1996年9月，紐約的互聯(lián)網(wǎng)服務提供商遭遇洪水流量而癱瘓。由黑客控制的計算機每秒發(fā)送高達150次的連接請求，遠遠超過處理能力。這是互聯(lián)網(wǎng)遭遇的第一個重大DDoS攻擊。

[[179279]]

SRI International的安全專家Peter Neumann當時表示，“從原則上講，我們對大多數(shù)DoS攻擊無計可施?；旧蠠o法解決通用問題。” 現(xiàn)在依然如此。二十年來，DDoS攻擊規(guī)模呈指數(shù)增長，大部分互聯(lián)網(wǎng)仍很脆弱。專家表示，易受攻擊的新聯(lián)網(wǎng)設備不斷擴散，例如恒溫器和安全攝像機，再加上互聯(lián)網(wǎng)本身的架構，意味著DDoS攻擊將在可預見的未來揮之不去。不只是單純使網(wǎng)站下線，DDoS攻擊開始成為重大威脅。

互聯(lián)網(wǎng)監(jiān)控公司Arbor Networks表示， 2011年至2014年，全球DDoS攻擊量增加了30倍以上。據(jù)Arbor Networks統(tǒng)計，最強大的DDoS攻擊每年都在發(fā)生。

DDoS攻擊強度也愈來愈大。9月與10月發(fā)生的一系列DDoS攻擊創(chuàng)歷史新高，流量每秒達千兆比。由此證明，DDoS能壓垮互聯(lián)網(wǎng)上最佳的防御。這一系列DDoS攻擊的受害對象包括托管服務網(wǎng)站、域名服務提供商、大型內容分發(fā)網(wǎng)絡和知名安全博客網(wǎng)站Brian Krebs。

9月和10月的DDoS攻擊被認為由Mirai發(fā)起。Mirai是一款惡意軟件，允許黑客劫持聯(lián)網(wǎng)設備。這些聯(lián)網(wǎng)設備出廠默認密碼較弱，用戶懶于修改密碼或根本不知道如何修改。Mirai追蹤這些設備，劫持并納入“僵尸網(wǎng)絡”發(fā)起DDoS攻擊，并查找與感染其它設備。

關鍵基礎設施技術研究所在最近一篇論文中表示，人們對僵尸網(wǎng)絡并不陌生，但Mirai將僵尸網(wǎng)絡提上新臺階。研究人員表示，僵尸網(wǎng)絡是黑客定制的“開發(fā)平臺”，代碼被公開在某黑客論壇，人們可以發(fā)揮創(chuàng)新。過去幾個月內，人們認為Mirai已被用來攻擊芬蘭兩棟居民樓的供熱系統(tǒng)以及幾個俄羅斯銀行的在線服務。

研究人員推測，黑客可以定制Mirai帶來更大的損害，例如摧毀電網(wǎng)。9月，安全專家Bruce Schneier提出證據(jù)表明，大國—中國或俄羅斯(可能性最大)一直在測試某些公司(負責運營美國互聯(lián)網(wǎng)基礎設施關鍵部分)的薄弱環(huán)節(jié)。未來，Mirai之類的惡意軟件發(fā)起DDoS攻擊，利用大量安全性能差的聯(lián)網(wǎng)設備，可能會成為新型戰(zhàn)爭的一部分。

目前，針對DDoS攻擊的主要防御手段是純粹的蠻力破解。這是托管公司提供的防御方法。如果客戶遭到DDoS攻擊，該托管提供商只簡單分配更多的服務器處理流量洪水。但最新的攻擊表明，僵尸網(wǎng)絡的力量增長過快，即使最大的提供商也難以抵抗。

這種方法會阻止常見的DDoS攻擊 —“反射”(Reflection)攻擊。黑客將信息發(fā)送至僵尸網(wǎng)絡，信息看似源自目標IP地址(例如通過虛假回郵地址發(fā)送郵件)，從而導致僵尸網(wǎng)絡攻擊該目標。 推薦的修復方案為BCP38安全標準。BCP38可以防止虛假地址發(fā)送DNS請求。這個安全標準已經(jīng)存在長達16年之久。如果所有互聯(lián)網(wǎng)服務提供商在路由器上實施BCP38，要發(fā)起最強大的DDoS攻擊將更為困難。

倫敦大學瑪麗皇后學院互聯(lián)網(wǎng)路由協(xié)議研究專家Steve Uhlig表示，“但大量網(wǎng)絡和互聯(lián)網(wǎng)服務提供商打破了這個想法。切記，整個互聯(lián)網(wǎng)有超過5萬個網(wǎng)絡，如果最重要、最具影響力的網(wǎng)絡按照該標準實施，但大量小運營商不這樣做，DDoS攻擊照樣可以橫行互聯(lián)網(wǎng)?；ヂ?lián)網(wǎng)核心的大型網(wǎng)絡能如此實施并過濾，但他們能減少的攻擊數(shù)量有限。”

互聯(lián)網(wǎng)的分散式設計賦予互聯(lián)網(wǎng)優(yōu)勢，但同時也將迅速成為最大弱點的根源所在。