关注网络与数据安全

忘记密码
“游侠安全网”创建了网络安全从业者QQ大群(群号:389710688) ,欢迎各位同仁加入!有其它问题,请联系站长“网路游侠”,QQ:55984512


解读2013华为僵尸网络与DDoS攻击报告

2013-11-18 18:46 推荐: 浏览: 121字号:

摘要: 史上最大DDoS攻击出现 解读僵尸网络 近日,华为发布《2013僵尸网络与DDoS攻击专题报告》(以下简称《报告》),针对2013年发生的热点DDoS攻击事件进行了深入分析,并基于华为云安全中心的调查数据,对当前“僵尸网络”和“DDoS攻击”的现状进行了详细解...

史上最大DDoS攻击出现 解读僵尸网络

近日,华为发布《2013僵尸网络与DDoS攻击专题报告》(以下简称《报告》),针对2013年发生的热点DDoS攻击事件进行了深入分析,并基于华为云安全中心的调查数据,对当前“僵尸网络”和“DDoS攻击”的现状进行了详细解读,同时就其发展趋势进行了预测。该《报告》还特别指出,网络安全不仅仅是某个企业的责任,更是全社会的共同责任;而随着安全技术的不断发展,未来人们在第一时间感知威胁,并实现在线快速阻断恶意流量将成为可能。

史上最大DDoS攻击出现 开放DNS服务器亟待管理

2013年3月26日,在反垃圾邮件组织Spamhaus将荷兰网站托管公司Cyberbunker多次加入到垃圾邮件黑名单之后,Spamhaus遭受了互联网史上攻击流量最大的分布式拒绝服务攻击(DDoS)。Spamhaus对BBC宣称“我们正遭受300G+的DDoS攻击,毫无疑问,这是历史上最大规模的DDoS攻击...”

在本次DDoS攻击事件中,攻击者借助现网数量庞大的开放DNS服务器,采用DNS反射攻击将攻击流量轻松放大100倍。攻击者把自己的讯息伪装成Spamhaus发出的讯息,然后发给这些服务器,这些讯息随即被服务器急剧放大(DNS请求数据的长度约为36字节,而响应数据的长度约为3000字节,经过DNS开放服务器反射将攻击流量轻松放大100倍),造成大量数据返回Spamhaus的服务器。而在此次攻击防御过程中,首先是各ISP试图采取黑名单过滤阻断攻击,但却收效甚微;随后DDoS流量清洗的CDN服务提供商CloudFlare通过anycast路由协议的最短路径选路技术,配合位于全球20多个彼此独立的清洗中心进行攻击流量过滤,最终使此次史上最大规模的DDoS攻击得到了有效缓解。

通过此次攻击事件我们必须要看到,互联网中大量的开放DNS服务器已经成为DDoS攻击的“帮凶”,在攻击过程中,每个DNS服务器发出的流量只需要10Mbps,这样小的攻击流量很难被DNS业务监控系统发现到,传统的防护方法基本失效。

因此,《报告》针对此次攻击事件特别指出,互联网开放DNS服务器数量巨大,如果继续让其保持无管理状态,将会在未来的某一天再次成为引发互联网安全风暴的定时炸弹。而在本次超大流量DDoS攻击的对抗过程中,最终采用了基于Anycast技术的云清洗方案有效控制攻击,这使人们意识到,提供抗DDoS服务的MSSP是应对超大DDoS攻击流量的希望。由此可以预见,未来在各大洲部署清洗系统以提供强大的Anti-DDoS SaaS服务,会逐步成为基础ISP的一种选择。

僵尸网络现状:小型化、局部化和专业化

其实DDoS攻击并不是什么新鲜实物,在网络30多年的发展历程之中,DDoS攻击几乎一直伴随左右。然而随着僵尸网络的不断扩张,以及僵尸网络工具的泛滥,为DDoS攻击提供了“温床”,从而使DDoS日益大众化,攻击的猛烈程度日增,因此可以说,僵尸网络才是“罪魁祸首”。


