Radware:2016年攻擊趨勢(shì)

相關(guān)專題: 物聯(lián)網(wǎng)

2017年01月11日16:03 來(lái)源:電腦商情網(wǎng)T|T

【移動(dòng)通信網(wǎng)】就拒絕服務(wù)攻擊而言,2016年應(yīng)該算是多事之秋了。在這一年里,整個(gè)行業(yè)遭遇了有史以來(lái)規(guī)模最大的攻擊,并出現(xiàn)了很多測(cè)試并挑戰(zhàn)現(xiàn)代防御措施的新攻擊方法。每年,RadwareERT團(tuán)隊(duì)都會(huì)檢測(cè)到數(shù)以百萬(wàn)計(jì)的攻擊,ERT研究人員全年也在不斷地回顧并分析這些攻擊,以便更深入地了解攻擊載體現(xiàn)狀的趨勢(shì)和改變。

在2016年,攻擊者最常用的兩個(gè)攻擊是突發(fā)式攻擊,又名“打了就跑”攻擊,另一個(gè)是高級(jí)持續(xù)性拒絕服務(wù)(ApDoS)攻擊。Radware發(fā)現(xiàn)許多攻擊者使用了隨機(jī)間隔的高容量突發(fā)式攻擊,這些攻擊可以持續(xù)數(shù)周,包含有多個(gè)可以同時(shí)攻擊所有網(wǎng)絡(luò)層的攻擊載體。這些類型的攻擊很可能引發(fā)網(wǎng)絡(luò)服務(wù)器SLA的頻繁中斷,并阻礙合法用戶訪問(wèn)服務(wù)。

另一方面,黑客也在尋求可以實(shí)行網(wǎng)絡(luò)癱瘓式攻擊的新載體和方法。2016年,Radware注意到物聯(lián)網(wǎng)(IoT)被廣泛用于創(chuàng)建強(qiáng)大的僵尸網(wǎng)絡(luò),以及BlackNurse、ICMP攻擊等許多新的攻擊載體。最值得注意的是某用戶在HackForum上發(fā)布的Mirai僵尸網(wǎng)絡(luò)源代碼。該僵尸網(wǎng)絡(luò)利用了在基于BusyBox的IoT設(shè)備上發(fā)現(xiàn)的60多個(gè)出廠默認(rèn)憑證,創(chuàng)建了迄今為止最為強(qiáng)大的僵尸網(wǎng)絡(luò)。Mirai背后更令人關(guān)注的因素之一就是通用路由封裝(GRE)攻擊載體。這一相對(duì)較新的方法在數(shù)據(jù)包中封裝了包含大量的數(shù)據(jù),試圖使接收網(wǎng)絡(luò)因解封負(fù)載時(shí)而耗盡資源。

來(lái)自RadwareERT的5大DDoS載體

HTTP/s

2016年,RadwareERT發(fā)現(xiàn)了385,000個(gè)以上針對(duì)客戶發(fā)起的HTTP泛洪攻擊。HTTP泛洪攻擊是黑客用于攻擊Web服務(wù)器和應(yīng)用的一種攻擊方法。HTTP泛洪攻擊由一組發(fā)送到目標(biāo)服務(wù)器的看似合法的基于會(huì)話的HTTPGET或POST請(qǐng)求組成。為了增強(qiáng)整體的攻擊能力,通常會(huì)通過(guò)僵尸網(wǎng)絡(luò)大批量發(fā)送這類請(qǐng)求,但同時(shí)也會(huì)利用HULK和SlowLoris等DoS工具發(fā)起攻擊。HULK是一個(gè)簡(jiǎn)單的泛洪攻擊工具,可以為每個(gè)請(qǐng)求生成獨(dú)特的HTTP請(qǐng)求。藉此,HULK可以幫助攻擊規(guī)避緩存技術(shù),直接攻擊服務(wù)器。在今年的OpIcarus攻擊中,攻擊者采用了HULK、SlowLoris、TorsHammer和Slowhttp等許多L7DoS工具。

