DDoS攻擊事件
2014年12月10日,爆發了營運商DNS網絡DDoS攻擊事件。從12月10日淩晨開始,現網監控到攻擊流量突增的情況,到上午11點開始,攻擊開始活躍,多個省份不斷出現網頁通路緩慢,甚至無法打開等故障現象。某省營運商遭遇的攻擊,高峰時竟然出現了高達6G的攻擊混合流量,對DNS網絡的沖擊可想而知。
經過分析樣本發現,12月10日的攻擊主要是針對多個域名(包括arkhamnetwork.org、arkhamnetwork.com、getfastinstagramfollowers.net)的随機查詢攻擊;11日淩晨攻擊出現變種,出現針對其他域名的攻擊,攻擊源主要來自各省内。攻擊者不僅在短暫的時間内發起了峰值大于6G bps的查詢請求(全國範圍内大于100G的攻擊),而且連續的變換二級域名,造成各省的DNS遞歸伺服器延遲增大,核心解析業務受到嚴重影響。
DDoS攻擊方法
分布式拒絕服務攻擊(DDoS)是拒絕服務攻擊(DoS)的一種,用分布式的用戶端,向服務提供者發起大量看似合法的請求,消耗或長期占用大量資源,進而達到拒絕服務的目的。依據消耗目标資源的不同可以将DDoS分為三類:網絡帶寬資源、系統資源及應用資源。(這方面的介紹請參看:你以為你了解DDoS嗎?)
這次攻擊發起的方式有兩種可能:一是攻擊者控制了大量被攻擊省内的殭屍電腦;二是利用攻擊工具模拟被攻擊省份的内網IP。向DNS的遞歸節點發起随機域名Flood,由于二級域名随機,且在遞歸伺服器的緩存中并不存在,遞歸伺服器需要不斷的疊代去查詢最終的結果,進而能進一步加劇了遞歸伺服器的負載,造成伺服器性能耗盡。
攻擊者調用大量殭屍電腦發起針對多個域名的随機查詢攻擊,由于本地DNS伺服器上沒有相應的記錄,需要向外遞歸查詢,極大的消耗了伺服器性能。
2014年DDoS攻擊事件分析
DDoS攻擊目的
“天下熙熙,皆為利來。天下攘攘,皆為利往。”雖然此次攻擊事件還沒有人或組織為之負責,但一般來說如今DDoS攻擊單純為破壞的可能性越來越小,從最終攻擊者擷取利益來說大多分為三類:敲詐勒索、實施報複及擷取競争優勢。
敲詐勒索:DDOS由于其攻擊的低廉成本,用來實施長期打擊,以便敲詐攻擊對象。國外的行情大概是按照DDoS攻擊的市場行價向攻擊目标索取3折的保護費,但其攻擊成本可能連1/10都不到。
實施報複:FBI總結人犯罪動機大多來自三類,信仰、金錢和女人。政治、偶像、團隊、理論維護等等都是信仰的範疇,還記得以前的69聖戰吧。不同的群體為了信仰站在一起,當這些信仰發生沖突的時候,報複在所難免。
擷取競争優勢:實體學中有“不穩定平衡”的概念,在商業競争中更是如此,老大想要穩坐第一,老二需要搏上位,老三想要搶份額,商業競争從誕生的第一天開始,就充滿了競争。合理的競争無可厚非,但總有一些人喜歡二兩撥千斤,DDoS這種本小利大的工具就被盯上了。其目的要麼是擷取時間優勢,要麼是打擊對手的聲譽。
DDoS攻擊防禦
在防護工具的選擇上,建議用具備專業DDoS防護能力的專業裝置。因為基礎的網絡安全裝置(FW、IPS等)不具備精準識别此類攻擊的能力,而且他們在攻擊過程中,本身就是脆弱的,極易成為第一塊倒下的多米諾骨牌;其次裝置的處理性能要高,本次攻擊從目前監測到的資料看,峰值流量已經接近10G,要求防護裝置具備高性能的特點。
在具體部署中,建議旁路部署,借助靈活的路由政策可實作清洗能力的共享。清洗能力可輕松覆寫全省,不留死角。
最後,在應急響應支援團隊的支援中,要聯系應急支援服務經驗豐富的團隊,以免造成大面積斷網。
綠盟科技攻防團隊在監控到攻擊發生後,立即啟動應急處理流程,截至目前,協助處理的各省的DDoS攻擊現象均已得到有效控制。
DDoS威脅報告
網絡安全威脅正在變得日益複雜,各類攻擊目标、手段及來源始終在不斷的發生着變化,随之企業及各類組織需要不斷關注這些發展态勢,以便能夠了解與預測未來可能遭遇的惡意攻擊,進而應對複雜變化所帶來的挑戰。
DDoS(分布式拒絕服務)作為網絡安全威脅中的典型攻擊手段,從誕生的那天起就從未停止,綠盟科技威脅響應中心對此予以重點及持續關注,同時定期釋出《DDoS威脅報告》,幫助大家:
- 持續了解及掌握DDoS威脅發展态勢
- 在遭遇到攻擊後,可以快速了解及檢測可能的傷害程度
- 不斷強化網絡安全意識,完善解決方案
此次DDoS攻擊事件,也收錄入《2014年綠盟科技DDoS威脅報告》,屆時會有更為全面的分析,敬請期待!
《2014H1綠盟科技DDoS威脅報告》請在這裡下載下傳:
http://www.nsfocus.com.cn/report/H1_2014_DDoS_THEATS_REPORT.pdf
《2014年綠盟科技DDoS威脅報告》将會刊登在綠盟科技安全+技術刊物上,請随時釋出頁面:
http://www.nsfocus.com.cn/6_about/6_9.html
綠盟科技安全團隊
綠盟科技安全團隊14年來,持續關注網際網路基礎安全,進行深入的安全攻防研究,并且在國内外設有30多個分支機構,以便能夠為客戶提供抗拒絕服務攻擊的專業安全服務。在此次攻擊事件中,來自各省份的分支機構安全團隊,也為控制事态發展提供了第一時間的回報及反擊DDoS的動作,為抗DDoS攻擊事件再次提供了一份解決方案。
綠盟科技還是國際雲安全聯盟的第一個亞太區企業成員,CSA中國分會理事理事趙糧,現任綠盟科技CTO。
2014年DDoS攻擊事件分析的相關文章請參看
DDoS攻擊防禦
你以為你了解DDoS嗎?
DDoS攻擊方式(資訊圖)
抗ddos裝置
DDoS異常流量清洗解決方案