解读2013华为僵尸网络与DDoS攻击报告
全球僵尸网络控制服务器分布图

根据华为云安全中心统计,从全球来看,中国和美国的僵尸网络主机数分别占整体数量的30.3%和28.2%,远高于其他国家;而从控制者来看,美国境内的控制者最多,占总量的42.2%,随后是德国(9.1%),法国(7%)和英国(5.8%),而中国则约为3.8%。

解读2013华为僵尸网络与DDoS攻击报告
僵尸网络规模

还是从全球统计的数据来看,为了便于控制,主机规模在1000台以内的僵尸网络仍是主流。

解读2013华为僵尸网络与DDoS攻击报告
中国僵尸主机分布图

而在中国地区,僵尸主机排名前三位的分别是广东、北京、浙江。而从僵尸网络控制者来看,来自台湾地区的控制者最多。

解读2013华为僵尸网络与DDoS攻击报告
受控者/控制者Top5

此外,在中国地区,僵尸网络的受控者/控制者排名前五位的分别是Boer_Family、Gh0st_Family、Yoddos_Family、Xyligan_Family和IMDDOS。

通过上述统计数据我们不难看出,僵尸网络总体上趋于小型化、局部化的发展趋势;而通过对全球范围内恶意代码的捕获和分析还可发现,僵尸网络的专业化趋势同样明显。《报告》中就特别指出,无论是僵尸网络的传播途径,还是防检测技术,抑或是隐藏手段,都在变得更加难以防范。例如,僵尸网络借助加密协议、P2P协议等,使得传统基于模式匹配的检测技术无能为力;而通过与蠕虫的相互融合,以及僵尸与僵尸间的交叉传播等手段,更使得僵尸网络的扩散变本加厉;此外,特别值得一提的是,Fast-Flux已经成为一种隐藏C&C服务器以及延长僵尸网络生命周期的必备技术,借助该技术,僵尸网络的制造者们向互联网安全发起了新一轮的挑战。

僵尸网络新趋势 专家支招应对挑战

新挑战之Fast-flux僵尸网络

Fast-flux僵尸网络的实质是,攻击者借助DNS服务快速变更充当C&C代理的僵尸主机(同一个域名对应多个IP地址或多个域名对应多个IP地址),并通过代理僵尸主机重定向对C&C的HTTP访问,将僵尸主机访问指向真正的C&C。当安全系统对这些非法站点探测时,只能发现Fast-flux僵尸网络中僵尸机的IP地址,而无法得知隐蔽在代理僵尸主机背后的实际的C&C服务器地址。

对此,《报告》指出,Fast-flux技术的应用使得传统的基于IP地址的流量过滤失去作用,客户端并不直接与C&C服务器连接,而是与Fast-flux僵尸网络中任意一个僵尸主机连接,这使得充当C&C代理的僵尸主机IP地址变化频繁,难以预测。例如,华为云安全中心监控到的ZeuS就是一种基于HTTP控制的典型的Fast-flux僵尸网络,其通过同时或轮换使用域名及多个IP地址循环使用机制,逃避安全系统的监测。

新领域之移动僵尸网络

随着手机超越台式PC成为第一大互联网访问终端,我们正式步入移动互联网时代的到来;而随着全球3G/4G网络的快速普及,移动带宽速度的不断提升,移动智能终端的带宽瓶颈不断被突破。然而从攻击者的角度看,这些“喜人”的变化却使得利用移动智能终端发起各种网络攻击的条件进一步成熟——移动智能终端天然的实时在线性,使其攻击效果可堪比数据中心服务器。

《报告》中特别谈到,虽然从目前来看,通过复杂的网络互连、接受来自C&C的网络命令发起网络攻击的僵尸网络型病毒还在少数,但未来,移动僵尸网络势必成为僵尸网络新的发展方向。而事实上,移动僵尸网络已经从传说变为现实,用于银行账户攻击的ZitMo和用于发送垃圾短信和DDoS攻击的Android.DDoS.1.origin就是典型代表。

