ddos攻击造成_从DoS到APDoS：DDoS攻击进化史

什么是DDoS攻击？

分布式拒绝服务( DDoS )攻击是指攻击者利用合理的服务请求占用大量资源，而目标系统不能提供正常的服务。 这可以通过阻止各种访问请求(包括服务器、设备、服务、网络、应用程序以及程序中的特定事务)来实现。 DoS攻击是发送恶意数据或请求的系统，DDoS攻击可以来自多个系统。

通常，DDoS攻击通过请求数据来攻击淹没系统。 向Web服务器发送大量请求可能会导致页面崩溃或成为包含大量查询命令的数据库。 因此，可用的互联网带宽、CPU和RAM容量可能会导致应用程序和网站体验服务中断，导致整个业务瘫痪。

DDoS攻击的症状

DDoS攻击看起来与无恶意事件类似，例如服务器或系统崩溃、合法请求过多或缆线断开。 通常，确定问题点需要流量分析。

DDoS攻击发展史

但是，DDoS攻击的危害使人们改变了看法。 2000年初，加拿大高中生Michael calce通过分布式拒绝服务( DDoS )攻击，试图关闭当时世界上最主要的门户之一的雅虎(雅虎)服务。 在接下来的一周内，Calce成功中断了Amazon、CNN、eBay等其他网站。

当然，DDoS攻击并不是首次实施，但是一系列高度成功的攻击使DDoS由新的、轻微的骚扰变成了最高信息安全官和最高信息负责人维持业务安全运营的噩梦。

从那以后，DDoS攻击成为频繁发生的威胁。 经常被用来明确报复目标，敲诈勒索，发动网络战争。

经过多年的发展和演变，DDoS攻击的功能和危害也越来越大。 上世纪90年代中期的攻击可能只需要每秒150次，这足以麻痹许多系统。 现在以1000Gbps以上的速度传播。 这是现代僵尸网络的巨大规模大力推动的。

2016年10月，互联网基础架构服务提供商Dyn DNS (当前的Oracle DYN )遭遇了具有数千万IP地址的DNS查询服务。 据报道，僵尸网络病毒“Mirai”的这次攻击感染了包括IP相机和打印机在内的10万台以上的物质网络设备。 在这次爆炸的高峰期，“Mirai”僵尸网络病毒感染了40万台以上的机器人。 Amazon、Netflix、Reddit、Spotify、Tumblr和Twitter等服务器受到攻击。

2018年初，新的DDoS技术开始出现。 2月28日，GitHub可能遭遇到迄今为止最大的DDoS攻击，最大访问次数为1.35Tbps。 Github曾两次经历间歇性无法访问，但在20分钟内击退了攻击。 这次攻击的规模有可能超过Dyn攻击( 1.2Tbps )。

根据这次攻击技术的分析，那在某些方面比其他攻击要简单。 Dyn攻击是Mirai僵尸网络的产物，需要恶意软件来攻击成千上万的物理网络设备，但是GitHub攻击使用运行Memcached存储器缓存系统的服务器，该系统响应于简单的请求非常大

Memcached是一种高性能的分布式内存对象缓存系统，动态Web应用程序用于减轻数据库负载。

Memcached仅用于运行在内部网络上的受保护服务器，很少安全性防止恶意攻击者欺骗IP地址或向不警惕的受害者发送大量数据。 不幸的是，成千上万的Memcached服务器位于开放式互联网上，在DDoS攻击中的利用率大大提高。 不能说服务器“被劫持了”。 因为没有提出数据要求就兴奋地发送数据包。

GitHub攻击几天后，基于Memecached的DDoS攻击与美国服务提供商发生冲突，每秒数据达到1.7TB。

与许多DDoS攻击不同，“Mirai”僵尸网络的特点主要是攻击安全保护弱的物联网设备，而不是计算机或服务器。 根据调查机构BI Intelligence的调查，到2020年为止有340亿台互联网连接设备，大多数( 240亿台)会成为物联网设备。

遗憾的是，“Mirai”不是最后一个物质网络的僵尸网络。 Akamai、Cloudflare、Flashpoint、Google、RiskIQ、Team Cymru等安全团队的调查发现了同样规模的僵尸网络——由——WireX、100个国内的10万台安全设备构成的僵尸网络 这次调查是由对内容提供者和内容分发网络的一系列大规模DDoS攻击引起的。

今天的DDoS攻击

DDoS攻击量继续减少，但仍是一大威胁。 卡巴斯基研究所报告说“9月份攻击变得活跃”，除了第3季度，DDoS攻击的数量减少了。 一般来说DDoS活动在2018年减少了13%。

根据卡斯佩尔斯基，像最近发现的Torii和DemonBot这样发生DDoS攻击的僵尸网络是值得关注的问题。 Torii可以继承一系列物联网设备，比Mirai更具持久性和危险性。 DemonBot接管了Hadoop集群，可以获得更多的计算能力。

另一个令人吃惊的趋势是新的DDoS攻击平台，例如0x-booter的可用性。 该DDoS攻击是Mirai的变形，使用了约1.6万个感染恶意软件的物理网络设备。

卡斯佩尔斯基的报告确实找到了减少DDoS攻击量及其损害的主要原因。 这引用了关闭DDoS运营商时全球执法机构的有效性。 这可能是攻击减少的原因。

常见的三种DDoS攻击

DDoS攻击有三个主要类别:

第一，使用大量虚假流量(如ICMP、UDP和欺骗包泛滥攻击)来减少资源(如网站和服务器)

二是DDoS攻击使用数据包来标识网络基础架构和基础架构管理工具。 这些协议攻击包括SYN Floods和smudfordos等

第三，DDoS攻击组织的应用程序层，并通过恶意请求击败应用程序。

这三个类别的DDoS攻击目标一致:减缓网络资源的反应或完全没有反应。

DDoS攻击进化

如上所述，这些攻击是通过借用的僵尸网络实现的。 这种趋势将继续下去。

另一种趋势是对攻击使用多个攻击向量，也被称为高级持久拒绝服务( APDoS )。 例如，APDoS攻击可能包括对应用层，比如，数据库，应用的攻击，和对服务器的直接攻击。

Binary Defense的合作伙伴兼执行董事Chuck Mackey表示

这只是超过了洪水攻击。

此外，Mackey还表示，攻击者往往直接攻击受害者所依赖的组织，例如互联网服务提供商和云计算提供商。 他说:“这些是影响力很大的广泛攻击，协调。

改变DDoS攻击对组织的影响，扩大风险。 美国富士律师事务所( Foley &； Lraddnerlllp )的网络安全律师Mike Overly说

企业不仅要保护自己免受DDoS攻击，还要关注所依赖的广泛业务伙伴，关心供应商和供应商是否会受到攻击。 安全最古老的谚语之一，业务安全关系到最弱环节。 在当今的环境(最近的违反行为证明)中，最弱的部分是第三者。

当然，随着罪犯完善DDoS攻击，技术和战术不会停滞。 正如JASK安全研究负责人Rod Soto所说，新物联网设备的增加，机器学习和人工智能的兴起，有助于改变这些攻击。

攻击者最终将这些技术集成到DDoS攻击中，使安全人员难以接受，尤其是通过简单的访问控制列表( ACL )或签名无法阻止的攻击。 因此，DDoS攻击的安全防御技术也要向这个方向发展。