對話首席安全官 研究者從DDoS手法中學到了什么?
原創【51CTO.com獨家翻譯】由于僵尸網絡的增殖而使攻擊者的能力變得更加強大,這個我們已經在本系列的第一篇文章(《僵尸兇狠!DDoS攻擊強勢歸來》)中提到過了,這種趨勢也正在僵尸網絡構建者中擴大。
在本文中,兩名IT安全從業人員——一位有處理DDoS對政府系統攻擊經驗,另一位則是來自企業的專家——分享他們所知的關于DDoS如何確定攻擊目標以及應如何采取安全應對策略的經驗。
CSO在線問答, 參與者 :Jerry Mangiarelli(加拿大TD銀行安全專家),以及來自以色列的研究人員 Gadi Evron.
對攻擊者動機和策略深有研究的社區安全專家Jerry Mangiarelli通過自己多年來對僵尸網絡的獨立研究,而形成了自己對DDoS威脅的一套獨立看法。在類似的安全討論中,他經常在這一話題(攻擊者的動機和策略)上以EC-Council、SecTor 以及 FSP的身份回答各種問題。這里,他舉了研究中的例子,來闡述黑客攻擊的手段和動機。
CSO: 是什么讓你的研究重點發生了巨大轉變,從而進入與僵尸網絡相關的DDoS攻擊領域呢?
Mangiarelli:這次轉變主要是由于我在惡意軟件和應用程序方面繼續研究(以及個人興趣)的結果。多年來我們一直關注著對手們的動機,動機主要是因為應用層上的僵尸網絡能夠給他們帶來巨大回報(ROI)。
問:根據花費的時間和使用的工具來講, 你在研究中做了哪些工作。
Mangiarelli:我花費了很長的時間來進行研究。我喜歡將孩子睡覺后我仍在工作的時間為夜班。我花費了很多時間來評估(基于WEB的DDoS工具箱開發領域的)對手們使用的工具。
到目前為止基于你的研究成果,DDoS攻擊的火力在哪方面最令你震驚?
Mangiarelli:最令我震驚的是,太多的用戶對他們使用WEB服務器的權限漠不關心。發生在2009年初的FTP攻擊以及(從2008年開始一直持續到2009年的)海量SQL注入攻擊顯示了DDoS攻擊隊伍的擴大。
問:你認為這些攻擊主要是針對企業呢還是出于政治目的?
Mangiarelli: 我早先已經提到過,對手們的動機已經發生了變化。每一臺僵尸機器會根據僵尸網絡管理者以及他們顧客的需求添加到不同的模塊中。我們將在這兩個領域(企業和政府)關于進行更加深入、長期的研究。這項工作會一直持續下去。
為了對黑客的政治性攻擊行為進行深入研究,以色列安全研究人員Gadi Evron 在檢測針對政府網絡的DDoS攻擊上花費了大量的時間。他的研究案例包括前幾年針對愛沙尼亞共和國的海量攻擊。當時,Gadi Evron認為此次攻擊的幕后黑手應該是一群所謂的黑客分子,而非哪些工作在敵對政府(比如說,俄羅斯)的工作人員。在這里,他將解釋一下企業級的安全專家可以從針對公共部門的攻擊中學到些什么。——51CTO王文文:2009年4月,愛沙尼亞不理會俄羅斯抗議強行拆除蘇軍紀念碑,隨后疑似來自俄羅斯的數波攻擊很快就癱瘓了該國各類政府站點,繼而又將攻擊擴大到該國報紙、電視臺、學校,銀行等站點。一度造成恐慌。其中所用最多的攻擊手段即是DDoS。
CSO:除了你從愛沙尼亞事件(或與此類似的其他事件)中學到的一些東西之外,IT安全從業人員們還有其他更好的方法來了解攻擊者的攻擊手段么?
Gadi Evron:DDoS攻擊并不是最好的攻擊方式。它們(DDoS攻擊)要么是有預謀(對基礎設施和聯絡點)的,要么是有意轉移人們視線的攻擊。
問:請講一下企業該如何做?
Evron:企業最應該做的便是了解他們的流量負載,并確保他們可以承擔一個(比原有負載)更加夸張的負載。沒有人可以承受高于他們正常流量1000倍的負載,但至少他們應該建立一個他們可以承受的波動區間。建立一些可以承受洪水攻擊的網絡以及與此相關的網絡應用程序,至少不要在這上面發生問題,是至關重要的。基于此點,最好的做法應該是有超過一個的上限連接值,并且(為了緩解洪水攻擊的壓力)和ISP供應商們保持良好關系。
問:以你的經驗來看,目前最常使用的DDoS攻擊技術是什么?我們曾經和有些人談論,他們遇到過更加強大、攻擊范圍更過的僵尸網絡,比如說。
Evron:我不能談論太多有關攻擊者們使用的特殊攻擊手段,我覺得他們的攻擊手段呈現了多樣發展的趨勢。他們的攻擊底線:他們可以使用任何手段,基于此,他們要么使CPU、內存過載,或是使負載檢測應用程序過載,或是使網絡流量過載。
問:愛沙尼亞對發生在他們身上的攻擊事件的反應相當強烈。你能講述一下國家對于他們受到的攻擊所采取的一些回應措施嗎?
Evron:對事故的反應和國際影響,這兩者是完全不同的。就事件反應來說,合作或是協調才是解決之道;就國際影響來說,沒有其他國家的幫助的話,該事件能夠引起較好的反應是不可能的,即使該事故很明顯。
本文是DDoS攻擊回歸系列報道的第二篇文章。第一篇文章為《僵尸兇狠!DDoS攻擊強勢歸來》。51CTO網站已經發布,需要的朋友可以自檢索。
【51CTO.com獨家翻譯。合作站點轉載請注明原文作者和出處】
