DDoS攻击事件
2014年12月10日,爆发了运营商DNS网络DDoS攻击事件。从12月10日凌晨开始,现网监控到攻击流量突增的情况,到上午11点开始,攻击开始活跃,多个省份不断出现网页访问缓慢,甚至无法打开等故障现象。某省运营商遭遇的攻击,高峰时竟然出现了高达6G的攻击混合流量,对DNS网络的冲击可想而知。
经过分析样本发现,12月10日的攻击主要是针对多个域名(包括arkhamnetwork.org、arkhamnetwork.com、getfastinstagramfollowers.net)的随机查询攻击;11日凌晨攻击出现变种,出现针对其他域名的攻击,攻击源主要来自各省内。攻击者不仅在短暂的时间内发起了峰值大于6G bps的查询请求(全国范围内大于100G的攻击),而且连续的变换二级域名,造成各省的DNS递归服务器延迟增大,核心解析业务受到严重影响。
DDoS攻击方法
分布式拒绝服务攻击(DDoS)是拒绝服务攻击(DoS)的一种,用分布式的客户端,向服务提供者发起大量看似合法的请求,消耗或长期占用大量资源,从而达到拒绝服务的目的。依据消耗目标资源的不同可以将DDoS分为三类:网络带宽资源、系统资源及应用资源。(这方面的介绍请参看:你以为你了解DDoS吗?)
这次攻击发起的方式有两种可能:一是攻击者控制了大量被攻击省内的肉鸡;二是利用攻击工具模拟被攻击省份的内网IP。向DNS的递归节点发起随机域名Flood,由于二级域名随机,且在递归服务器的缓存中并不存在,递归服务器需要不断的迭代去查询最终的结果,从而能进一步加剧了递归服务器的负载,造成服务器性能耗尽。
攻击者调用大量肉鸡发起针对多个域名的随机查询攻击,由于本地DNS服务器上没有相应的记录,需要向外递归查询,极大的消耗了服务器性能。
2014年DDoS攻击事件分析
DDoS攻击目的
“天下熙熙,皆为利来。天下攘攘,皆为利往。”虽然此次攻击事件还没有人或组织为之负责,但一般来说如今DDoS攻击单纯为破坏的可能性越来越小,从最终攻击者获取利益来说大多分为三类:敲诈勒索、实施报复及获取竞争优势。
敲诈勒索:DDOS由于其攻击的低廉成本,用来实施长期打击,以便敲诈攻击对象。国外的行情大概是按照DDoS攻击的市场行价向攻击目标索取3折的保护费,但其攻击成本可能连1/10都不到。
实施报复:FBI总结人犯罪动机大多来自三类,信仰、金钱和女人。政治、偶像、团队、理论维护等等都是信仰的范畴,还记得以前的69圣战吧。不同的群体为了信仰站在一起,当这些信仰发生冲突的时候,报复在所难免。
获取竞争优势:物理学中有“不稳定平衡”的概念,在商业竞争中更是如此,老大想要稳坐第一,老二需要搏上位,老三想要抢份额,商业竞争从诞生的第一天开始,就充满了竞争。合理的竞争无可厚非,但总有一些人喜欢二两拨千斤,DDoS这种本小利大的工具就被盯上了。其目的要么是获取时间优势,要么是打击对手的声誉。
DDoS攻击防御
在防护工具的选择上,建议用具备专业DDoS防护能力的专业设备。因为基础的网络安全设备(FW、IPS等)不具备精准识别此类攻击的能力,而且他们在攻击过程中,本身就是脆弱的,极易成为第一块倒下的多米诺骨牌;其次设备的处理性能要高,本次攻击从目前监测到的数据看,峰值流量已经接近10G,要求防护设备具备高性能的特点。
在具体部署中,建议旁路部署,借助灵活的路由策略可实现清洗能力的共享。清洗能力可轻松覆盖全省,不留死角。
最后,在应急响应支持团队的支持中,要联系应急支持服务经验丰富的团队,以免造成大面积断网。
绿盟科技攻防团队在监控到攻击发生后,立即启动应急处理流程,截至目前,协助处理的各省的DDoS攻击现象均已得到有效控制。
DDoS威胁报告
网络安全威胁正在变得日益复杂,各类攻击目标、手段及来源始终在不断的发生着变化,随之企业及各类组织需要不断关注这些发展态势,以便能够理解与预测未来可能遭遇的恶意攻击,进而应对复杂变化所带来的挑战。
DDoS(分布式拒绝服务)作为网络安全威胁中的典型攻击手段,从诞生的那天起就从未停止,绿盟科技威胁响应中心对此予以重点及持续关注,同时定期发布《DDoS威胁报告》,帮助大家:
- 持续了解及掌握DDoS威胁发展态势
- 在遭遇到攻击后,可以快速理解及检测可能的伤害程度
- 不断强化网络安全意识,完善解决方案
此次DDoS攻击事件,也收录入《2014年绿盟科技DDoS威胁报告》,届时会有更为全面的分析,敬请期待!
《2014H1绿盟科技DDoS威胁报告》请在这里下载:
http://www.nsfocus.com.cn/report/H1_2014_DDoS_THEATS_REPORT.pdf
《2014年绿盟科技DDoS威胁报告》将会刊登在绿盟科技安全+技术刊物上,请随时发布页面:
http://www.nsfocus.com.cn/6_about/6_9.html
绿盟科技安全团队
绿盟科技安全团队14年来,持续关注互联网基础安全,进行深入的安全攻防研究,并且在国内外设有30多个分支机构,以便能够为客户提供抗拒绝服务攻击的专业安全服务。在此次攻击事件中,来自各省份的分支机构安全团队,也为控制事态发展提供了第一时间的反馈及反击DDoS的动作,为抗DDoS攻击事件再次提供了一份解决方案。
绿盟科技还是国际云安全联盟的第一个亚太区企业成员,CSA中国分会理事理事赵粮,现任绿盟科技CTO。
2014年DDoS攻击事件分析的相关文章请参看