近日发布的《全球基础设施安全报告》显示,一个令人非常担忧的统计数据在受访者中呈增长趋势,就是多矢量DDoS攻击。这类攻击集合了大流量、状态耗尽和应用层攻击等多种手段。46%的受访者都遭受过这些攻击,比去年增长了19个百分点。这些攻击很难预防,通常需要通过数据中心和云管理分层解决。
在2012年第四季度期间,我们见证了一个有针对性的、复杂的DDoS攻击美国金融机构的实例。这些攻击是非常有预谋和有重点的,它们以有条理和有组织的方式执行攻击。
多矢量攻击过程
2012年第四季度,在针对美国金融机构的DDoS攻击活动中,许多PHP网络应用程序受到连累,它们成了攻击中的机器人。此外,许多经常使用过时的TimThumb插件的WordPress网站大约在同一时间作出妥协。Joomla和其它基于PHP应用程序的网站也受到了影响。无人维护的、使用过时的扩展软件的网站也是易受攻击的对象,攻击者充分利用此漏洞上传各种PHP网页木马,然后用这些PHP网页木马进一步部署攻击工具。攻击者用这些工具直接连接到易受感染的网站服务器或通过中间服务器/代理服务器/脚本发起攻击命令。这些攻击使用了几种以PHP为基础的工具。最突出的是“Brobot”。还有两个工具KamiKaze和AMOS被经常使用。Brobot也被称为“itsoknoproblembro。”
我们观察到的攻击战术是一个HTTP、HTTPS和DNS上带有体积攻击流量的应用层和各种TCP、UDP、ICMP以及其它IP协议的组合。另一个明显的、不常见的因素也起着同时攻击的作用,以高带宽垂直性的攻击多个公司。2012年12月10日,一群自称对先前的攻击负责的Izzad-Dinal-Qassam网络战士宣布了“第2阶段操作Ababil。”在他们的Pastebin网页上宣布了新一波的攻击。
2012年12月11日,我们看到了几个实现宣布的攻击目标。有些攻击看起来与Brobotv1的构建很相似。然而,又有了一个新制作的DNS报文攻击和其它一些由Brobotv2演变而来的攻击。
这些攻击说明了为什么DDoS一直是一个流行和有效的攻击载体。DDoS的攻击规模很大,事实上,一些攻击已经大到60Gbps。让这些攻击如此显著的不是它们的大小,而是这些攻击相当集中,部分正在活动,就像DDoS攻击一样,相当的公开。从网络基础设施到网络应用程序,这些攻击利用了多个目标。
多矢量DDoS攻击的经验教训
虽然这些攻击的背后目的很难猜测,我们也不再重点针对“谁”或“为什么”,我们更应该考虑的是如何才能成功的防御这些攻击。我们从每个人所涉及到的攻击部分吸取了很多教训——包括目标企业、管理网络提供商、网络安全和网络应用程序管理员以及载体群体。
对于企业来说,很明显,它们都采取典型的外围防御,如防火墙和IPS,但是当受到DDoS攻击时,这些方法并不奏效,因为联机到目标上的每种技术都是一个潜在的瓶颈。
这些设备可以是分层防御战略中的一个重要组成部分,但是创建它们的目的是解决问题,远远不同于当今复杂的DDoS威胁。根据当今威胁的复杂性和应用层攻击的性质,企业需要更好的可视性和控制,这就需要一个专用的DDoS防御方案。这听起来自我服务的意识很重。然而,DDoS攻击的可视性需要远远好于您关于网站或关键的业务资产的报告。没有实时的攻击知识,防御和恢复将变得越来越困难。托管安全服务提供商已经开始评估它们的部署和防御能力。这些攻击是唯一的,在同一个垂直系统内它们以多个组织为目标,缓解基于云计算防御服务提供商的能力。
这些攻击继续证明DDoS将继续是一种流行的和日趋复杂的攻击载体。DDoS不再是一个简单的网络问题,而是日益成为一个在功能和其它方面都存在的威胁。
现代攻击者的动机是单一的,但是威胁形势将会变得越来越复杂,它融合各种威胁以增加成功的可能性。当然存在MSSP成功减轻攻击的情况,但是由于底层应用程序数据已经遭到了破坏,目标网站仍然会受到攻击。为了保护今天的网络,企业需要在多个应用层上部署DDoS安全性,从网络的周边到提供商的云计算,并且确保终端设备可以在和谐的提供商网络上有效地运行,增强了攻击的缓解度。