揭秘史上最大规模DDoS攻击

Hacked-internet-map-of-Spamhaus

 

针对欧洲反垃圾邮件机构Spamhaus的网络攻击打破了互联网DDoS攻击的规模记录,这再次提醒企业和运营商的CTO、CIO们,网络安全是全球一体化系统,没有人能够独善其身。

上星期在欧洲, 人们经历了一次史上最大的DDoS攻击。攻击的最大流量曾经达到每秒300GBit。根据纽约时报和BBC的报道,这次攻击导致了全球互联网大堵塞。 GigaOM的专栏作者David Meyer为我们详细揭示了这次空前的DDoS的来龙去脉。 IT经理网编译如下:

本周的DDoS攻击可能是有史以来最大的一次, 关于它的报道相当恐怖, 包括纽约时报和BBC都在讨论它导致的互联网堵塞。那么, 这次DDoS攻击究竟是怎么一回事呢?

什么是DDoS攻击

DDoS攻击(编者:分布式拒绝访问攻击),这里的“分布式”,也就意味着通过大量的计算机向目标发起狂轰滥炸似的数据包,从而导致目标计算机的系统无法正常工作。一周前,韩国的一些银行和广播遭到的攻击就是DDoS攻击。

这次攻击的目标和手法

这次的DDoS的攻击目标,是Spamhaus,这是一家位于欧洲的反垃圾邮件机构。它维护着一个为垃圾邮件发送方提供服务的ISP的黑名单。其实,Spamhaus的系统是相当强悍的,它的服务器分布在全球的多个国家。不过,这次的DDoS攻击的规模还是足以让它的网络在3月18日彻底瘫痪。

这次DDoS攻击的规模,平均以约每秒75GBit的数据量攻击Spamhaus的服务器。根据Spamhaus的安全服务公司Cloudflare的一份解释报告:“攻击的最大来源是DNS反射攻击。此种攻击手段带来的攻击流量最大,约为100Gbps。我们预计利用开放式的DNS解析服务进行DDoS攻击将会越来越普遍。除非所有的DNS服务商通力合作来根除此类服务的漏洞。”(编者:开放式DNS服务,指的是, DNS服务器对任何IP来的请求都予以回应,而DNS服务器应该只对授权的客户进行回应,比如只对来自本域IP的DNS请求予以回应。)

DNS反射攻击的基本原理是,伪装成攻击目标的IP地址,向大量的开放DNS服务器请求一个大的DNS域文件。这样,这些DNS服务器就会向攻击目标的IP发送大量的DNS域文件。由于攻击者发送的请求包要远小于DNS域文件。攻击者相当于可以用他们控制的机器的小流量来放大攻击流量。

clip_image001

攻击者是谁?

 

由于Spamhaus从事的是反垃圾邮件服务,与Spamhaus结下梁子的垃圾邮件组织不少。不过,这次,人们普遍认为是荷兰的ISP服务商CyberBunker。它声称除了恐怖组织或者儿童色情的内容之外,啥都能做(比如说维基解密就是它的客户)。而CyberBunker的服务客户包括大量的垃圾邮件商。Spamhaus就把CyberBunker列为的垃圾邮件ISP黑名单的头一名。而一年半之前,Spamhaus把CybernBunker的互联网服务商A2B Internet也列入了黑名单。而A2B Internet则向荷兰警方举报称Spamhaus对它进行拒绝访问攻击。

这次对Spamhaus的攻击后,纽约时报找到了一个声称是攻击者之一的人叫Kamphuis。据Kamphuis所说,这次的攻击是CyberBunker伙同东欧和俄罗斯的黑帮对Spamhaus的报复行为:他说“没人授权Spamhaus来决定哪些邮件可以发送,哪些邮件不能发送,他们(Spamhaus)凭什么打着反垃圾邮件的名义来自行决定?”

不过,Spamhaus并没有公开认定CyberBunker就是罪魁祸首。而CyberBunker发表的一份声明则耐人寻味,它并没有否认发起了攻击,只是声明它和它的客户从未发送过垃圾邮件。

对全球互联网的影响

BBC在本周三援引Spamhaus的CEO Steve Linford指出,攻击的最高峰值达到了300Gbps。这也使得这次攻击成为了史上最大的一次DDoS攻击。

英国著名的计算机安全专家, Surrey大学的教授Alan Woodward教授指出:“这次攻击比以前的攻击规模超过几个数量级。”

Alan Woodward教授指出:

“对于某些地方,这次攻击也会对别的网站造成的损害,比如说像Netflix这样的流媒体网站。关键的问题是,这样的攻击是一种DNS放大攻击。也就是说,如果你想攻击的目标服务器连在一个10Gbps的交换机上,你只需要用11Gbps的攻击流量就可以把它攻瘫痪了。如果攻击流量达到300Gbps,那么网络基础设施也会受到影响。不过现在很难估计具体影响的程度。”

Alan Woodward教授用了高速路做比喻。“这种攻击类似于挤占了高速路的匝道,但是对骨干路则不会有什么影响。”

要想估算出对整个互联网网速的影响其实很难,比如说,上周,在埃及的一条海底光缆被切断,造成了该地区的互联网网速变慢。而这些林林总总的因素加起来可能会产生一定的影响。

“我认为,这类攻击对互联网短期内不会造成什么影响,,不过,这件事是一个提醒。”Alan Woodward教授说:“如果在一个大范围内出现严重的攻击,那么确实可能会对很多用户造成影响。要想造成整个互联网的瘫痪不太可能,不过可能会造成某个局部的瘫痪。”

IT经理网点评:

由于互联网的一些基础协议的缺陷,DDoS攻击是目前网络攻击中最难以防范的攻击。类似DNS反射攻击要想根除,需要DNS服务商杜绝开放式DNS服务,否则基本无解。在Cloudflare列出的全球最大的几个存在开放式DNS服务器的运营商里。巴基斯坦电信名列榜首,而中国铁通和中国电信骨干网分别名列第三和第五。这也就意味着,可能会有越来越多的DNS反射式的DDoS攻击会出现在中国的互联网里,即使是在GFW墙内也无济于事。企业的CTO和CIO们需要意识到这一点,制定针对DDoS的缓解策略。同时DNS服务商们也需要尽快检查DNS服务器,最好关闭开放式DNS服务。

第一时间获取面向IT决策者的独家深度资讯,敬请关注IT经理网微信号:ctociocom

   
除非注明,本站文章均为原创或编译,转载请务必注明出处并保留原文链接: 文章来自IT经理网
相关文章:


关于作者

        在TMT领域具有十余年的咨询和创业经验。 目前主要关注信息安全,同时密切关注云计算、社会化媒体、移动、企业2.0等领域的技术创新和商业价值。拥有美国麻省理工学院MBA学位和清华大学经济管理学院学士学位,曾任BDA中国公司高级顾问,服务过美国高通、英特尔、中国网通、SK电讯、及沃达丰等公司。联系邮件:wangmeng@ctocio.com

写评论

忘记密码

加载中...
X