僵尸网络的发展趋势

考虑到Fast-flux已经成为僵尸网络“隐藏”自己、避免被防火墙等安防设备阻断的重要手段,因此《报告》预测,Fast-flux服务网络将会进一步进化——不断地演变为动态恶意域名的Fast-flux服务网络。此外,该《报告》还指出,移动僵尸网络和传统PC僵尸网络都拥有海量的终端设备和巨大的黑色产业利益,种种迹象表明僵尸网络控制者正试图同时控制这两种网络中的僵尸终端,使整个僵尸网络的覆盖范围和受感染规模更加庞大,跨平台僵尸网络也将随之出现,而这将对整个网络和终端用户将造成更大的危害。

专家支招:应对僵尸网络

如今的网络犯罪具有低成本、高收益的特点,因此吸引了众多黑客不断进行技术革新,而这就导致了网络监测、匹配检测、IP和域名监测等传统方法不断失效;与此同时,僵尸网络控制程序的升级也是越来越快,使其对基于签名的反病毒和反僵尸程序具有一定的免杀能力。此外,我们还要看到,如今的僵尸网络已经产生了专门针对移动设备的变种版本,例如Zitmo就是Zeus僵尸网络在Android平台的新变种;而且移动僵尸网络也已快速形成完整的黑色产业链。

面对着种种新挑战,安全专家指出,网络环境的治理需要安全设备不断提升检测能力,形成C&C主机及僵尸主机IP信誉库用以恶意流量过滤;还需要基于云安全技术进行全球的监测和联动,即利用云中心实时监测全球的僵尸网络变种行为和进行IP信誉的全球范围内的收集和共享;而针对SSL封装下的隐藏,则可通过更换安全设备的部署位置,或者增加设备SSL封装能力来解决。

当然,除了设备能力和技术方面的提升外,安全专家还特别强调,“治理僵尸网络是全社会共同的责任,需要业界安全组织和国际执行组织一起来追踪治理,对僵尸网络进行溯源分析,关闭僵尸网络的源头服务器,即C&C服务器,并通过相关部门追究僵尸网络制造者的法律责任”。这样才能真正切段DDoS攻击、盗号、传播垃圾邮件、以及APT攻击的“后盾”。

DDoS攻击现状:数据中心成重灾区

简单+高效 让DDoS攻击备受“追捧”

据《报告》显示,2013年1月至6月,DDoS攻击发生次数与去年同期相比增加了28.05%;而恶意竞争、经济犯罪、敲诈勒索、政治目的等则是黑客发起DDoS攻击的主要目的。那么为什么这样一种“老旧”的攻击方法会如此受到“追捧”呢?答案就是其“简单+高效”的特性,如今想要实现DDoS攻击可谓是相当容易,仅需具备两个条件即可,第一是有工具(就是用来攻击的工具),第二是掌握足够多的僵尸网络(肉鸡),通过前文的介绍我们已经了解到,缺乏有效监管的网吧主机、服务器、代理服务器、开放DNS服务器等已经成为僵尸网络、DDoS攻击等不断发展壮大的“温床”;而正式这种“简单”,使得DDoS攻击可以“高效”的完成那些有针对性的“目的”。

数据中心已经成为DDos攻击的重灾区

《报告》还显示,在中国地区,北京、上海、深圳的DDoS攻击事件最多,占全国总量的81.42%。究其原因,就是这三个地区聚集了众多的数据中心(据华为云安全中心2013年1~6月攻击统计数据显示,几乎没有数据中心能免遭DDoS攻击,而单个数据中心攻击频率不低于200次/月);而且随着电子商务、在线游戏、网银支付系统、社交网站等需要数据中心支撑的高利润在线业务的高速增长,以恶意竞争为目的的DDoS攻击与日俱增,而持续时间也是越来越长。由此不难看出,数据中心已经成为DDos攻击的重灾区。

