歐洲反垃圾郵件組織Spamhaus遭受了分布式拒絕服務(wù)攻擊(DDoS)，這次攻擊因其規(guī)模巨大而受到廣泛的關(guān)注，被認(rèn)為是史上最大的DDos攻擊，。從DDoS攻擊趨勢(shì)來(lái)看，隨著帶寬的增加，有針對(duì)性的攻擊正在不斷上升，對(duì)此，DDoS攻擊防護(hù)服務(wù)供應(yīng)商很擔(dān)憂。

CloudFlare是負(fù)責(zé)幫助Spamhaus處理DDoS攻擊的公司，該公司首席執(zhí)行官M(fèi)atthew Prince表示，盡管報(bào)告速度達(dá)到300Gbps，處理工作還是相對(duì)比較容易，因?yàn)閿?shù)據(jù)包能被丟棄在他們的路由器中。

Prince稱，相比之下，最討厭的攻擊是那些針對(duì)底層應(yīng)用邏輯的攻擊，這種攻擊通常會(huì)試圖利用應(yīng)用層協(xié)議中的某種限制，例如，web服務(wù)器可能只會(huì)處理一定數(shù)量的會(huì)話，這樣，攻擊者就會(huì)嘗試超過(guò)這個(gè)閾值。

登錄系統(tǒng)是攻擊者最喜愛(ài)的目標(biāo)之一，攻擊者會(huì)不斷向系統(tǒng)發(fā)送用戶名和密碼請(qǐng)求，但他們不會(huì)試圖通過(guò)暴力破解來(lái)猜測(cè)正確的信息，他們只是想讓系統(tǒng)處理大量虛假的請(qǐng)求。

“他們使用不正確的用戶名和密碼組合，每個(gè)登錄請(qǐng)求都會(huì)到達(dá)數(shù)據(jù)庫(kù)，如果攻擊者發(fā)送假的請(qǐng)求，沒(méi)有經(jīng)過(guò)檢查的話，應(yīng)用將沒(méi)有辦法知道請(qǐng)求是假的，”Prince表示，“這樣，數(shù)據(jù)庫(kù)將面對(duì)龐大的垃圾請(qǐng)求，最終將崩潰，導(dǎo)致所有人都無(wú)法登錄。”

DDoS防護(hù)供應(yīng)商Prolexic公司信息安全經(jīng)理David Fernandez表示，犯罪團(tuán)伙的手段日益復(fù)雜，他們已經(jīng)開(kāi)始瞄準(zhǔn)應(yīng)用層。根據(jù)Prolexic對(duì)DDoS攻擊趨勢(shì)的報(bào)告顯示，在2013年第一季度，7層網(wǎng)絡(luò)攻擊占該公司面對(duì)的所有DDoS攻擊的25%。該報(bào)告還提到，應(yīng)用層攻擊(例如HTTP GET和HTTP POST洪水攻擊)已經(jīng)成為DDoS攻擊工具包中流行的攻擊，DDoS工具包是簡(jiǎn)化以及自動(dòng)化執(zhí)行DDoS攻擊的工具集。

很多這些攻擊帶來(lái)很大挑戰(zhàn)，因?yàn)樗鼈儾⒉灰欢▊?cè)重于帶寬，而是利用大量并發(fā)連接。“這些請(qǐng)求規(guī)模相對(duì)較小，它們都是非偽造的IP地址，所以它們可以通過(guò)三方握手和防欺騙機(jī)制，直接連接到你的root頁(yè)面，并持續(xù)不斷地制造更多連接，”Fernandez表示，“有效的7層網(wǎng)絡(luò)攻擊有10萬(wàn)個(gè)并發(fā)連接，這通常是我們需要阻止的事情，但實(shí)際帶寬相對(duì)比較低。2Gbps的攻擊基本上會(huì)創(chuàng)造20萬(wàn)個(gè)并發(fā)連接，這會(huì)影響企業(yè)。”

供應(yīng)商Arbor Networks全球銷售工程和運(yùn)營(yíng)副總裁Carlos Morales表示，這種低帶寬、高并發(fā)連接攻擊是很大的挑戰(zhàn)，主要是因?yàn)樗鼘?duì)網(wǎng)絡(luò)帶寬的影響極其微小。僵尸網(wǎng)絡(luò)有很多主機(jī)能夠連接到web服務(wù)器，并向服務(wù)器發(fā)送少量數(shù)據(jù)包來(lái)保持連接，從而導(dǎo)致用于其它客戶端的可用服務(wù)器連接數(shù)量減少。

“從網(wǎng)絡(luò)的角度來(lái)看，這真的是防不勝防;大部分時(shí)候，人們會(huì)說(shuō)，‘為什么我的服務(wù)器不能正常工作?我的網(wǎng)絡(luò)顯示流量并沒(méi)有明顯增長(zhǎng)啊’，”Morales指出，“然后他們會(huì)發(fā)現(xiàn)‘通常這個(gè)時(shí)候我只有1萬(wàn)名用戶，而現(xiàn)在卻有150萬(wàn)用戶。’這是因?yàn)楣粽呤冀K在保持連接。”

