2013年DDoS威脅趨勢分析
原創2013年上半年,全球僵尸網絡依然保持小型化、局部化和專業化的特點。
基于通信報文特征及行為特征的識別技術是主流僵尸網絡檢測技術,在此基礎上,新的安全技術也在不斷發展。基于Fast-flux惡意域名請求的監測技術、新一代的沙箱與蜜網技術、DDoS攻擊溯源,以及借助云安全技術形成的C&C主機及僵尸主機全球IP信譽庫,使得人們第一時間感知威脅,并在線快速阻斷惡意流量成為可能。
從網絡攻擊的分類統計數據來看,利用僵尸網絡發起的DDoS攻擊依然占網絡攻擊事件的絕大多數,針對應用層的DDoS攻擊事件上升趨勢尤其明顯,攻擊手段也更加隱蔽。
隨著智能終端的普及與移動應用的快速發展,固網僵尸網絡模擬移動網絡流量發起的針對移動應用的DDoS攻擊頻度越來越高。
熱點事件
2013年3月,歐洲的反垃圾郵件公司Spamhaus網站遭遇史上最大流量DDoS攻擊,攻擊流量峰值高達300Gbps。攻擊者借助互聯網存在的大量開放DNS服務器,采用DNS反射技術發起本次攻擊。此次攻擊事件給人們的警示是:互聯網開放DNS服務器數量巨大,如果繼續讓其保持無管理狀態,將會在未來的某一天再次成為引發互聯網安全風暴的定時炸彈。而在本次超大流量DDoS攻擊的對抗過程中,最終采用了基于Anycast技術的云清洗方案有效控制攻擊,這使人們意識到,提供抗DDoS服務的MSSP是應對超大DDoS攻擊流量的希望。可以預見,未來在各大洲部署清洗中心以提供強大的Anti-DDoS SaaS服務,會逐步成為基礎ISP的一種選擇。
僵尸網絡現狀
根據華為云安全中心統計,全球范圍內,中國和美國的僵尸網絡主機數分別占整體數量的30.3%和28.2%,遠高于其他國家;從控制者來看,美國境內的控制者最多,占總量的42.2%,而中國約占3.8%,其它比例較高的依次為德國(9.1%)、法國(7%)和英國(5.8%)。
在中國地區,僵尸網絡的受控者/控制者排名前五位的分別是Boer_Family、Gh0st_Family、Yoddos_Family、Xyligan_Family和IMDDOS。
現網流行的DDoS僵尸工具種類繁多,攻擊方式趨向于模擬正常業務客戶端訪問行為,攻擊報文特征可隨意變換,這使得傳統的特征過濾防御技術難以奏效,安全設備提供商不得不開始尋求基于行為分析、會話監控、IP信譽等更為有效的防御技術。
隨著移動應用的迅猛發展,全球3G和4G移動網絡的快速普及,移動惡意樣本快速涌現,移動僵尸網絡勢必成為僵尸網絡新的發展方向。
借助DNS服務快速變更充當C&C代理的Fast-Flux技術,使得C&C服務器可以巧妙地隱藏躲避在代理僵尸主機背后,因此迅速被主流僵尸網絡廣泛采用。
DDoS攻擊現狀
政治動機、惡意競爭、經濟犯罪、敲詐勒索依然是黑客發起DDoS攻擊的主要目的。
華為云安全中心的統計數據顯示,針對應用層的DDoS攻擊事件上升趨勢明顯,針對HTTP應用的DDoS攻擊已經占到攻擊總量的89.11%。在中國地區,北京、上海、深圳的DDoS攻擊事件最多,占全國總量的81.42%。形成該態勢的主要原因是,這三個地域擁有承載互聯網熱點業務的數據中心比例較高。
數據中心一直是DDoS攻擊的重災區。在數據中心,排名前三的被攻擊業務分別為電子商務、在線游戲、DNS服務。尤其是針對DNS服務的攻擊影響面最廣,對互聯網基礎架構所造成的威脅也最嚴重。而在WEB攻擊的主要目標中,排名前三的被攻擊業務分別為電子商務、網頁游戲、在線金融業務。針對數據中心的網絡層DDoS攻擊則直接威脅到網絡基礎設施(如防火墻、IPS、負載均衡設備),而應用層DDoS攻擊則威脅著在線業務。頻繁的DDoS攻擊導致數據中心運營成本增高,而帶寬的可用性降低則導致客戶滿意度下降甚至流失。
趨勢預測
華為云安全中心預測,未來幾年內,移動僵尸網絡的規模化、P2P僵尸網絡的規模擴大化、Fast-flux等躲避技術的深度應用依然是僵尸網絡的發展趨勢。
互聯網業務和云計算的發展熱潮,將會導致針對云數據中心的DDoS攻擊頻率大幅增長,攻擊手段也會更加復雜。未來為降低攻擊成本,有效隱藏攻擊源,躲避安全設備,同時保證攻擊效果,針對數據中心的DDoS攻擊類型將主要集中在小流量的應用層攻擊和各類慢速攻擊。
隨著全球LTE建設步伐的加快,移動網絡帶寬迅速提升,基于移動智能終端的應用大行其道,應用自身的后門或者越獄過的不可信設備將會被利用,成為移動僵尸網絡的一部分,從而發起針對移動應用的DDoS攻擊,這將成為DDoS攻擊發展的新趨勢。這使得安全設備提供商不得不借助僵尸網絡IP信譽、安全信譽云等更為有效的防御方法,以期從源頭上對抗無處不在的DDoS攻擊。
針對多核CPU架構網絡安全設備分流不均缺陷,已經衍生出新型DDoS攻擊類型。這對安全設備廠商提出新的挑戰,要求多核CPU架構網絡安全設備接口不僅要具備線性轉發能力,還需具備一定的攻擊流量動態過濾能力。
未來幾年,IPv4網絡將逐步向IPv6演進。針對IPv4和IPv6網絡的混合攻擊很快就會成為新型的DDoS攻擊威脅,眾多IPv4和IPv6協議轉換網關設備也將成為DDoS攻擊的目標。而且,隨著IPv6網絡的普及,針對IPv6網絡協議的漏洞攻擊將逐步爆發。
