從20世紀(jì)90年代需要自己動手部署的拒絕服務(wù)，到今年的利用Memcached超級DRDoS，分布式拒絕服務(wù)(DDoS)在復(fù)雜性和數(shù)量上都達(dá)到了前所未有的新高度。

對于分布式拒絕服務(wù)而言，今年是具有重要里程碑意義的一年，因為在今年出現(xiàn)了兩場流量峰值超過1Tbps的DDoS。根據(jù) Arbor Networks 的數(shù)據(jù)顯示，2月下旬，知名代碼托管網(wǎng)站GitHub和一家未知名的在線游戲提供商網(wǎng)站遭遇了史上最大規(guī)模的DDoS，帶寬分別達(dá)到了1.35T和1.7T。

盡管，DDoS所消耗的帶寬并不一定是決定其是否難以緩解的準(zhǔn)確度量標(biāo)準(zhǔn)。但是，這種規(guī)模不斷增長的趨勢表明了DDoS帶來的威脅正在不斷升級。目前，大多數(shù)公司的互聯(lián)網(wǎng)基礎(chǔ)設(shè)施已經(jīng)能夠處理大概10到50Gbps的數(shù)據(jù)流，但這與T級別的流量相比仍然相差甚遠(yuǎn)。

大多數(shù)DDoS都是過度的，這就好比用大炮來打蚊子。

從攻擊者群起發(fā)動的手動Dos，到由連接設(shè)備構(gòu)成的僵尸網(wǎng)絡(luò)，再到利用服務(wù)器協(xié)議漏洞的自動攻擊。可以說，在過去的25年里，DDoS技術(shù)已經(jīng)發(fā)生了顯著的變化。

一開始的都是始于多用戶系統(tǒng)，然后再轉(zhuǎn)移至服務(wù)器。后來開始利用工作站和家用電腦。而最近，攻擊者又瞄準(zhǔn)了兩個新目標(biāo)，使用大量不安全的物聯(lián)網(wǎng)設(shè)備組成僵尸網(wǎng)絡(luò)來發(fā)動DDoS，或是利用易受攻擊的網(wǎng)絡(luò)協(xié)議來放大和反射DDoS。

以下是DDoS技術(shù)演化過程中的一些關(guān)鍵點：

最早階段：利用大型主機操作系統(tǒng)安全性的缺乏

有關(guān)最早的DDoS事件只是一個未被驗證的傳聞，在這個廣為流傳的故事中，一名高中生于1974年使用早期的大型主機OS PLATO在小型終端網(wǎng)絡(luò)中發(fā)起。

這名高中生使用了一個稱為“ext”的PLATO命令，來引導(dǎo)連接到大型主機的其他終端嘗試連接到不存在的外部設(shè)備中。該命令最終導(dǎo)致系統(tǒng)崩潰，房間內(nèi)的其他31名用戶不得不關(guān)閉機器。然而，由于PLATO系統(tǒng)管理員在1973年末就已經(jīng)對系統(tǒng)中的“ext”漏洞利用進(jìn)行了修復(fù)，所以有關(guān)該傳聞的具體時間尚待商榷。

80年代初：蠕蟲

時間來到20世紀(jì)80年代初，Xerox PARC 公司兩名研究人員 John Shoch 和 John Hupp 為“自動從系統(tǒng)擴展到系統(tǒng)的程序”創(chuàng)造了一個術(shù)語“蠕蟲”。這個蠕蟲能夠?qū)⒆陨韽?fù)制到一個研究網(wǎng)絡(luò)中的每個系統(tǒng)上，而且借助一個系統(tǒng)漏洞，最終每個設(shè)備都迅速崩潰了，這一過程就相當(dāng)于拒絕服務(wù)的雛形。

1995年：手動DoS

到了20世紀(jì)90年代，一些活動組織開始使用互聯(lián)網(wǎng)作為虛擬抗議(sit-ins)的一種方式，他們通過搞癱網(wǎng)站作為其抗議某種政治行為的一種形式。而第一個開創(chuàng)這種形式的組織應(yīng)該算是 Strano Network，該組織是由一群反對法國政府核政策的人士組成。

當(dāng)時，Strano Network 組織并沒有借助任何程序來重復(fù)連接到目標(biāo)網(wǎng)站，而是要求參與者通過手動訪問并反復(fù)重新加載目標(biāo)網(wǎng)站的方式最終搞垮了法國政府網(wǎng)站。

1998年：工具FloodNet出現(xiàn)

在Strano手動發(fā)起DDoS幾年后，另一組行為藝術(shù)家和抗議者開發(fā)了一款名為”FloodNet“的工具，參與者可以自行下載并在自己的計算機上運行該工具。隨后，該攻擊工具就會使用EDT提供的目標(biāo)列表來自動DDoS特定的網(wǎng)站。

該工具的第一個主要用途就是在1998年支持來自墨西哥的“Zapatista軍隊“目標(biāo)是政府網(wǎng)站，后來又在1999年參與攻擊世界貿(mào)易組織(WTO)。