DNS

DNS泛洪攻擊是針對(duì)特定應(yīng)用的UDP泛洪攻擊的變體。由于DNS服務(wù)器使用UDP進(jìn)行名稱解析,因此向DNS服務(wù)器發(fā)送大量DNS請(qǐng)求可以消耗其資源,進(jìn)而引發(fā)服務(wù)降級(jí)和對(duì)合法請(qǐng)求的響應(yīng)時(shí)間變慢。DNS放大攻擊是可以利用DNS服務(wù)器工作方式來(lái)放大攻擊流量的復(fù)雜拒絕服務(wù)攻擊。攻擊者向多個(gè)DNS服務(wù)器發(fā)送高速率的簡(jiǎn)短DNS查詢內(nèi)容,使服務(wù)器將完整的DNS記錄列表發(fā)送給受害者。由于攻擊者每發(fā)送一個(gè)簡(jiǎn)短DNS查詢,DNS服務(wù)器就會(huì)回復(fù)更大的針對(duì)受害者的響應(yīng)內(nèi)容,因此攻擊者可以把攻擊放大。迄今為止,RadwareERT團(tuán)隊(duì)發(fā)現(xiàn)超過(guò)130,000個(gè)針對(duì)AAAA記錄的DNS泛洪攻擊,其中48個(gè)攻擊來(lái)自Mirai僵尸網(wǎng)絡(luò)。

TCP

TCP泛洪攻擊是一種使用時(shí)間最長(zhǎng)卻仍受歡迎的拒絕服務(wù)攻擊。TCP攻擊的最常見形式包括向受害者服務(wù)器發(fā)送大量的SYN數(shù)據(jù)包。此攻擊是通過(guò)濫用創(chuàng)建會(huì)話的三次握手規(guī)則來(lái)淹沒(méi)目標(biāo)服務(wù)器的會(huì)話表。服務(wù)器需要為每個(gè)到達(dá)的數(shù)據(jù)包打開一個(gè)狀態(tài),攻擊者利用攻擊流量填充這些表格,進(jìn)而導(dǎo)致服務(wù)器無(wú)法處理合法流量。2016年,RadwareERT發(fā)現(xiàn)大量TCP攻擊,如:TCP-SYN、25,081、FIN-ACK、17,264和SYN-ACK、14,758。RadwareERT還發(fā)現(xiàn)了來(lái)源于Mirai的名為TCPSTOMP的攻擊。這是一個(gè)典型的ACK泛洪攻擊,Mirai在獲得合法序列號(hào)之后才開始ACK泛洪攻擊,從而增加了它繞過(guò)安全解決方案的可能性。在反奧運(yùn)攻擊(OpOlympicHacking)期間,黑客組織Anonymous發(fā)布了一個(gè)GUI工具,允許組織成員通過(guò)Tor針對(duì)預(yù)先定義的與比賽有關(guān)的組織發(fā)起TCPPSH+ACK泛洪攻擊。

UDP

UDP泛洪攻擊是一種網(wǎng)絡(luò)泛洪攻擊,也是當(dāng)前最常見的泛洪攻擊之一。攻擊者會(huì)將UDP數(shù)據(jù)包發(fā)送到單一目的端口或隨機(jī)端口。在多數(shù)情況下,由于UDP協(xié)議采用了無(wú)連接傳輸模式,沒(méi)有任何類型的握手機(jī)制或會(huì)話,因此攻擊者能夠假冒源IP。UDP攻擊的目的是通過(guò)高容量攻擊堵塞互聯(lián)網(wǎng)管道。簡(jiǎn)單而言,UDP泛洪攻擊通過(guò)大量濫用正常行為的方式引發(fā)目標(biāo)網(wǎng)絡(luò)的擁塞和服務(wù)降級(jí)。2016年,RadwareERT發(fā)現(xiàn)了超過(guò)50萬(wàn)的IPv4泛洪攻擊、93,538個(gè)UDP分片攻擊和816個(gè)IPv6攻擊。在OpIsrael攻擊期間,Radware發(fā)現(xiàn)了黑客組織Anonymous發(fā)布的預(yù)包裝工具包,其中包括大量的GUI、圖形用戶界面和能夠發(fā)起B(yǎng)lackOut、Anonymous外部攻擊、DoSeR2.0和LOIC等UDP泛洪攻擊的工具。除此之外,在Mirai僵尸網(wǎng)絡(luò)發(fā)布兩個(gè)月之后,Radware還發(fā)現(xiàn)了2,395個(gè)來(lái)自于Mirai僵尸網(wǎng)絡(luò)的UDP泛洪攻擊。