Morales表示，在了解潛在目標(biāo)的攻擊面時(shí)，攻擊者確實(shí)做了很多功課。例如，一家銀行可能需要為其網(wǎng)上銀行用戶處理大量SSL加密流量，攻擊者就會(huì)部署專門的方法來(lái)針對(duì)這種流量。攻擊者的目的就是弄清楚你的薄弱環(huán)節(jié)，然后趁虛而入。#p#

平均數(shù)字各不相同，但整體在增長(zhǎng)

雖然DDoS攻擊趨勢(shì)顯示，攻擊者并不僅依靠帶寬來(lái)執(zhí)行攻擊，攻擊的整體規(guī)模仍然可能讓企業(yè)措手不及。CloudFlare公司的Prince指出，20世紀(jì)90年代和2000年代的僵尸網(wǎng)絡(luò)依賴于感染家用電腦來(lái)發(fā)送攻擊，而現(xiàn)在，攻擊者開(kāi)始感染web服務(wù)器(包括WordPress和消費(fèi)應(yīng)用的服務(wù)器)，這些服務(wù)器連接到相對(duì)“粗的管道”。

在高帶寬DDoS攻擊中，地理因素也發(fā)揮著一定作用，犯罪團(tuán)伙試圖利用各個(gè)國(guó)家的基礎(chǔ)設(shè)施的優(yōu)勢(shì)。例如，Arbor發(fā)現(xiàn)，從全球范圍來(lái)看，韓國(guó)是第三大DDoS流量來(lái)源，僅次于中國(guó)和美國(guó)。Morales認(rèn)為，這主要是韓國(guó)互聯(lián)網(wǎng)服務(wù)供應(yīng)商提供的可用的帶寬量，很多家庭都有光纖連接。

Prolexic還發(fā)現(xiàn)了全球DDoS攻擊環(huán)境中一個(gè)顯著的趨勢(shì)，在其2013年第一季度報(bào)告中，5個(gè)不同的南美國(guó)家排在惡意流量來(lái)源的前20位。這個(gè)結(jié)果部分是因?yàn)槟厦乐扌屡d的互聯(lián)網(wǎng)基礎(chǔ)設(shè)施，但他指出，犯罪團(tuán)伙正在瞄準(zhǔn)除傳統(tǒng)DDoS來(lái)源國(guó)之外的國(guó)家來(lái)利用更多地區(qū)的優(yōu)勢(shì)。

雖然專家一致認(rèn)為DDoS攻擊的規(guī)模正在不斷增長(zhǎng)，但我們很難得出一個(gè)平均數(shù)字。Prolexic聲稱平均規(guī)模是48.25Gbps，而Arbor的2013年第一季度數(shù)據(jù)顯示平均規(guī)模為1.77Gbps。Prince指出，CloudFlare發(fā)現(xiàn)DDoS攻擊每天超過(guò)30Gbps到40Gbps，但他沒(méi)有給出平均值，因?yàn)?ldquo;有太多變量在不斷變化”。

存在這種差異性的部分是因?yàn)镻rolexic和CloudFlare都是專注于DDoS防護(hù)的云基礎(chǔ)設(shè)施公司，這意味著，只有當(dāng)發(fā)展到不可收拾的時(shí)候，他們才會(huì)處理攻擊。相比之下，Arbor提供企業(yè)內(nèi)部部署的DDoS檢測(cè)產(chǎn)品，其最高容量產(chǎn)品包含40Gbps端口。Morales指出，Arbor的產(chǎn)品能夠擴(kuò)展到2Tbps，目前還沒(méi)有攻擊能夠超越這種水平的容量，盡管在未來(lái)可能出現(xiàn)特定部署超越這個(gè)容量。

Arbor不僅提供企業(yè)內(nèi)部部署的產(chǎn)品，該公司同時(shí)也涉足基于云的DDoS防護(hù)領(lǐng)域。Arbor是云信令聯(lián)盟(Cloud Signaling Coalition)背后的主要推動(dòng)力，這個(gè)聯(lián)盟是互聯(lián)網(wǎng)服務(wù)提供商(ISP)和運(yùn)行Arbor設(shè)備來(lái)緩解DDoS威脅的企業(yè)的聯(lián)盟。Arbor的內(nèi)部部署設(shè)備允許企業(yè)客戶在超出帶寬限制時(shí)向云服務(wù)供應(yīng)商(在這種情況下，主要是由ISP運(yùn)行)尋求幫助。

“他們基本會(huì)說(shuō)，‘我受到了攻擊，請(qǐng)幫助我’，”Morales表示，“這使企業(yè)供應(yīng)商非常緊密地結(jié)合在一起來(lái)對(duì)抗攻擊，而這是只有少量開(kāi)支的單個(gè)企業(yè)無(wú)法實(shí)現(xiàn)的。”