Radware：2016年攻擊趨勢

2017年01月11日16:03 來源：電腦商情網(wǎng)T|T

【移動通信網(wǎng)】就拒絕服務(wù)攻擊而言，2016年應(yīng)該算是多事之秋了。在這一年里，整個行業(yè)遭遇了有史以來規(guī)模最大的攻擊，并出現(xiàn)了很多測試并挑戰(zhàn)現(xiàn)代防御措施的新攻擊方法。每年，RadwareERT團(tuán)隊都會檢測到數(shù)以百萬計的攻擊，ERT研究人員全年也在不斷地回顧并分析這些攻擊，以便更深入地了解攻擊載體現(xiàn)狀的趨勢和改變。

在2016年，攻擊者最常用的兩個攻擊是突發(fā)式攻擊，又名“打了就跑”攻擊，另一個是高級持續(xù)性拒絕服務(wù)(ApDoS)攻擊。Radware發(fā)現(xiàn)許多攻擊者使用了隨機(jī)間隔的高容量突發(fā)式攻擊，這些攻擊可以持續(xù)數(shù)周，包含有多個可以同時攻擊所有網(wǎng)絡(luò)層的攻擊載體。這些類型的攻擊很可能引發(fā)網(wǎng)絡(luò)服務(wù)器SLA的頻繁中斷，并阻礙合法用戶訪問服務(wù)。

另一方面，黑客也在尋求可以實行網(wǎng)絡(luò)癱瘓式攻擊的新載體和方法。2016年，Radware注意到物聯(lián)網(wǎng)(IoT)被廣泛用于創(chuàng)建強(qiáng)大的僵尸網(wǎng)絡(luò)，以及BlackNurse、ICMP攻擊等許多新的攻擊載體。最值得注意的是某用戶在HackForum上發(fā)布的Mirai僵尸網(wǎng)絡(luò)源代碼。該僵尸網(wǎng)絡(luò)利用了在基于BusyBox的IoT設(shè)備上發(fā)現(xiàn)的60多個出廠默認(rèn)憑證，創(chuàng)建了迄今為止最為強(qiáng)大的僵尸網(wǎng)絡(luò)。Mirai背后更令人關(guān)注的因素之一就是通用路由封裝(GRE)攻擊載體。這一相對較新的方法在數(shù)據(jù)包中封裝了包含大量的數(shù)據(jù)，試圖使接收網(wǎng)絡(luò)因解封負(fù)載時而耗盡資源。

來自RadwareERT的5大DDoS載體

HTTP/s

2016年，RadwareERT發(fā)現(xiàn)了385,000個以上針對客戶發(fā)起的HTTP泛洪攻擊。HTTP泛洪攻擊是黑客用于攻擊Web服務(wù)器和應(yīng)用的一種攻擊方法。HTTP泛洪攻擊由一組發(fā)送到目標(biāo)服務(wù)器的看似合法的基于會話的HTTPGET或POST請求組成。為了增強(qiáng)整體的攻擊能力，通常會通過僵尸網(wǎng)絡(luò)大批量發(fā)送這類請求，但同時也會利用HULK和SlowLoris等DoS工具發(fā)起攻擊。HULK是一個簡單的泛洪攻擊工具，可以為每個請求生成獨(dú)特的HTTP請求。藉此，HULK可以幫助攻擊規(guī)避緩存技術(shù)，直接攻擊服務(wù)器。在今年的OpIcarus攻擊中，攻擊者采用了HULK、SlowLoris、TorsHammer和Slowhttp等許多L7DoS工具。

DNS

DNS泛洪攻擊是針對特定應(yīng)用的UDP泛洪攻擊的變體。由于DNS服務(wù)器使用UDP進(jìn)行名稱解析，因此向DNS服務(wù)器發(fā)送大量DNS請求可以消耗其資源，進(jìn)而引發(fā)服務(wù)降級和對合法請求的響應(yīng)時間變慢。DNS放大攻擊是可以利用DNS服務(wù)器工作方式來放大攻擊流量的復(fù)雜拒絕服務(wù)攻擊。攻擊者向多個DNS服務(wù)器發(fā)送高速率的簡短DNS查詢內(nèi)容，使服務(wù)器將完整的DNS記錄列表發(fā)送給受害者。由于攻擊者每發(fā)送一個簡短DNS查詢，DNS服務(wù)器就會回復(fù)更大的針對受害者的響應(yīng)內(nèi)容，因此攻擊者可以把攻擊放大。迄今為止，RadwareERT團(tuán)隊發(fā)現(xiàn)超過130,000個針對AAAA記錄的DNS泛洪攻擊，其中48個攻擊來自Mirai僵尸網(wǎng)絡(luò)。