1998年：第一個真正意義上的放大反射Smurf

1998年，當(dāng)網(wǎng)絡(luò)犯罪分子還在利用自身能力，讓其他服務(wù)器使用互聯(lián)網(wǎng)控制消息協(xié)議(ICMP)“ping“一個目標(biāo)時，第一個真正意義上的放大和反射也在此時出現(xiàn)了，它就是” Smurf“。Smurf通過使用將回復(fù)地址設(shè)置成受害網(wǎng)絡(luò)的廣播地址的ICMP應(yīng)答請求(ping)數(shù)據(jù)包，將發(fā)送的數(shù)據(jù)包數(shù)量放大255倍，來淹沒受害主機，最終導(dǎo)致該網(wǎng)絡(luò)的所有主機都對此ICMP應(yīng)答請求做出答復(fù)，導(dǎo)致網(wǎng)絡(luò)阻塞。更加復(fù)雜的Smurf還會將源地址改為第三方的受害者，最終導(dǎo)致第三方崩潰。

1998年，該技術(shù)被用于對付明尼蘇達(dá)大學(xué)，結(jié)果造成連鎖反應(yīng)，導(dǎo)致大量服務(wù)中斷以及30%的數(shù)據(jù)包丟失。

1999年：第一個服務(wù)器僵尸網(wǎng)絡(luò)Trinoo

遭到Smurf的明尼蘇達(dá)大學(xué)在第二年仍然沒有得到喘息的機會。1999年8月，該大學(xué)再次遭遇了使用Trinoo僵尸程序的網(wǎng)絡(luò)攻擊，據(jù)悉，該僵尸程序被安裝在了至少227臺受損的Solaris服務(wù)器上。

Trinoo正是在服務(wù)器拒絕服務(wù)攻擊方面掀起了一股潮流。之后，一位化名為“Mixter“的人又創(chuàng)建了一個名為”Stacheldraht“的流行程序，然后供其他人用于DDoS各種網(wǎng)站。另一個名為”Tribe Flood Network“的項目也與Trinoo十分類似，它被一個黑客組織“MafiaBoy”用于攻陷當(dāng)時一些非常主流的網(wǎng)站，包括亞馬遜、CNN以及雅虎等。

2000年：越來越多地利用域名服務(wù)器

從2000年開始，美國計算機應(yīng)急響應(yīng)小組(CERT)協(xié)調(diào)中心警告稱，越來越多的人已經(jīng)開始使用DNS作為放大帶寬的手段。

該組織在2000年4月發(fā)布的一份安全公告中表示，“我們已經(jīng)發(fā)現(xiàn)，入侵者在這種類型的攻擊中，能夠利用多個不同網(wǎng)絡(luò)上的多個域名服務(wù)器，來實現(xiàn)針對受害者站點的分布式拒絕服務(wù)。“

不過遺憾的是，大多數(shù)公司并沒有認(rèn)真聽取這份報告的警告和建議。所以，在6年后發(fā)布的另一項安全公告中，美國計算機應(yīng)急響應(yīng)小組(CERT)指出，75%至80%的服務(wù)器仍然允許遞歸(程序調(diào)用自身的編程技巧稱為遞歸)，該DNS服務(wù)器功能將會允許放大或反射技術(shù)。

2003年：Windows的普及放大了蠕蟲的惡果

本世紀(jì)前十年是電腦蠕蟲的鼎盛時期。諸如Code Red、Nimda以及Blaster等惡意程序，都在感染網(wǎng)絡(luò)和為系統(tǒng)管理員造成麻煩等方面取得了重大成功。這些懂得自我傳播的惡意程序，在一定意義上，也推動了微軟公司將關(guān)注重點從開發(fā)Windows操作系統(tǒng)新功能轉(zhuǎn)向?qū)Ｗindows操作系統(tǒng)安全性。

2003年，全球遭遇了SQL Slammer(也被稱為“Sapphire”或“Helkern“蠕蟲)的肆虐破壞，這種蠕蟲僅有376字節(jié)大小，完全可以裝入1個網(wǎng)絡(luò)包中，讓它可以在發(fā)動時達(dá)到快速傳播的效果。其傳播速度之快，可以達(dá)到每隔8.5秒就能使感染系統(tǒng)數(shù)量增長一倍，并在3分鐘內(nèi)飽和本地網(wǎng)絡(luò)寬帶。

據(jù)悉，在開始傳播5分鐘后，Slammer蠕蟲每秒可以傳播高達(dá)8000萬個數(shù)據(jù)包，這一水平在接下來的10年內(nèi)也是鮮少出現(xiàn)。此外，該蠕蟲還可以向 UDP 1434 端口發(fā)送格式化的請求，造成受感染路由器開始向隨機IP地址發(fā)送該惡意代碼，令目標(biāo)陷入拒絕服務(wù)狀態(tài)。

