受害者IP。

此种情况告诉我们，2016年企业面临的DDoS情况会更加严峻，这需要企业、安全服务商、电信运营商等产业链众多厂商的协同才能实现DDoS的防御。

本文转自d1net（转载）