Radware:2016年攻击趋势

相关专题: 物联网

2017年01月11日16:03 来源:电脑商情网T|T

【移动通信网】就拒绝服务攻击而言,2016年应该算是多事之秋了。在这一年里,整个行业遭遇了有史以来规模最大的攻击,并出现了很多测试并挑战现代防御措施的新攻击方法。每年,RadwareERT团队都会检测到数以百万计的攻击,ERT研究人员全年也在不断地回顾并分析这些攻击,以便更深入地了解攻击载体现状的趋势和改变。

在2016年,攻击者最常用的两个攻击是突发式攻击,又名“打了就跑”攻击,另一个是高级持续性拒绝服务(ApDoS)攻击。Radware发现许多攻击者使用了随机间隔的高容量突发式攻击,这些攻击可以持续数周,包含有多个可以同时攻击所有网络层的攻击载体。这些类型的攻击很可能引发网络服务器SLA的频繁中断,并阻碍合法用户访问服务。

另一方面,黑客也在寻求可以实行网络瘫痪式攻击的新载体和方法。2016年,Radware注意到物联网(IoT)被广泛用于创建强大的僵尸网络,以及BlackNurse、ICMP攻击等许多新的攻击载体。最值得注意的是某用户在HackForum上发布的Mirai僵尸网络源代码。该僵尸网络利用了在基于BusyBox的IoT设备上发现的60多个出厂默认凭证,创建了迄今为止最为强大的僵尸网络。Mirai背后更令人关注的因素之一就是通用路由封装(GRE)攻击载体。这一相对较新的方法在数据包中封装了包含大量的数据,试图使接收网络因解封负载时而耗尽资源。

来自RadwareERT的5大DDoS载体

HTTP/s

2016年,RadwareERT发现了385,000个以上针对客户发起的HTTP泛洪攻击。HTTP泛洪攻击是黑客用于攻击Web服务器和应用的一种攻击方法。HTTP泛洪攻击由一组发送到目标服务器的看似合法的基于会话的HTTPGET或POST请求组成。为了增强整体的攻击能力,通常会通过僵尸网络大批量发送这类请求,但同时也会利用HULK和SlowLoris等DoS工具发起攻击。HULK是一个简单的泛洪攻击工具,可以为每个请求生成独特的HTTP请求。藉此,HULK可以帮助攻击规避缓存技术,直接攻击服务器。在今年的OpIcarus攻击中,攻击者采用了HULK、SlowLoris、TorsHammer和Slowhttp等许多L7DoS工具。

DNS

DNS泛洪攻击是针对特定应用的UDP泛洪攻击的变体。由于DNS服务器使用UDP进行名称解析,因此向DNS服务器发送大量DNS请求可以消耗其资源,进而引发服务降级和对合法请求的响应时间变慢。DNS放大攻击是可以利用DNS服务器工作方式来放大攻击流量的复杂拒绝服务攻击。攻击者向多个DNS服务器发送高速率的简短DNS查询内容,使服务器将完整的DNS记录列表发送给受害者。由于攻击者每发送一个简短DNS查询,DNS服务器就会回复更大的针对受害者的响应内容,因此攻击者可以把攻击放大。迄今为止,RadwareERT团队发现超过130,000个针对AAAA记录的DNS泛洪攻击,其中48个攻击来自Mirai僵尸网络。

TCP

TCP泛洪攻击是一种使用时间最长却仍受欢迎的拒绝服务攻击。TCP攻击的最常见形式包括向受害者服务器发送大量的SYN数据包。此攻击是通过滥用创建会话的三次握手规则来淹没目标服务器的会话表。服务器需要为每个到达的数据包打开一个状态,攻击者利用攻击流量填充这些表格,进而导致服务器无法处理合法流量。2016年,RadwareERT发现大量TCP攻击,如:TCP-SYN、25,081、FIN-ACK、17,264和SYN-ACK、14,758。RadwareERT还发现了来源于Mirai的名为TCPSTOMP的攻击。这是一个典型的ACK泛洪攻击,Mirai在获得合法序列号之后才开始ACK泛洪攻击,从而增加了它绕过安全解决方案的可能性。在反奥运攻击(OpOlympicHacking)期间,黑客组织Anonymous发布了一个GUI工具,允许组织成员通过Tor针对预先定义的与比赛有关的组织发起TCPPSH+ACK泛洪攻击。

UDP

UDP泛洪攻击是一种网络泛洪攻击,也是当前最常见的泛洪攻击之一。攻击者会将UDP数据包发送到单一目的端口或随机端口。在多数情况下,由于UDP协议采用了无连接传输模式,没有任何类型的握手机制或会话,因此攻击者能够假冒源IP。UDP攻击的目的是通过高容量攻击堵塞互联网管道。简单而言,UDP泛洪攻击通过大量滥用正常行为的方式引发目标网络的拥塞和服务降级。2016年,RadwareERT发现了超过50万的IPv4泛洪攻击、93,538个UDP分片攻击和816个IPv6攻击。在OpIsrael攻击期间,Radware发现了黑客组织Anonymous发布的预包装工具包,其中包括大量的GUI、图形用户界面和能够发起BlackOut、Anonymous外部攻击、DoSeR2.0和LOIC等UDP泛洪攻击的工具。除此之外,在Mirai僵尸网络发布两个月之后,Radware还发现了2,395个来自于Mirai僵尸网络的UDP泛洪攻击。

GRE

2016年,Radware发现了一个全新的强大僵尸网络,该僵尸网络使用了通用路由封装(GRE)的作为攻击载体。在GRE泛洪攻击中,攻击者在封装数据包中携带了大量数据,并将这些数据包发送到可以解封数据包有效负载的目标网络。通过发送携带大量封装数据的GRE数据包,攻击者能够消耗并耗尽可以解封有效负载的网络资源。Mirai发布之后,Radware某客户就报告了一个流量在70-180Gbps之间波动的GRE泛洪攻击。被封装的UDP数据包中含有512个字节的随机数据,Radware的DDoS防护措施能够成功缓解这种类型的攻击。

RadwareERT预测,进入2017年之后,随着1Tbps的攻击成为新的标准,拒绝服务攻击还将继续快速增长。由于IoT设备的使用和部署变得越来越广泛,Radware预计,因为IoT设备糟糕的安全性,攻击者将会找到IoT设备更多的漏洞,并将这些漏洞与Bashlite等其他僵尸网络结合起来进行攻击,很可能实现攻击规模记录。


微信扫描分享本文到朋友圈
扫码关注5G通信官方公众号,免费领取以下5G精品资料
  • 2、回复“6G31”免费领取《基于云网融合的6G关键技术白皮书
  • 3、回复“IM6G”免费领取《6G典型场景和关键能力白皮书
  • 4、回复“SPN2”免费领取《中国移动SPN2.0技术白皮书
  • 5、回复“LTKJ7”免费领取《联通科技周17本白皮书合集
  • 6、回复“5g-a”免费领取《中国联通5G-A通感算融合技术白皮书
  • 7、回复“URLLC”免费领取《中国联通5GURLLC技术白皮书
  • 8、回复“LDSL”免费领取《中国移动算力网络技术白皮书
  •   最热通信招聘

      最新招聘信息

    最新技术文章

    最新论坛贴子