Radware：2016年攻擊趨勢(shì)

2017年01月11日16:03 來(lái)源：電腦商情網(wǎng)T|T

【移動(dòng)通信網(wǎng)】就拒絕服務(wù)攻擊而言，2016年應(yīng)該算是多事之秋了。在這一年里，整個(gè)行業(yè)遭遇了有史以來(lái)規(guī)模最大的攻擊，并出現(xiàn)了很多測(cè)試并挑戰(zhàn)現(xiàn)代防御措施的新攻擊方法。每年，RadwareERT團(tuán)隊(duì)都會(huì)檢測(cè)到數(shù)以百萬(wàn)計(jì)的攻擊，ERT研究人員全年也在不斷地回顧并分析這些攻擊，以便更深入地了解攻擊載體現(xiàn)狀的趨勢(shì)和改變。

在2016年，攻擊者最常用的兩個(gè)攻擊是突發(fā)式攻擊，又名“打了就跑”攻擊，另一個(gè)是高級(jí)持續(xù)性拒絕服務(wù)(ApDoS)攻擊。Radware發(fā)現(xiàn)許多攻擊者使用了隨機(jī)間隔的高容量突發(fā)式攻擊，這些攻擊可以持續(xù)數(shù)周，包含有多個(gè)可以同時(shí)攻擊所有網(wǎng)絡(luò)層的攻擊載體。這些類(lèi)型的攻擊很可能引發(fā)網(wǎng)絡(luò)服務(wù)器SLA的頻繁中斷，并阻礙合法用戶(hù)訪(fǎng)問(wèn)服務(wù)。

另一方面，黑客也在尋求可以實(shí)行網(wǎng)絡(luò)癱瘓式攻擊的新載體和方法。2016年，Radware注意到物聯(lián)網(wǎng)(IoT)被廣泛用于創(chuàng)建強(qiáng)大的僵尸網(wǎng)絡(luò)，以及BlackNurse、ICMP攻擊等許多新的攻擊載體。最值得注意的是某用戶(hù)在HackForum上發(fā)布的Mirai僵尸網(wǎng)絡(luò)源代碼。該僵尸網(wǎng)絡(luò)利用了在基于BusyBox的IoT設(shè)備上發(fā)現(xiàn)的60多個(gè)出廠(chǎng)默認(rèn)憑證，創(chuàng)建了迄今為止最為強(qiáng)大的僵尸網(wǎng)絡(luò)。Mirai背后更令人關(guān)注的因素之一就是通用路由封裝(GRE)攻擊載體。這一相對(duì)較新的方法在數(shù)據(jù)包中封裝了包含大量的數(shù)據(jù)，試圖使接收網(wǎng)絡(luò)因解封負(fù)載時(shí)而耗盡資源。

來(lái)自RadwareERT的5大DDoS載體

HTTP/s

2016年，RadwareERT發(fā)現(xiàn)了385,000個(gè)以上針對(duì)客戶(hù)發(fā)起的HTTP泛洪攻擊。HTTP泛洪攻擊是黑客用于攻擊Web服務(wù)器和應(yīng)用的一種攻擊方法。HTTP泛洪攻擊由一組發(fā)送到目標(biāo)服務(wù)器的看似合法的基于會(huì)話(huà)的HTTPGET或POST請(qǐng)求組成。為了增強(qiáng)整體的攻擊能力，通常會(huì)通過(guò)僵尸網(wǎng)絡(luò)大批量發(fā)送這類(lèi)請(qǐng)求，但同時(shí)也會(huì)利用HULK和SlowLoris等DoS工具發(fā)起攻擊。HULK是一個(gè)簡(jiǎn)單的泛洪攻擊工具，可以為每個(gè)請(qǐng)求生成獨(dú)特的HTTP請(qǐng)求。藉此，HULK可以幫助攻擊規(guī)避緩存技術(shù)，直接攻擊服務(wù)器。在今年的OpIcarus攻擊中，攻擊者采用了HULK、SlowLoris、TorsHammer和Slowhttp等許多L7DoS工具。

DNS

DNS泛洪攻擊是針對(duì)特定應(yīng)用的UDP泛洪攻擊的變體。由于DNS服務(wù)器使用UDP進(jìn)行名稱(chēng)解析，因此向DNS服務(wù)器發(fā)送大量DNS請(qǐng)求可以消耗其資源，進(jìn)而引發(fā)服務(wù)降級(jí)和對(duì)合法請(qǐng)求的響應(yīng)時(shí)間變慢。DNS放大攻擊是可以利用DNS服務(wù)器工作方式來(lái)放大攻擊流量的復(fù)雜拒絕服務(wù)攻擊。攻擊者向多個(gè)DNS服務(wù)器發(fā)送高速率的簡(jiǎn)短DNS查詢(xún)內(nèi)容，使服務(wù)器將完整的DNS記錄列表發(fā)送給受害者。由于攻擊者每發(fā)送一個(gè)簡(jiǎn)短DNS查詢(xún)，DNS服務(wù)器就會(huì)回復(fù)更大的針對(duì)受害者的響應(yīng)內(nèi)容，因此攻擊者可以把攻擊放大。迄今為止，RadwareERT團(tuán)隊(duì)發(fā)現(xiàn)超過(guò)130,000個(gè)針對(duì)AAAA記錄的DNS泛洪攻擊，其中48個(gè)攻擊來(lái)自Mirai僵尸網(wǎng)絡(luò)。

