據(jù)國外媒體報道，Prolexic公司DDos攻擊報告中顯示，2014年第一季度DDoS攻擊的數(shù)量比去年增長了47%。這份報告中還顯示，平均攻擊持續(xù)時間縮短了50%，由35小時降低到17小時。另外，為這種攻擊提供便利的肉雞電腦(感染的PC和服務(wù)器)大部分來自中印兩國，這與盜版的普及不無關(guān)系。

DDoS全稱Distributed Denial of Service(分布式拒絕服務(wù)攻擊)，近兩年不但沒有放緩跡象，還有愈演愈烈之勢。基本上，DDos有兩種攻擊類型。第一種發(fā)生在應(yīng)用層，也就是針對應(yīng)用服務(wù)本身，第二種發(fā)生在網(wǎng)絡(luò)層，可被大部分路由器防火墻屏蔽。DDos攻擊旨在利用瞬時爆發(fā)流量占據(jù)所有網(wǎng)絡(luò)和服務(wù)器資源，導(dǎo)致服務(wù)崩潰。這些攻擊可以模仿合法用戶流量繞過防火墻的DDoS攻擊解決方案和導(dǎo)致Web服務(wù)器崩潰。這幾乎是一種無法閃避的攻擊。

比較有名的案例是，已經(jīng)破產(chǎn)的Mt.gox比特幣交易所就曾經(jīng)數(shù)度因為DDos攻擊導(dǎo)致崩潰，使得比特幣的價格大幅下降。在過去的一年，DDoS攻擊的數(shù)量迅速增加。這種趨勢將持續(xù)下去，2014年中，幾乎每三次攻擊就有一次攻擊的流量超過20Gbps，更有一些網(wǎng)絡(luò)攻擊的流量甚至超越200Gbps。

從技術(shù)上來說主要原因是攻擊者今年采用了超大SYN洪流和DNS擴增方法，可以產(chǎn)生很高的流量。另外，近期一個相對較新的技術(shù)進入了人們的視野：NTP(網(wǎng)絡(luò)時間協(xié)議)擴增。上個月，NTP擴增攻擊居然超過了超大SYN洪流，成為最普遍的網(wǎng)絡(luò)DDoS攻擊。然而，就整個網(wǎng)絡(luò)的DDoS攻擊趨勢而言，超大SYN洪流攻擊仍然占主導(dǎo)地位，在攻擊流量達到5Gbps的攻擊中51.5%使用了這種攻擊方式。

肉雞種類不斷擴大

被惡意代碼操控的電腦被稱為肉雞或網(wǎng)絡(luò)僵尸。大量證據(jù)表明，DDoS攻擊肉雞的種類正在變得日益復(fù)雜。現(xiàn)在的肉雞甚至包括基于瀏覽器的DDoS攻擊肉雞，這使其能夠繞過JavaScript和cookie的挑戰(zhàn)-兩個最常見的肉雞過濾安全方案。

2014年肉雞變得“更聰明”了，特別是他們可以模仿標(biāo)準(zhǔn)瀏覽器的能力。超過29%的肉雞每月攻擊的目標(biāo)可以超過50個，研究還發(fā)現(xiàn)，有29.9%的DDoS攻擊肉雞現(xiàn)在能夠接受和存儲cookie。此外，近百分之一的肉雞還能夠執(zhí)行JavaScript。

DDos攻擊肉雞來源

不同于網(wǎng)絡(luò)層攻擊，應(yīng)用層的攻擊不能使用偽造的IP地址來隱藏他們的源代碼。攻擊者必須劫持那些與互聯(lián)網(wǎng)有連接的肉雞。根據(jù)對IP的源地址的分析，來自印度、中國和伊朗的肉雞占所有肉雞的25%。以下是具體數(shù)據(jù):

印度(9.59%)

中國(9.2%)

伊朗(7.99%)

印度尼西亞(4.29%)

美國(4.26 %)

泰國(4.20 %)

土耳其(3.89%)

俄羅斯(3.45 %)

越南(2.88 %)

秘魯(2.62%)

這些地點是肉雞(感染的PC和服務(wù)器)的來源，而不是攻擊者的來源，攻擊者可以遠(yuǎn)程操作這些資源。這些地區(qū)成為肉雞工廠的原因很可能與盜版軟件泛濫有關(guān)。

防御方法需要加強

由于DDoS攻擊的發(fā)展和技術(shù)的提高，安全解決方案自然也要進化。這些解決方案將需要能夠判斷行為異常和使用其他檢測技術(shù)分辨假瀏覽器。

網(wǎng)絡(luò)肉雞可以被用作共享的DDoS資源。也就是說，這些肉雞是可以被出租的。平均來看，近40%的攻擊IP地址每月至少攻擊50個獨立的目標(biāo)。因為肉雞們被重復(fù)使用來攻擊多個目標(biāo)，所以基于信譽的安全技術(shù)也可以相當(dāng)有效地預(yù)測訪問者的意圖，并主動阻斷一個“可疑”的IP地址。新的攻擊方法，以及攻擊量的激增表明DDos攻擊愈演愈烈。網(wǎng)絡(luò)服務(wù)提供者需要對未來不斷增加且越來越復(fù)雜的DDoS攻擊做好準(zhǔn)備。(秉翰)