GRE

2016年,Radware發(fā)現(xiàn)了一個(gè)全新的強(qiáng)大僵尸網(wǎng)絡(luò),該僵尸網(wǎng)絡(luò)使用了通用路由封裝(GRE)的作為攻擊載體。在GRE泛洪攻擊中,攻擊者在封裝數(shù)據(jù)包中攜帶了大量數(shù)據(jù),并將這些數(shù)據(jù)包發(fā)送到可以解封數(shù)據(jù)包有效負(fù)載的目標(biāo)網(wǎng)絡(luò)。通過(guò)發(fā)送攜帶大量封裝數(shù)據(jù)的GRE數(shù)據(jù)包,攻擊者能夠消耗并耗盡可以解封有效負(fù)載的網(wǎng)絡(luò)資源。Mirai發(fā)布之后,Radware某客戶就報(bào)告了一個(gè)流量在70-180Gbps之間波動(dòng)的GRE泛洪攻擊。被封裝的UDP數(shù)據(jù)包中含有512個(gè)字節(jié)的隨機(jī)數(shù)據(jù),Radware的DDoS防護(hù)措施能夠成功緩解這種類型的攻擊。

RadwareERT預(yù)測(cè),進(jìn)入2017年之后,隨著1Tbps的攻擊成為新的標(biāo)準(zhǔn),拒絕服務(wù)攻擊還將繼續(xù)快速增長(zhǎng)。由于IoT設(shè)備的使用和部署變得越來(lái)越廣泛,Radware預(yù)計(jì),因?yàn)镮oT設(shè)備糟糕的安全性,攻擊者將會(huì)找到IoT設(shè)備更多的漏洞,并將這些漏洞與Bashlite等其他僵尸網(wǎng)絡(luò)結(jié)合起來(lái)進(jìn)行攻擊,很可能實(shí)現(xiàn)攻擊規(guī)模記錄。


微信掃描分享本文到朋友圈
掃碼關(guān)注5G通信官方公眾號(hào),免費(fèi)領(lǐng)取以下5G精品資料
  • 1、回復(fù)“YD5GAI”免費(fèi)領(lǐng)取《中國(guó)移動(dòng):5G網(wǎng)絡(luò)AI應(yīng)用典型場(chǎng)景技術(shù)解決方案白皮書
  • 2、回復(fù)“5G6G”免費(fèi)領(lǐng)取《5G_6G毫米波測(cè)試技術(shù)白皮書-2022_03-21
  • 3、回復(fù)“YD6G”免費(fèi)領(lǐng)取《中國(guó)移動(dòng):6G至簡(jiǎn)無(wú)線接入網(wǎng)白皮書
  • 4、回復(fù)“LTBPS”免費(fèi)領(lǐng)取《《中國(guó)聯(lián)通5G終端白皮書》
  • 5、回復(fù)“ZGDX”免費(fèi)領(lǐng)取《中國(guó)電信5GNTN技術(shù)白皮書
  • 6、回復(fù)“TXSB”免費(fèi)領(lǐng)取《通信設(shè)備安裝工程施工工藝圖解
  • 7、回復(fù)“YDSL”免費(fèi)領(lǐng)取《中國(guó)移動(dòng)算力并網(wǎng)白皮書
  • 8、回復(fù)“5GX3”免費(fèi)領(lǐng)取《R1623501-g605G的系統(tǒng)架構(gòu)1
  • 本周熱點(diǎn)本月熱點(diǎn)

     

      最熱通信招聘

    業(yè)界最新資訊


      最新招聘信息