根據(jù)2016年第三季度DDoS情報報告,卡巴斯基實驗室專家注意到一種新的趨勢,即利用加密技術(shù)的攻擊數(shù)量有所增長。這類攻擊非常有效,因為要從大量正常流量請求中識別出這類加密攻擊非常困難。最近,卡巴斯基實驗室發(fā)現(xiàn)了更多這一趨勢的證據(jù),即—其利用WordPress漏洞發(fā)起的攻擊,但是攻擊是通過加密通道進(jìn)行的。
WordPress Pingback攻擊早在2014年就開始被使用。這種攻擊屬于放大類別攻擊,利用第三方服務(wù)器中存在的漏洞對受害者資源進(jìn)行攻擊。在WordPress Pingback攻擊中,包含漏洞的服務(wù)器的角色是由啟用了Pinback功能并且使用WordPress CMS制作的網(wǎng)站(通常為博客網(wǎng)站)扮演的。PIngback功能是為了自動向博客作者發(fā)送有關(guān)博文動態(tài)。攻擊者會向這些網(wǎng)站發(fā)送一條包含虛假回復(fù)地址的特殊定制HTTP請求,該地址就是受害者的地址,所以會收到所有回復(fù)。
這意味著網(wǎng)絡(luò)罪犯可以在不使用僵尸網(wǎng)絡(luò)的前提下,組織和發(fā)動一場高強(qiáng)度的HTTP GET洪水攻擊,而且這種攻擊相對簡單,成本較低。但是,放大的HTTP GET請求包含特定的信頭——User Agent,所以很容易在整體流量中檢測和攔截這類請求。
雖然卡巴斯基實驗室專家發(fā)現(xiàn)的最近發(fā)生的攻擊使用了相同的攻擊手段,但同“傳統(tǒng)”的WordPress Pingback攻擊不同,因為其是通過HTTPS而非HTTP進(jìn)行攻擊的。被攻擊目標(biāo)為一個新聞資源網(wǎng)站,而且是卡巴斯基實驗室的客戶。
“在攻擊中使用加密技術(shù)會讓檢測攻擊和抵御攻擊變得更為困難,因為需要流量解密去分析這些請求是“干凈”的還是“垃圾”請求,”卡巴斯基實驗室DDoS保護(hù)小組負(fù)責(zé)人Alexander Khalimonenko解釋說。“同時,這類攻擊還會給被攻擊資源的硬件造比普通攻擊更大的負(fù)擔(dān),因為建立加密連接需要使用更多的計算能力。另一個難點在于當(dāng)今的加密機(jī)制不循序第三方訪問流量內(nèi)容。在這一點上,安全解決方案只能重新考慮過濾算法,以便保護(hù)客戶抵御日益增長的采用加密技術(shù)的DDoS攻擊。”
卡巴斯基DDoS保護(hù)解決方案能夠為企業(yè)資源提供高效的多層級保護(hù),全面抵御幾乎任何復(fù)雜程度和強(qiáng)度的DDoS攻擊,包括上面提到的攻擊。