素材源自ThreatPost
2020年第二季度,迫於疫情,全球的大多數人們繼續在家工作,網絡攻擊事件逐月上升。
研究人員稱,分布式拒絕服務(DDoS)攻擊的數量在2020年第二季度激增。
分布式拒絕服務攻擊(英文:Distributed Denial of Service,簡稱DDoS)是指處於不同位置的多個攻擊者同時向一個或數個目標發動攻擊,或者一個攻擊者控制了位於不同位置的多臺機器並利用這些機器對受害者同時實施攻擊。由於攻擊的發出點是分布在不同地方的,這類攻擊稱為分布式拒絕服務攻擊,其中的攻擊者可以有多個。
DDOS攻擊報告
根據最新的卡巴斯基季度DDoS攻擊報告,與去年第二季度相比,DDoS事件的發生頻率是去年第二季度的3倍(增長217%),與2020年第一季度觀察到的DDoS攻擊數量相比增加了30%。
DDoS攻擊的典型年度趨勢是:攻擊在年初,企業的旺季激增,而在春末夏初則趨於下降。卡巴斯基研究人員指出,與2019年第一季度相比,2019年第二季度的攻擊次數下降了39%;2018年也出現了類似的趨勢。
今年的趨勢一反往常,很明顯:由於冠狀病毒大流行。簡單地說,在線進行個人和工作相關活動的人比平常更多,這成為各種網絡犯罪的誘人目標,DDoS也不例外。
卡巴斯基公司在周一(8月10日)發布的研究報告中說:「專家認為,惡意活動的增加可以歸因於COVID-19的流行,因為網絡犯罪分子和他們的目標都不得不重新考慮他們的夏季計劃。」「病毒大流行和社會距離限制極大地改變了人們的生活,許多人要麼以『寄宿』的方式度過假期,要麼取消了原定的假期。夏季計劃的這一變化帶來了意想不到的後果,如DDoS攻擊數量的增加。」
每天的平均攻擊次數也有所增加;4月9日,每天的攻擊次數最多,接近300次;而在第一季度,創紀錄的最高攻擊次數是242次。
教育和政府機構是第二季度最頻繁的攻擊目標;不過,從6月下旬開始,教育部門的攻擊急劇減少,這可能是因為暑假開始了。
最受攻擊的三個地理區域是中國大陸(65.12%)、美國(20.28%)和香港(6.08%)。與第一季度相比,羅馬尼亞退出了前10名,排在第17名,而英國則從第18名上升到第10名。
在目標數量和攻擊數量方面,這些前三名也位居榜首:中國大陸排名66.02%,美國佔19.32%;香港(6.34%)。
還有其他有趣的數據,該公司發現DDoS殭屍網絡活動在周三和周四增加,而在周六下降。大多數襲擊只持續了20分鐘。最長的攻擊持續了幾天(215,214和210小時是最長的),這是第一季度持續時間最長的攻擊(約19天)數量的一半以上。
SYN flood仍然是主要的DDoS攻擊形式(94.7%),而ICMP攻擊佔4.9%,其他類型的DDoS攻擊很少出現。然而,卡巴斯基指出,上個季度發現了兩種新的DDoS放大方法。
SYN flood:syn泛洪攻擊,只向伺服器不斷發送syn請求報文。
DDOS放大方法
一種是利用DNS委派過程中的DNS伺服器漏洞進行攻擊。
報告稱:「該漏洞利用計劃被稱為NXNSAttack。」「黑客向合法的DNS伺服器發送一個請求:到其自己的惡意DNS伺服器的區域內的幾個子域進行查詢。然後,惡意伺服器將請求委派給目標域中的大量假冒NS伺服器,而不指定它們的IP位址。因此,合法的DNS伺服器查詢所有被請求的子域,導致流量增長1620倍。」該問題在最新版本的DNS伺服器軟體中進行了修補。
NS:NS(Name Server)記錄是域名伺服器記錄,用來指定該域名由哪個DNS伺服器來進行解析。
另一种放大方法名為RangeAmp,它利用HTTP範圍請求下載部分文件。惡意範圍請求可將內容交付網絡(CDN)上的流量負載增加724到43330倍。
有興趣可以搜索RangeAmp攻擊,CDN對Range的回源策略。
兩種攻擊方式:
上升趨勢仍然繼續
而且,隨著疫情的持續,網絡犯罪的上升趨勢仍在繼續。7月下旬,研究結果顯示勒索軟體攻擊有所上升,特別是在美國,勒索軟體攻擊同比增長了一倍多(上升了109%)。與此同時,針對物聯網設備的惡意軟體已經上升到2020萬,比去年同期增長了50%——因為網絡犯罪的目標是大量在家工作的員工。
01有話說
可以看到,DDOS主要的攻擊方式是syn泛洪,有興趣的可以查一查。後續我也會用python講解一下syn泛洪的實現。新增的DDOS擴大方法,第一個方法利用DNS的漏洞,已經修復。第二個方法,是清華大學的研究小組所發現的,發表的論文成為2020年CDN最佳論文,《CDN Backfired: Amplification Attacks Based on HTTP Range Requests》最受攻擊的中國大陸表示:我不怕,放馬過來!