TCP

TCP泛洪攻擊是一種使用時(shí)間最長(zhǎng)卻仍受歡迎的拒絕服務(wù)攻擊。TCP攻擊的最常見(jiàn)形式包括向受害者服務(wù)器發(fā)送大量的SYN數(shù)據(jù)包。此攻擊是通過(guò)濫用創(chuàng)建會(huì)話(huà)的三次握手規(guī)則來(lái)淹沒(méi)目標(biāo)服務(wù)器的會(huì)話(huà)表。服務(wù)器需要為每個(gè)到達(dá)的數(shù)據(jù)包打開(kāi)一個(gè)狀態(tài)，攻擊者利用攻擊流量填充這些表格，進(jìn)而導(dǎo)致服務(wù)器無(wú)法處理合法流量。2016年，RadwareERT發(fā)現(xiàn)大量TCP攻擊，如：TCP-SYN、25,081、FIN-ACK、17,264和SYN-ACK、14,758。RadwareERT還發(fā)現(xiàn)了來(lái)源于Mirai的名為T(mén)CPSTOMP的攻擊。這是一個(gè)典型的ACK泛洪攻擊，Mirai在獲得合法序列號(hào)之后才開(kāi)始ACK泛洪攻擊，從而增加了它繞過(guò)安全解決方案的可能性。在反奧運(yùn)攻擊(OpOlympicHacking)期間，黑客組織Anonymous發(fā)布了一個(gè)GUI工具，允許組織成員通過(guò)Tor針對(duì)預(yù)先定義的與比賽有關(guān)的組織發(fā)起TCPPSH+ACK泛洪攻擊。

UDP

UDP泛洪攻擊是一種網(wǎng)絡(luò)泛洪攻擊，也是當(dāng)前最常見(jiàn)的泛洪攻擊之一。攻擊者會(huì)將UDP數(shù)據(jù)包發(fā)送到單一目的端口或隨機(jī)端口。在多數(shù)情況下，由于UDP協(xié)議采用了無(wú)連接傳輸模式，沒(méi)有任何類(lèi)型的握手機(jī)制或會(huì)話(huà)，因此攻擊者能夠假冒源IP。UDP攻擊的目的是通過(guò)高容量攻擊堵塞互聯(lián)網(wǎng)管道。簡(jiǎn)單而言，UDP泛洪攻擊通過(guò)大量濫用正常行為的方式引發(fā)目標(biāo)網(wǎng)絡(luò)的擁塞和服務(wù)降級(jí)。2016年，RadwareERT發(fā)現(xiàn)了超過(guò)50萬(wàn)的IPv4泛洪攻擊、93,538個(gè)UDP分片攻擊和816個(gè)IPv6攻擊。在OpIsrael攻擊期間，Radware發(fā)現(xiàn)了黑客組織Anonymous發(fā)布的預(yù)包裝工具包，其中包括大量的GUI、圖形用戶(hù)界面和能夠發(fā)起B(yǎng)lackOut、Anonymous外部攻擊、DoSeR2.0和LOIC等UDP泛洪攻擊的工具。除此之外，在Mirai僵尸網(wǎng)絡(luò)發(fā)布兩個(gè)月之后，Radware還發(fā)現(xiàn)了2,395個(gè)來(lái)自于Mirai僵尸網(wǎng)絡(luò)的UDP泛洪攻擊。

GRE

2016年，Radware發(fā)現(xiàn)了一個(gè)全新的強(qiáng)大僵尸網(wǎng)絡(luò)，該僵尸網(wǎng)絡(luò)使用了通用路由封裝(GRE)的作為攻擊載體。在GRE泛洪攻擊中，攻擊者在封裝數(shù)據(jù)包中攜帶了大量數(shù)據(jù)，并將這些數(shù)據(jù)包發(fā)送到可以解封數(shù)據(jù)包有效負(fù)載的目標(biāo)網(wǎng)絡(luò)。通過(guò)發(fā)送攜帶大量封裝數(shù)據(jù)的GRE數(shù)據(jù)包，攻擊者能夠消耗并耗盡可以解封有效負(fù)載的網(wǎng)絡(luò)資源。Mirai發(fā)布之后，Radware某客戶(hù)就報(bào)告了一個(gè)流量在70-180Gbps之間波動(dòng)的GRE泛洪攻擊。被封裝的UDP數(shù)據(jù)包中含有512個(gè)字節(jié)的隨機(jī)數(shù)據(jù)，Radware的DDoS防護(hù)措施能夠成功緩解這種類(lèi)型的攻擊。

RadwareERT預(yù)測(cè)，進(jìn)入2017年之后，隨著1Tbps的攻擊成為新的標(biāo)準(zhǔn)，拒絕服務(wù)攻擊還將繼續(xù)快速增長(zhǎng)。由于IoT設(shè)備的使用和部署變得越來(lái)越廣泛，Radware預(yù)計(jì)，因?yàn)镮oT設(shè)備糟糕的安全性，攻擊者將會(huì)找到IoT設(shè)備更多的漏洞，并將這些漏洞與Bashlite等其他僵尸網(wǎng)絡(luò)結(jié)合起來(lái)進(jìn)行攻擊，很可能實(shí)現(xiàn)攻擊規(guī)模記錄。