新的研究表明由于越來越多的攻擊者將簡單服務(wù)發(fā)現(xiàn)協(xié)議(Simple Service Discovery Protocol, SSDP)作為目標(biāo)進(jìn)行攻擊，上個季度DDoS攻擊的平均規(guī)模持續(xù)增長，可預(yù)計將會有更多的企業(yè)遭到DDoS攻擊。

DDoS攻擊防護(hù)服務(wù)提供商Verisign公司總部位于弗吉尼亞州的雷斯頓，其第三季度分布式拒絕服務(wù)趨勢報告(Distributed Denial of Service Trends Report)收集了其提供抵御DDoS攻擊的企業(yè)客戶的數(shù)據(jù)。Verisign公司發(fā)現(xiàn)從第二季度到第三季度，DDoS攻擊帶寬超過10Gbps情況增長了38%，而且僅僅占Verisign攻擊監(jiān)控的所有此類攻擊的1/5。

出人意料的是，根據(jù)該報告，DDoS攻擊的整體平均規(guī)模從第二季度的12.42 Gbps降到了第三季度的6.46 Gbps。然而，Verisign的副總裁兼首席安全官Danny McPherson說，第二季度異常高的數(shù)據(jù)主要是由于單個UDP洪水式的DDoS攻擊超過了300Gbps。如果將這個異常從統(tǒng)計數(shù)據(jù)中消除，那么第二季度平均指數(shù)下跌到4.60 Gbps，意味著平均攻擊規(guī)模在第三季度環(huán)比增長了40%，而且已經(jīng)增長了5個季度。

Verisign指出除了規(guī)模這個因素，上個季度DDoS攻擊的目標(biāo)被擊中的頻率比以往任何時候都要大。據(jù)報告，平均而言，一個典型的目標(biāo)在本季度面臨3.33個DDoS攻擊，這一數(shù)字顯著高于今年前兩個季度。

反病毒廠商卡巴斯基(Kaspersky)實驗室新發(fā)布的研究也顯示了可能受到DDoS攻擊的企業(yè)數(shù)量?；趯碜?7個國家共3900個企業(yè)(大多數(shù)是中型企業(yè))受訪者的調(diào)查，卡巴斯基(Kaspersky)發(fā)現(xiàn)，18%的企業(yè)在2013年4月到2014年5月期間經(jīng)歷過DDoS攻擊。

卡巴斯基(Kaspersky)表示，DDoS攻擊似乎變得越來越針對具體的行業(yè)和地區(qū)。例如，38%運營面向公眾的在線服務(wù)的企業(yè)或提供金融服務(wù)的企業(yè)遭到攻擊。同一時間，中國的企業(yè)也面臨不成比例的DDoS攻擊，34%此類公司也成為攻擊目標(biāo)。

SSDP：DDoS攻擊的新寵

至于什么在一直推動高容量的DDoS攻擊不斷增長，McPherson說有兩個首要因素。首先，攻擊者已經(jīng)不再依賴于主要由上傳速度低的家庭系統(tǒng)組成的僵尸網(wǎng)絡(luò)，因為具有更大互聯(lián)網(wǎng)管道的網(wǎng)頁服務(wù)已經(jīng)變得相對容易妥協(xié)。

McPherson指出另一個因素是攻擊者已經(jīng)越來越多地發(fā)現(xiàn)一些低調(diào)的收斂性網(wǎng)絡(luò)協(xié)議，它們有著較大的放大系數(shù)，對于DDoS攻擊來說是非常完美的。今年早些時候，攻擊者使用網(wǎng)絡(luò)時間協(xié)議(NTP)來發(fā)動DDoS攻擊，幾乎觸及400 Gbps的帶寬，是有史以來監(jiān)測到的最大規(guī)模之一。這是因為網(wǎng)絡(luò)時間協(xié)議(NTP)放大系數(shù)達(dá)到700，與此同時，域名系統(tǒng)(DNS)出于同樣的原因，長期以來一直是DDoS攻擊喜歡的攻擊目標(biāo)。

第三季度，Verisign發(fā)現(xiàn)了第一例利用SSDP的攻擊。SSDP用于網(wǎng)絡(luò)服務(wù)的發(fā)現(xiàn)和通用即插即用(Universal Plug-and-Play)。McPherson指出，Verisign這個季度幫助防御的DDoS攻擊中大約有40%利用了SSDP。他還指出該協(xié)議放大系統(tǒng)為30，這使得它被濫用，而且成為Verisign客戶最近面臨的高容量DDoS攻擊的驅(qū)動因素。盡管針對SSDP的DDoS攻擊可能沒有達(dá)到網(wǎng)絡(luò)時間協(xié)議(NTP)和域名系統(tǒng)(DNS)產(chǎn)生的規(guī)模，但是Verisign發(fā)現(xiàn)這類攻擊仍然能達(dá)到近15Gbps的帶寬。

DDoS攻擊防護(hù)提供商Arbor Networks總部位于馬薩諸塞州的伯靈頓，其在10月份的一次展示中也推出了證據(jù)表明，針對SSDP的DDoS攻擊變得越來越普遍。Arbor的研究人員檢測到第三季度有將近30,000個針對SSDP的DDoS。這種攻擊占據(jù)了9月份所有DDoS的9%，而且這個月42%的攻擊超過了10Gbps帶寬。因此，Arbor發(fā)現(xiàn)在這一季度DDoS上漲大于1Gbps。

McPherson推測，攻擊者對于SSDP的最初興趣可能來源于安全研究員Christian Rossow 2月發(fā)布的一份研究報告：“"Amplification Hell: Revisiting Network Protocols for DDoS Abuse”，該報告認(rèn)為SSDP的放大因素可能會導(dǎo)致其成為DDoS攻擊的目標(biāo)。不過，McPherson說，攻擊者轉(zhuǎn)移到SSDP協(xié)議，因為它不僅類似于前面所提到的目標(biāo)如網(wǎng)絡(luò)時間協(xié)議(NTP)，而且該協(xié)議已經(jīng)在多于1500萬網(wǎng)絡(luò)互連設(shè)備上啟用。

McPherson說，大多數(shù)這些協(xié)議對于一個企業(yè)環(huán)境來說實際上并不是必要的，其實這使得很多情況下答案變得很簡單。

“大多數(shù)人甚至不知道企業(yè)環(huán)境中啟用了SSDP，而他們很可能都沒有使用過這個協(xié)議。如果你不使用一個協(xié)議或應(yīng)用程序或服務(wù)，最好是關(guān)掉。”

“其次是確保在網(wǎng)絡(luò)外圍，只允許用戶應(yīng)該連接的協(xié)議被使用。從安全的角度來看，這是一個良好的習(xí)慣。”