2013年上半年����,全球僵尸網(wǎng)絡(luò)依然保持小型化����、局部化和專業(yè)化的特點。
基于通信報文特征及行為特征的識別技術(shù)是主流僵尸網(wǎng)絡(luò)檢測技術(shù)���,在此基礎(chǔ)上�,新的安全技術(shù)也在不斷發(fā)展���?�;贔ast-flux惡意域名請求的監(jiān)測技術(shù)�����、新一代的沙箱與蜜網(wǎng)技術(shù)�����、DDoS攻擊溯源���,以及借助云安全技術(shù)形成的C&C主機(jī)及僵尸主機(jī)全球IP信譽(yù)庫,使得人們第一時間感知威脅����,并在線快速阻斷惡意流量成為可能。
從網(wǎng)絡(luò)攻擊的分類統(tǒng)計數(shù)據(jù)來看�����,利用僵尸網(wǎng)絡(luò)發(fā)起的DDoS攻擊依然占網(wǎng)絡(luò)攻擊事件的絕大多數(shù)�����,針對應(yīng)用層的DDoS攻擊事件上升趨勢尤其明顯���,攻擊手段也更加隱蔽����。
隨著智能終端的普及與移動應(yīng)用的快速發(fā)展���,固網(wǎng)僵尸網(wǎng)絡(luò)模擬移動網(wǎng)絡(luò)流量發(fā)起的針對移動應(yīng)用的DDoS攻擊頻度越來越高�。
熱點事件
2013年3月�����,歐洲的反垃圾郵件公司Spamhaus網(wǎng)站遭遇史上最大流量DDoS攻擊����,攻擊流量峰值高達(dá)300Gbps.攻擊者借助互聯(lián)網(wǎng)存在的大量開放DNS服務(wù)器,采用DNS反射技術(shù)發(fā)起本次攻擊�。此次攻擊事件給人們的警示是:互聯(lián)網(wǎng)開放DNS服務(wù)器數(shù)量巨大�����,如果繼續(xù)讓其保持無管理狀態(tài)���,將會在未來的某一天再次成為引發(fā)互聯(lián)網(wǎng)安全風(fēng)暴的定時炸彈。而在本次超大流量DDoS攻擊的對抗過程中��,最終采用了基于Anycast技術(shù)的云清洗方案有效控制攻擊�,這使人們意識到,提供抗DDoS服務(wù)的MSSP是應(yīng)對超大DDoS攻擊流量的希望����。可以預(yù)見��,未來在各大洲部署清洗中心以提供強(qiáng)大的Anti-DDoS SaaS服務(wù)��,會逐步成為基礎(chǔ)ISP的一種選擇���。
僵尸網(wǎng)絡(luò)現(xiàn)狀
根據(jù)統(tǒng)計�,全球范圍內(nèi)����,中國和美國的僵尸網(wǎng)絡(luò)主機(jī)數(shù)分別占整體數(shù)量的30.3%和28.2%,遠(yuǎn)高于其他��;從控制者來看���,美國境內(nèi)的控制者最多��,占總量的42.2%,而中國約占3.8%,其它比例較高的依次為德國(9.1%)�、法國(7%)和英國(5.8%)。
在中國地區(qū)�,僵尸網(wǎng)絡(luò)的受控者/控制者排名位的分別是Boer_Family、Gh0st_Family�、Yoddos_Family、Xyligan_Family和IMDDOS.
現(xiàn)網(wǎng)流行的DDoS僵尸工具種類繁多�����,攻擊方式趨向于模擬正常業(yè)務(wù)客戶端訪問行為���,攻擊報文特征可隨意變換�,這使得傳統(tǒng)的特征過濾防御技術(shù)難以奏效�����,安全設(shè)備提供商不得不開始尋求基于行為分析���、會話監(jiān)控����、IP信譽(yù)等更為有效的防御技術(shù)。
隨著移動應(yīng)用的迅猛發(fā)展���,全球3G和4G移動網(wǎng)絡(luò)的快速普及�,移動惡意樣本快速涌現(xiàn)�����,移動僵尸網(wǎng)絡(luò)勢必成為僵尸網(wǎng)絡(luò)新的發(fā)展方向�����。
借助DNS服務(wù)快速變更充當(dāng)C&C代理的Fast-Flux技術(shù)���,使得C&C服務(wù)器可以巧妙地隱藏躲避在代理僵尸主機(jī)背后���,因此迅速被主流僵尸網(wǎng)絡(luò)廣泛采用。
DDoS攻擊現(xiàn)狀
政治動機(jī)�、惡意競爭、經(jīng)濟(jì)犯罪���、敲詐勒索依然是黑客發(fā)起DDoS攻擊的主要目的�����。
統(tǒng)計數(shù)據(jù)顯示�,針對應(yīng)用層的DDoS攻擊事件上升趨勢明顯,針對HTTP應(yīng)用的DDoS攻擊已經(jīng)占到攻擊總量的89.11%.在中國地區(qū)����,北京�、上海、深圳的DDoS攻擊事件最多����,占總量的81.42%.形成該態(tài)勢的主要原因是,這三個地域擁有承載互聯(lián)網(wǎng)熱點業(yè)務(wù)的數(shù)據(jù)中心比例較高��。
數(shù)據(jù)中心一直是DDoS攻擊的重災(zāi)區(qū)����。在數(shù)據(jù)中心,排名前三的被攻擊業(yè)務(wù)分別為電子商務(wù)�����、在線游戲、DNS服務(wù)���。尤其是針對DNS服務(wù)的攻擊影響面最廣����,對互聯(lián)網(wǎng)基礎(chǔ)架構(gòu)所造成的威脅也最嚴(yán)重�����。而在WEB攻擊的主要目標(biāo)中�,排名前三的被攻擊業(yè)務(wù)分別為電子商務(wù)、網(wǎng)頁游戲���、在線金融業(yè)務(wù)��。針對數(shù)據(jù)中心的網(wǎng)絡(luò)層DDoS攻擊則直接威脅到網(wǎng)絡(luò)基礎(chǔ)設(shè)施(如防火墻�����、IPS��、負(fù)載均衡設(shè)備)�,而應(yīng)用層DDoS攻擊則威脅著在線業(yè)務(wù)。頻繁的DDoS攻擊導(dǎo)致數(shù)據(jù)中心運營成本增高�,而帶寬的可用性降低則導(dǎo)致客戶滿意度下降甚至流失。