TCP

TCP泛洪攻擊是一種使用時間最長卻仍受歡迎的拒絕服務(wù)攻擊。TCP攻擊的最常見形式包括向受害者服務(wù)器發(fā)送大量的SYN數(shù)據(jù)包。此攻擊是通過濫用創(chuàng)建會話的三次握手規(guī)則來淹沒目標(biāo)服務(wù)器的會話表。服務(wù)器需要為每個到達(dá)的數(shù)據(jù)包打開一個狀態(tài)，攻擊者利用攻擊流量填充這些表格，進(jìn)而導(dǎo)致服務(wù)器無法處理合法流量。2016年，RadwareERT發(fā)現(xiàn)大量TCP攻擊，如：TCP-SYN、25,081、FIN-ACK、17,264和SYN-ACK、14,758。RadwareERT還發(fā)現(xiàn)了來源于Mirai的名為TCPSTOMP的攻擊。這是一個典型的ACK泛洪攻擊，Mirai在獲得合法序列號之后才開始ACK泛洪攻擊，從而增加了它繞過安全解決方案的可能性。在反奧運(yùn)攻擊(OpOlympicHacking)期間，黑客組織Anonymous發(fā)布了一個GUI工具，允許組織成員通過Tor針對預(yù)先定義的與比賽有關(guān)的組織發(fā)起TCPPSH+ACK泛洪攻擊。

UDP

UDP泛洪攻擊是一種網(wǎng)絡(luò)泛洪攻擊，也是當(dāng)前最常見的泛洪攻擊之一。攻擊者會將UDP數(shù)據(jù)包發(fā)送到單一目的端口或隨機(jī)端口。在多數(shù)情況下，由于UDP協(xié)議采用了無連接傳輸模式，沒有任何類型的握手機(jī)制或會話，因此攻擊者能夠假冒源IP。UDP攻擊的目的是通過高容量攻擊堵塞互聯(lián)網(wǎng)管道。簡單而言，UDP泛洪攻擊通過大量濫用正常行為的方式引發(fā)目標(biāo)網(wǎng)絡(luò)的擁塞和服務(wù)降級。2016年，RadwareERT發(fā)現(xiàn)了超過50萬的IPv4泛洪攻擊、93,538個UDP分片攻擊和816個IPv6攻擊。在OpIsrael攻擊期間，Radware發(fā)現(xiàn)了黑客組織Anonymous發(fā)布的預(yù)包裝工具包，其中包括大量的GUI、圖形用戶界面和能夠發(fā)起B(yǎng)lackOut、Anonymous外部攻擊、DoSeR2.0和LOIC等UDP泛洪攻擊的工具。除此之外，在Mirai僵尸網(wǎng)絡(luò)發(fā)布兩個月之后，Radware還發(fā)現(xiàn)了2,395個來自于Mirai僵尸網(wǎng)絡(luò)的UDP泛洪攻擊。

GRE

2016年，Radware發(fā)現(xiàn)了一個全新的強(qiáng)大僵尸網(wǎng)絡(luò)，該僵尸網(wǎng)絡(luò)使用了通用路由封裝(GRE)的作為攻擊載體。在GRE泛洪攻擊中，攻擊者在封裝數(shù)據(jù)包中攜帶了大量數(shù)據(jù)，并將這些數(shù)據(jù)包發(fā)送到可以解封數(shù)據(jù)包有效負(fù)載的目標(biāo)網(wǎng)絡(luò)。通過發(fā)送攜帶大量封裝數(shù)據(jù)的GRE數(shù)據(jù)包，攻擊者能夠消耗并耗盡可以解封有效負(fù)載的網(wǎng)絡(luò)資源。Mirai發(fā)布之后，Radware某客戶就報告了一個流量在70-180Gbps之間波動的GRE泛洪攻擊。被封裝的UDP數(shù)據(jù)包中含有512個字節(jié)的隨機(jī)數(shù)據(jù)，Radware的DDoS防護(hù)措施能夠成功緩解這種類型的攻擊。

RadwareERT預(yù)測，進(jìn)入2017年之后，隨著1Tbps的攻擊成為新的標(biāo)準(zhǔn)，拒絕服務(wù)攻擊還將繼續(xù)快速增長。由于IoT設(shè)備的使用和部署變得越來越廣泛，Radware預(yù)計，因為IoT設(shè)備糟糕的安全性，攻擊者將會找到IoT設(shè)備更多的漏洞，并將這些漏洞與Bashlite等其他僵尸網(wǎng)絡(luò)結(jié)合起來進(jìn)行攻擊，很可能實現(xiàn)攻擊規(guī)模記錄。