而值得注意的是,针对数据中心热门业务的攻击,不仅会影响到该业务的正常访问,还会牵连到其它业务。《报告》就指出,网络层DDoS攻击严重危及数据中心基础架构,攻击或导致网络带宽拥塞,或导致基于会话转发设备(如防火墙、IPS、负载均衡设备)会话资源耗尽,致使这些设备成为网络瓶颈,从而导致数据中心运营成本增高,客户满意度降低,同时还会给互联网业务提供商造成严重的经济损失。

三大热门业务最易受攻击

根据华为云安全中心的统计数据显示,在“重灾区”数据中心中排名前三的被攻击业务分别为电子商务、在线游戏和DNS服务,其中电子商务作为高利润在线业务的典型代表,以超过56%的“份额”遥遥领先;而在线游戏领域由于存在激烈的“恶意竞争”,因此其所占的“份额”同样不低,超过了25%。那么为什么针对DNS服务的DDoS攻击排到了第三位呢?对此,《报告》给出了解释:互联网业务系统一般都采用大量服务器组成的集群部署模式,相比较而言,DNS系统的安全性及对攻击的容纳能力则相对要弱得多,因此城域网DNS缓存服务器和各企业的DNS授权服务器非常容易成为DDoS的攻击目标。


解读2013华为僵尸网络与DDoS攻击报告
攻击应用类型分布

而值得注意的是,针对不同业务,攻击手段也有所不同,其中针对电子商务的DDoS攻击主要以HTTP Get Flood(CC攻击)为主,即攻击者利用僵尸网络发起的以消耗服务器计算资源为目的的对具有数据库查询操作的URI的高频访问;针对基于HTTP协议的网页游戏的DDoS攻击同样以HTTP Get Flood(CC攻击)为主,而针对UDP在线游戏的DDoS攻击则以UDP Flood为主、针对TCP在线游戏的DDoS攻击以SYN Flood、TCP Connection Flood、ACK Flood为主;此外,针对DNS服务的攻击则以Cache Miss为目的的DNS Query Flood为主,攻击主要集中针对DNS授权服务器,《报告》对此也特别指出,针对DNS授权服务器攻击事件大幅度增长,说明攻击已经从攻击在线业务服务器本身逐渐转为攻击在线业务所使用的权威域名解析服务器;而这种攻击之所以日益猖獗,主要原因就是Cache Miss攻击完全可以使用虚假源攻击技术,攻击过程中不用暴露僵尸网络,且使用较少的攻击资源即可达到明显的攻击效果。

解读2013华为僵尸网络与DDoS攻击报告
常见的DDoS攻击手段所占比例

目前来看,SYN Flood、UDP Flood依然是DDoS攻击的常见手段,但随着基于HTTP协议的各类互联网应用的快速发展,HTTP Get Flood攻击正在兴起,据华为云安全中心的数据显示,其目前已经成为仅次于SYN Flood的最常见的DDoS攻击手段。

丰富的攻击工具

刚刚已经谈到,想要实现DDoS攻击,就需要有相对应的工具,例如在国内流行时间最长的傀儡僵尸工具(出现于2006年),从最初以虚假源的网络层攻击为主,如今已经发展为囊括多种网络流行的DDoS攻击手段,其中CC攻击就是其最主要的攻击手段;而放眼全球,支撑CC攻击的热门工具是HOIC;与之对应的LOIC则是热门的针对WEB应用的DDoS攻击工具;此外,针对HTTP的慢速攻击测试工具,例如HttpDosTool和SlowHTTPTest也已开始展露头角。总结来看,这些工具的共同特点就是发出的攻击报文特征都可以随意变换,有些工具甚至支持报文内容随机变化模式,这使得基于特征库过滤攻击很难奏效。对此,《报告》建议,安全设备提供商需要采用源认证、行为分析、会话监控甚至IP信誉等更为有力的手段来实现更好的防御。

DDoS攻击:挑战虽大但未来可期

小流量慢速攻击已逐步成为主流


解读2013华为僵尸网络与DDoS攻击报告
图片说明

随着僵尸网络向着小型化的趋势发展,为降低攻击成本,有效隐藏攻击源,躲避安全设备,同时保证攻击效果,针对应用层的小流量慢速攻击已经逐步成为主流。华为云安全中心的调查数据就显示,DDoS攻击的平均带宽并不大,主要集中在10G以下。由此我们不难看出,如今的DDoS攻击已经不再是以带宽取胜,转而以攻击会话及应用为目标,很小的攻击带宽即可达到明显的攻击效果。

