在2012年第三季度,DDoS攻擊的數(shù)量減少了,但所使用的平均帶寬增加了,Prolexic指出,據(jù)DDoS攻擊防護(hù)供應(yīng)商Prolexic的研究人員稱,今年分布式拒絕服務(wù)(DDoS)攻擊所使用的平均帶寬超過(guò)20Gbps已經(jīng)是司空見(jiàn)慣的事情了。
安全設(shè)備提供商Prolexic總裁Stuart Scholly表示,在去年,高帶寬的DDoS攻擊只是一些少數(shù)的孤立事件。但是在今年,占用20Gbps的DDoS攻擊已經(jīng)越來(lái)越普遍。這一變化很重要,因?yàn)闃O少有公司或者組織擁有可以抵御這種程度攻擊的設(shè)備。像谷歌,臉書(shū)這種擁有高訪問(wèn)量網(wǎng)站的國(guó)際性大公司或許有能力抵御這種高帶寬的泛紅攻擊,但是大多數(shù)的公司并不能做到。
Prolexic計(jì)劃對(duì)其自有的基于云的DDoS防御設(shè)施進(jìn)行擴(kuò)容,從而可以跟上持續(xù)增長(zhǎng)的高帶寬泛洪攻擊。該公司在10月17日發(fā)布了2012年第三季度全球DDoS攻擊報(bào)告。報(bào)告顯示,攻擊的數(shù)量比去年同期增長(zhǎng)了88%,然而,與2012年第二季度相比,攻擊的數(shù)量實(shí)際上下降了14%。在2012年第三季度,攻擊所占用的平均帶寬為4.9Gbps,比去年同期增長(zhǎng)了230%,較上一季度增長(zhǎng)了11%。而且,攻擊的平均持續(xù)時(shí)間也較第二季度稍長(zhǎng),為19小時(shí)。
報(bào)告中還顯示,81%的攻擊目標(biāo)為基礎(chǔ)設(shè)施層,18.6%的攻擊目標(biāo)為應(yīng)用層以及特定應(yīng)用程序所使用的協(xié)議。而美國(guó),中國(guó)和印度則分別以35%,28%,8%的比例位列世界三大DDoS的攻擊源國(guó)家。
對(duì)于高帶寬的DDoS攻擊來(lái)說(shuō),攻擊的策略也發(fā)生了一些變化。目前看來(lái),傳統(tǒng)的攻擊手法是通過(guò)被控制的“肉雞”(個(gè)人電腦和服務(wù)器)組成僵尸網(wǎng)絡(luò)進(jìn)行攻擊。然而,攻擊者正在嘗試對(duì)這一方法進(jìn)行一些改變和升級(jí)。通過(guò)尋找服務(wù)器上低版本W(wǎng)eb應(yīng)用程序的漏洞來(lái)獲取該服務(wù)器的權(quán)限,從而在其上安裝基于PHP的DDoS工具包來(lái)進(jìn)行攻擊。比如,"itsoknoproblembro"這個(gè)工具包在近期就被發(fā)現(xiàn)用來(lái)攻擊美國(guó)的一些金融機(jī)構(gòu)和一些其他行業(yè)的公司。
這款工具包是否已經(jīng)在地下黑市被銷售了尚不確定,但是,有證據(jù)表明,它在不斷地被完善并且已經(jīng)被很多黑客組織使用。攻擊者甚至不需要為了安裝這個(gè)工具包而獲取root權(quán)限。Scholly說(shuō)到。
"itsoknoproblembro"可以讓攻擊者對(duì)于在攻擊過(guò)程中所遇到的防御措施有更快的反應(yīng)。也可以使攻擊者在遇到可能的“抵抗”時(shí)快速地對(duì)于攻擊策略進(jìn)行調(diào)整。因?yàn)樗麄儙缀蹩梢粤⒓唇o裝有這個(gè)工具包的被感染服務(wù)器發(fā)送指令。而對(duì)于傳統(tǒng)僵尸網(wǎng)絡(luò)來(lái)說(shuō),他們不得不等待僵尸主機(jī)定期地從服務(wù)器獲取新的指令。
“itsoknoproblembro”工具包能夠同時(shí)攻擊一個(gè)網(wǎng)站的基礎(chǔ)設(shè)施層和應(yīng)用層,并且對(duì)泛紅攻擊的目標(biāo)產(chǎn)生持續(xù)的高帶寬攻擊,其峰值可達(dá)70Gbps。此外,Prolexic發(fā)現(xiàn)流量的簽名異常復(fù)雜,因此,很難將攻擊流量重新路由到遠(yuǎn)離目標(biāo)的地方。
Prolexic在其報(bào)告中還指出,低版本的應(yīng)用程序和菜鳥(niǎo)服務(wù)器管理員是難以清除"itsoknoproblembro"感染的兩大原因。該公司還計(jì)劃發(fā)布一個(gè)公共咨詢事務(wù),包括對(duì)于"itsoknoproblembro"工具包的變種產(chǎn)生的DDoS攻擊,幫助其他公司檢測(cè)并且抵御此類攻擊。