2016年攻击趋势

标签:RadwareDDoS载体

访客:9817  发表于:2017-01-04 10:34:14

  就拒绝服务攻击而言,2016年应该算是多事之秋了。在这一年里,整个行业遭遇了有史以来规模最大的攻击,并出现了很多测试并挑战现代防御措施的新攻击方法。每年,Radware ERT团队都会检测到数以百万计的攻击,ERT研究人员全年也在不断地回顾并分析这些攻击,以便更深入地了解攻击载体现状的趋势和改变。

  在2016年,攻击者最常用的两个攻击是突发式攻击,又名"打了就跑"攻击,另一个是高级持续性拒绝服务(ApDoS)攻击。Radware发现许多攻击者使用了随机间隔的高容量突发式攻击,这些攻击可以持续数周,包含有多个可以同时攻击所有网络层的攻击载体。这些类型的攻击很可能引发网络服务器SLA的频繁中断,并阻碍合法用户访问服务。

  另一方面,黑客也在寻求可以实行网络瘫痪式攻击的新载体和方法。2016年,Radware注意到物联网(IoT)被广泛用于创建强大的僵尸网络,以及BlackNurse、ICMP攻击等许多新的攻击载体。最值得注意的是某用户在HackForum上发布的Mirai僵尸网络源代码。该僵尸网络利用了在基于BusyBox的IoT设备上发现的60多个出厂默认凭证,创建了迄今为止最为强大的僵尸网络。Mirai背后更令人关注的因素之一就是通用路由封装(GRE)攻击载体。这一相对较新的方法在数据包中封装了包含大量的数据,试图使接收网络因解封负载时而耗尽资源。

  来自Radware ERT的5大DDoS载体:

  HTTP/s

  2016年,Radware ERT发现了385,000个以上针对客户发起的HTTP泛洪攻击。HTTP泛洪攻击是黑客用于攻击Web服务器和应用的一种攻击方法。HTTP泛洪攻击由一组发送到目标服务器的看似合法的基于会话的HTTP GET或POST请求组成。为了增强整体的攻击能力,通常会通过僵尸网络大批量发送这类请求,但同时也会利用HULK和SlowLoris等DoS工具发起攻击。HULK是一个简单的泛洪攻击工具,可以为每个请求生成独特的HTTP请求。藉此,HULK可以帮助攻击规避缓存技术,直接攻击服务器。在今年的OpIcarus攻击中,攻击者采用了HULK、SlowLoris、TorsHammer和Slowhttp等许多L7 DoS工具。

  DNS

  DNS泛洪攻击是针对特定应用的UDP泛洪攻击的变体。由于DNS服务器使用UDP进行名称解析,因此向DNS服务器发送大量DNS请求可以消耗其资源,进而引发服务降级和对合法请求的响应时间变慢。DNS放大攻击是可以利用DNS服务器工作方式来放大攻击流量的复杂拒绝服务攻击。攻击者向多个DNS服务器发送高速率的简短DNS查询内容,使服务器将完整的DNS记录列表发送给受害者。由于攻击者每发送一个简短DNS查询,DNS服务器就会回复更大的针对受害者的响应内容,因此攻击者可以把攻击放大。迄今为止,Radware ERT团队发现超过130,000个针对AAAA记录的DNS泛洪攻击,其中48个攻击来自Mirai僵尸网络。

  TCP

  TCP泛洪攻击是一种使用时间最长却仍受欢迎的拒绝服务攻击。TCP攻击的最常见形式包括向受害者服务器发送大量的SYN数据包。此攻击是通过滥用创建会话的三次握手规则来淹没目标服务器的会话表。服务器需要为每个到达的数据包打开一个状态,攻击者利用攻击流量填充这些表格,进而导致服务器无法处理合法流量。2016年,Radware ERT发现大量TCP攻击,如:TCP-SYN、25,081、FIN-ACK、17,264和SYN-ACK、14,758。Radware ERT还发现了来源于Mirai的名为TCP STOMP的攻击。这是一个典型的ACK泛洪攻击,Mirai在获得合法序列号之后才开始ACK泛洪攻击,从而增加了它绕过安全解决方案的可能性。在反奥运攻击(OpOlympicHacking)期间,黑客组织Anonymous发布了一个GUI工具,允许组织成员通过Tor针对预先定义的与比赛有关的组织发起TCP PSH+ACK泛洪攻击。

  UDP

  UDP泛洪攻击是一种网络泛洪攻击,也是当前最常见的泛洪攻击之一。攻击者会将UDP数据包发送到单一目的端口或随机端口。在多数情况下,由于UDP协议采用了无连接传输模式,没有任何类型的握手机制或会话,因此攻击者能够假冒源IP。UDP攻击的目的是通过高容量攻击堵塞互联网管道。简单而言,UDP泛洪攻击通过大量滥用正常行为的方式引发目标网络的拥塞和服务降级。2016年,Radware ERT发现了超过50万的IPv4泛洪攻击、93,538个UDP分片攻击和816个IPv6攻击。在OpIsrael攻击期间,Radware发现了黑客组织Anonymous发布的预包装工具包,其中包括大量的GUI、图形用户界面和能够发起BlackOut、Anonymous外部攻击、DoSeR 2.0和LOIC等UDP泛洪攻击的工具。除此之外,在Mirai僵尸网络发布两个月之后,Radware还发现了2,395个来自于Mirai僵尸网络的UDP泛洪攻击。

  GRE

  2016年,Radware发现了一个全新的强大僵尸网络,该僵尸网络使用了通用路由封装(GRE)的作为攻击载体。在GRE泛洪攻击中,攻击者在封装数据包中携带了大量数据,并将这些数据包发送到可以解封数据包有效负载的目标网络。通过发送携带大量封装数据的GRE数据包,攻击者能够消耗并耗尽可以解封有效负载的网络资源。Mirai发布之后,Radware某客户就报告了一个流量在70-180 Gbps之间波动的GRE泛洪攻击。被封装的UDP数据包中含有512个字节的随机数据,Radware的DDoS防护措施能够成功缓解这种类型的攻击。

  Radware ERT预测,进入2017年之后,随着1 Tbps的攻击成为新的标准,拒绝服务攻击还将继续快速增长。由于IoT设备的使用和部署变得越来越广泛,Radware预计,因为IoT设备糟糕的安全性,攻击者将会找到IoT设备更多的漏洞,并将这些漏洞与Bashlite等其他僵尸网络结合起来进行攻击,很可能实现攻击规模记录。

评论(0)

您可以在评论框内@您的好友一起参与讨论!

<--script type="text/javascript">BAIDU_CLB_fillSlot("927898");