专家解读:不断变化的DDoS

对于持续增长的DDoS安全威胁,业界专家谈到,DDoS成为众多网络攻击手段中最受“欢迎”的主要原因就是其攻击易于实施,攻击效果明显,追踪困难。而随着越来越多的互联网应用承载在HTTP协议之上,针对HTTP应用的应用层DDoS攻击日渐频繁,攻击手段也更加隐蔽。此外,DNS作为互联网基础架构的重要性以及DNS系统的脆弱性都引起了攻击者的注意,攻击已经从攻击在线业务服务器本身逐渐转为攻击在线业务所使用的权威域名解析服务器。

展望DDoS未来:重点在云数据中心和移动终端

今天,针对数据中心业务系统的应用层攻击比例也越来越大,导致很多数据中心经验者“谈CC色变”。而在未来几年,随着全球互联网业务和云计算的发展热潮,我们可以预见,针对云数据中心的DDoS攻击频率将会大幅度增长,攻击手段也会更加复杂,小流量的应用层攻击和慢速攻击将会进一步爆发。

而随着智能手机的普及和移动网络应用的迅猛发展,模拟智能手机发起的针对移动应用的DDoS攻击已经在互联网多次出现,虽然截止到目前,还未发现来自真实智能手机的DDoS攻击,但这种趋势已经难以避免。《报告》指出,如果智能终端HTTP协议栈的问题无法得到妥善解决,将会给互联网安全带来前所未有的挑战;安全设备提供商必须要寻求类似行为分析、IP信誉等更为有效的防御方法。

除了针对业务的DDoS攻击外,随着多核网络设备的普遍使用,互联网又出现了通过刻意构造攻击源导致多核网络设备分流不均的DDoS攻击,从而导致网络安全设备总体处理性能降低,自身首先成为网络性能瓶颈。展望未来,只要多核网络安全设备还处于领导地位,此类攻击的攻击峰值带宽必定会快速提升以挑战安全设备厂商的设备性能极限。因此,未来的多核网络安全设备接口不仅需要具备线性转发能力,还需要具备一定的攻击流量动态过滤能力。

未来几年,IPv4网络将逐步向IPv6演进,可以预计,针对IPv4和IPv6协议的混合攻击很快就会成为新型的DDoS攻击威胁,众多IPv4 to IPv6协议转换网关设备也将成为DDoS攻击的目标。而且,随着IPv6网络的普及,针对IPv6网络协议的漏洞攻击也将逐步爆发。

总结:挑战虽大 未来可期

通过对《2013华为僵尸网络与DDoS攻击报告》的解读我们不难看到,基于以小型化、局部化和专业化为特征的僵尸网络的新一代DDoS攻击来势凶猛,在各种目的和利益的推动下,配合丰富的攻击工具,使得DDoS攻击变得异常“简单和高效”;如今的数据中心已然成为DDoS攻击的重灾区,而依托于数据中心的电子商务、在线游戏、DNS服务等热点业务应用也正面临着前所未有的挑战。此时,部署专业的Anti-DDoS解决方案已经成为必需(例如华为Anti-DDoS解决方案,就具备业界领先的高性能和精准检测检,可更好的阻止DDOS攻击带来的安全威胁),当然,想要根本解决僵尸网络和DDoS攻击的难题,仅靠一两家安全厂商是远远不够的,就像《报告》指出的一样,网络安全不仅仅是某个企业的责任,更是全社会的共同责任,需要大家共同努力。而只有这样,未来人们在第一时间感知威胁,并实现在线快速阻断恶意流量的美好愿望才能真正实现。

稿源:http://safe.zol.com.cn/411/4112749_all.html

联系站长租广告位!

中国首席信息安全官
Copy link