【51CTO.com獨家翻譯】大家可能對分布式拒絕服務(wù)攻擊（DDoS）非常熟悉吧。自從數(shù)字時代開始的那天，各大企業(yè)就開始忍受這種問題。但在過去六個月中，DDoS似乎發(fā)現(xiàn)了新的攻擊方式，使其再次成為關(guān)注的焦點，專家認為這可能是由于一些高危目標的存在及這種攻擊在特性上的兩種重要改變而引起的。

攻擊目標仍和過去一樣——私有企業(yè)和政府部門的web站點。攻擊動機也無非是敲詐、使競爭對手企業(yè)的操作混亂、對不受歡迎的政府進行報復(fù)等等。但攻擊的劇烈程度及持續(xù)時間如同滾雪球般增長，引起該問題的主要原因是因為僵尸網(wǎng)絡(luò)的巨大擴張，以及攻擊方式已由過去的“對目標端進行ISP連接”轉(zhuǎn)變?yōu)椤皩ふ夷繕朔?wù)器上的合理請求進而發(fā)起攻擊”。

事實上，正如位于馬薩諸塞州Cambridge的Akamai Technologies公司CSO Andy Ellis所說，引起當(dāng)前DDoS攻擊的僵尸網(wǎng)絡(luò)非常巨大，很可能連控制僵尸網(wǎng)絡(luò)的攻擊者也失去了對很久以前所捕獲的肉雞的控制。（在《DDoS攻擊的漫長奇異進化史》中可以了解到對Ellis的全部采訪）

Ellis已經(jīng)發(fā)現(xiàn)了一個非常有利的發(fā)展趨勢。很多人在無意識狀態(tài)下使用了Akamai服務(wù)。該公司所運行的由上千服務(wù)器組成的平臺，可以滿足客戶們進行在線商務(wù)活動的需求。

在該公司平臺上進行Web交互的企業(yè)（如Audi、NBC、Fujitsu、及像美國國防部及NASDAQ之類的機構(gòu)）資金有幾百億元之巨，而這些Akamai的客戶幾乎都在DDoS攻擊的槍口之下。

根據(jù)對過去蠕蟲攻擊史（如Blaster、Mydoom以及Code Red）的調(diào)查，Ellis說道，“我們發(fā)現(xiàn)能夠使感染機器陷入癱瘓的惡意軟件攻擊正在減少。現(xiàn)在這些惡意軟件用于將被挾持的機器加入到僵尸網(wǎng)絡(luò)中去，并被當(dāng)做僵尸網(wǎng)絡(luò)武器來使用。”

在過去的一年中，Akamai遇到了自創(chuàng)建起最大的幾起DDoS攻擊，這些攻擊被Ellis描述為“每秒超過120Gb流量的巨大DDoS攻擊。如果你在接收端遇到如此海量的攻擊的話，這不是一個希望看見的情況。”

發(fā)生在7月4號的海量攻擊就是一個很好的例子。在此次攻擊中，控制著180000臺機器的僵尸網(wǎng)絡(luò)對美國政府的Web網(wǎng)站發(fā)起了攻擊，這對美國和南韓之間的貿(mào)易產(chǎn)生了影響。這次攻擊開始于周六，癱瘓了美國聯(lián)邦委員會（FTC）和美國交通部(DOT)的Web網(wǎng)站。美國第六大商業(yè)銀行US Bancorp也成為了攻擊對象（其他的攻擊對象還包括谷歌、雅虎、亞馬遜等）。對谷歌的攻擊持續(xù)時間并不長，但如果考慮到谷歌所遇到的攻擊數(shù)量大約占整個網(wǎng)絡(luò)攻擊的5%的話，那么對一些知名網(wǎng)絡(luò)企業(yè)的持久性攻擊可能是真實存在的。Prolexic研究所的CTO Paul Sop見證了來自他們企業(yè)內(nèi)部因感染僵尸網(wǎng)絡(luò)而引起的DDoS攻擊。大約有30個工程師花費了他們?nèi)康墓ぷ鲿r間來解決此次危機。他說，“我們通過建立一個IP白名單數(shù)據(jù)庫的方法來尋找那些攻擊我們客戶的IP地址，到目前為止我們已經(jīng)找出了四百萬臺被感染的機器，我們對僵尸網(wǎng)絡(luò)的規(guī)模及擴張能力感到震驚。”

另外，他說到，他們的企業(yè)正面臨對其HTTP、HTTPS、以及DNS服務(wù)的七層攻擊。這些攻擊的主要目的并不是掐斷用戶的ISP鏈接。恰恰相反，他們的主要攻擊目標是服務(wù)器，這就使網(wǎng)絡(luò)攻擊變得更易隱藏和持久，因為對于單個僵尸節(jié)點來說，他們的行為并沒有太強的侵略性并且他們的行為看上去更像是一次合理的網(wǎng)絡(luò)事故。

根據(jù)他們團隊的分析，絕大多攻擊是因為市場中競爭對手的蓄意破壞引起的。“在很多高回報領(lǐng)域（例如在線賭博，此類公司在亞洲非常流行），存在著激烈競爭以及強烈的DDoS攻擊，”他說，“出于政治目的的網(wǎng)絡(luò)攻擊變得更加普遍，這就需要我們對各種新聞及視頻消息加以保護。通常這些攻擊是由國外某個黑客單獨發(fā)起的，但有時某些攻擊（例如針對緬甸民主之聲的攻擊）更可能受到了某些組織的利用和贊助。”51CTO王文文：大家是不是想起了最近活躍的伊朗網(wǎng)軍？

僅僅在已經(jīng)對外公布的因僵尸網(wǎng)絡(luò)引起的DDoS攻擊中，Prolexic發(fā)現(xiàn)攻擊者們可以迅速集結(jié)他們的僵尸網(wǎng)絡(luò)，并造成攻擊對象的網(wǎng)絡(luò)癱瘓，并使這些癱瘓看上去更像是合法的網(wǎng)絡(luò)故障。

該報告說，“在過去，網(wǎng)絡(luò)流量突然爆增一般是攻擊開始的標志。而現(xiàn)在，當(dāng)服務(wù)器受到攻擊時，網(wǎng)絡(luò)流量只會慢慢的擴大，這可能是因為網(wǎng)絡(luò)僵尸節(jié)點是在隨機時間點、以多種方式向目標進行攻擊的緣故。這就使得我們很難將真正的客戶與僵尸節(jié)點區(qū)分開來。”

【51CTO.COM 獨家翻譯，轉(zhuǎn)載請注明出處及作者！】