2009年：出現(xiàn)以政治目的發(fā)動的DDoS

2009年，大約5萬臺感染了MyDoom蠕蟲的計算機被用于打擊美國政府、金融和商業(yè)網(wǎng)站以及韓國政府網(wǎng)站。據(jù)悉，此次DDoS峰值帶寬速率高達(dá)13Gbps，雖然造成停機的時間很短，但是卻促使政治家們紛紛指責(zé)朝鮮政府。

之后，MyDoom蠕蟲的變種又被用于針對Unix軟件公司SCO集團官網(wǎng)發(fā)起DDoS，據(jù)悉，該公司之所以遭到打擊是因為該公司在一次訴訟案件中宣稱Linux操作系統(tǒng)是為其所有的。之后的5年內(nèi)，微軟也遭受了同樣的打擊，這證明了利用大量消費者電腦針對網(wǎng)站和網(wǎng)絡(luò)發(fā)起DDoS的有效性。

2016年：物聯(lián)網(wǎng)成為僵尸程序利用目標(biāo)

據(jù)安全公司Imperva稱，在2016年的9月至10月期間，來自一百六十多個國家的近50000個物聯(lián)網(wǎng)設(shè)備用高達(dá)280Gbps的流量淹沒了多個目標(biāo)網(wǎng)絡(luò)。這種DDoS主要使用數(shù)字?jǐn)z像機以及錄像機等物聯(lián)網(wǎng)設(shè)備向受害者的網(wǎng)絡(luò)發(fā)送相對復(fù)雜的流量，最終造成系統(tǒng)崩潰。

根據(jù)Akamai的數(shù)據(jù)顯示，針對安全研究人員兼記者Brian Krebs以及基礎(chǔ)設(shè)施服務(wù)提供商DynDNS網(wǎng)站所發(fā)動的DDoS峰值高達(dá)620Gbps。不僅是攻擊峰值帶寬超過了之前的記錄，其每秒數(shù)據(jù)包數(shù)量超過100Mbps這一事實也為防御者帶來了更多問題。要知道，為網(wǎng)絡(luò)增加更多的寬帶，在資源具備的情況下，是件非常輕松的事情，但是實時做出有關(guān)數(shù)據(jù)包的決策卻要困難得多。

2018年：Memcached漏洞令DDos成長為巨獸

2018年2月28日，知名代碼托管網(wǎng)站GitHub遭遇了史上最大規(guī)模的DDoS ，導(dǎo)致服務(wù)中斷100分鐘。根據(jù)該公司工程團隊發(fā)布的報告顯示，在UTC時間17:21到17:30之間，一名使用放大攻擊的惡意行為者針對GitHub網(wǎng)站發(fā)起了大規(guī)模的DDoS，據(jù)悉，該流量的峰值高達(dá)每秒 1.35 Tbps。

在此次活動中，黑客利用 Memcached 協(xié)議(可將攻擊放大到高達(dá)51,000倍)，發(fā)送大量帶有被害者 IP 地址的 UDP 數(shù)據(jù)包給放大器主機，然后放大器主機對偽造的IP地址源做出回應(yīng)，從而形成 DRDoS 反射。

據(jù)悉，盡管Memcached 服務(wù)器的設(shè)計初衷是提升內(nèi)部網(wǎng)絡(luò)的訪問速度，而且應(yīng)該是不暴露在互聯(lián)網(wǎng)中的。但是實際上，此類服務(wù)器根本沒有認(rèn)證協(xié)議，連接到互聯(lián)網(wǎng)中意味著任何人都可以查詢它們。實際上Memcached協(xié)議可謂是用于放大攻擊的最佳協(xié)議!由于缺乏認(rèn)證協(xié)議，數(shù)據(jù)得以以驚人的速度交付給用戶。此外，還能夠以很少的請求獲得很大的響應(yīng)(高達(dá)1MB)。

針對Github的事件并非標(biāo)志著拒絕服務(wù)升級的結(jié)束，在Github之后幾天內(nèi)，一家未知名的網(wǎng)絡(luò)游戲公司又成為受害者，此次DDoS消耗了1.7Tbps的帶寬，給這家游戲公司帶來巨大損失。

未來：DDoS還將繼續(xù)進(jìn)化

由于各公司紛紛實施保護(hù)受損服務(wù)器在內(nèi)的緩解措施，利用Memcached漏洞的DDoS規(guī)模，目前已經(jīng)開始呈現(xiàn)下降趨勢。然而，隨著整體網(wǎng)絡(luò)帶寬的增長，作為拒絕服務(wù)一部分的數(shù)據(jù)包量將會不斷增長，而且作惡者也會發(fā)現(xiàn)新的DDoS技術(shù)。

要知道，DDoS攻擊的主要抑制因素就是可用寬帶。但是根據(jù)目前寬帶不斷增長的現(xiàn)象來看，我們沒有理由相信，DDoS規(guī)模仍將繼續(xù)放大的趨勢不會到來。