今天,分布式拒绝服务***已经和我们在千禧年的开端所见到的婴儿期的DDoS不同。它们变得越来越精致和狡猾,而且造成的后果也远不只让服务器宕机这么简单。
在DDoS刚兴起的早期,大体量的***很流行。受政治或经济因素驱动的***者会控制成千上万个“肉鸡”来对某个特定目标发动***,从而宕掉他们的服务器。虽然这样的***现在也很常见,但是越来越多的***者开始倾向于更为复杂的***——“暗黑”DDoS,也可以称之为烟幕***。
“发动DDoS***的目的是为了掩盖真实的***,偷取数据。
一家专门研究和模拟DDoS***的咨询公司 Nimbus DDoS表示,在这种模式下,***者并不会利用拒绝服务来敲诈或是报复他们的目标;相反,这只是一种达到最终结果的手段。***者发动这样的***可以误导目标机构的管理员,并挤占有价值的时间和资源以至于他们无暇顾及内部网络发生的其它安全事件。
这是一种针对人而不是基础设施的***。关键点在于尽可能长时间地拖住目标机构的工作人员,而这是使拥有合格人员的安全运维中心彻底瘫痪的最有效的办法之一。
暗黑DDoS***只是为了搞掉目标的网络的可见性,大多数情况下,流量洪峰将致使网络设备上某些探测异常行为的工具不能有效工作或者完全失效。这些设备通常设有一个阈值,如果通信量过大它就无法再继续工作,所以这些***就会逃过过滤,被设备默认为进入目标网络。
暗黑技巧
一场暗黑DDoS***通常都是一个更复杂犯罪的标志。对于工程师而言,一场这样的***会误导目标对于其它安全事件的判断。如果***者处理得当,它甚至可以通过强迫目标公司的管理人员因难于处理通信量问题改变他们的基础设施,从而产生意想不到的效果。事实上,在某些情况下,网络运营或者安全部门的人员确实会降低他们在流程上的安全性以应对流量洪峰。
不像传统的***,暗黑DDoS的***者不会试图通过毁灭性的流量洪峰使目标宕机。因为下线反而令***无法继续。暗黑DDoS***的特征往往和我们平时所能看到的那些针对企业的大体量***不同,比如经常是不到1Gbit每秒的***,用以产生大量的安全事件,以及有效的掩盖***。
而且,暗黑DDoS的出现会逐渐改变DDoS的运作方式。当然,我们仍可以看到数百Gbit每秒的***,但是它们的规模会越来越小,更具针对性而且持续时间更短。有很多统计均显示, 小于1Gbit每秒量级的DDoS***越来越多,超过95%的***仅持续了30分钟甚至更短。
“危险不在于‘拒绝服务’,而在于***本身。
暗黑DDoS为更复杂的以偷取数据为主要目的***留出足够的带宽,并且消耗防护资源、使安全人员分心,以掩盖真正的***。
而且这种***可以避开那些用来应付大体量的DDoS***的流量清洗技术,因此应该把暗黑DDoS视作一种严重威胁来考虑。
真实的暗黑DDoS***什么样?
大多数***都始于对整个网络的扫描以便找到一个潜在的入口,而扫描行为是非常容易观察到的,所以烟幕***可以被用来模糊这种行为使你很难发现它。
***者进入网络后同样会使用烟幕***来隐藏他们的活动。因为***者无法确切地知道他们会在目标的网络环境中留下什么痕迹。要知道,从目标网络中拖走客户数据库或者大量的信息资产是很容易被发现的。于是,用于掩盖行为的“烟幕”会非常有帮助。
即使有了“烟幕”的帮助,***者还会在目标机构的网络变换技巧,不断地尝试以找出在当前网络环境中最有效的办法,给保护系统的安全人员带来了很大的困难。
数年前,研究人员就发现了一个暗黑DDoS***,以转移系统管理员的注意力,然后在DDoS***的掩盖下,使用伪造的自动清算转账(ACH)从被***的账户中盗取资金。
最为公众熟知的一暗黑DDoS***的实例,就是去年10月发生的TalkTalk数据泄露事件。在这起事件中,***者用大流量淹没了企业的网站,在工作人员疲于应付的时候,进入系统盗取客户数据。类似的还有,今年八月,欧洲最大的移动电话零售商 Carphone Warehouse 在被大流量***淹没后,240万的客户个人数据泄露。
保持警惕
但暗黑DDoS***并非万能,它也是可以被检测到的。
首先需要了解自己的网络服务,了解正常的通信流量。可以通过一些培训去帮助运维人员识别小体量的DDoS,并且把这种***作为需要对可疑活动监测的标识。
“虽然金融机构是暗黑DDoS的主要目标,但金融并不是唯一一个被这种***瞄准的行业。”
DDoS***与日俱增,并且简单地破坏企业的网络已不再是***者的唯一目标。它很可能是更更具危险与破坏力的潜在威胁的征兆,正所谓:山雨欲来风满楼。