從手動(dòng)Dos到1.7T的龐大量級(jí)：數(shù)十年來(lái)DDoS已進(jìn)化成巨獸-我們?cè)撊绾尾渴鸱雷o(hù)？

       從20世紀(jì)90年代需要自己動(dòng)手部署的拒絕服務(wù)，到今年的利用Memcached超級(jí)DRDoS，分布式拒絕服務(wù)(DDoS)在復(fù)雜性和數(shù)量上都達(dá)到了前所未有的新高度。

  對(duì)于分布式拒絕服務(wù)而言，今年是具有重要里程碑意義的一年，因?yàn)樵诮衲瓿霈F(xiàn)了兩場(chǎng)流量峰值超過(guò)1Tbps的DDoS。根據(jù) Arbor Networks 的數(shù)據(jù)顯示，2月下旬，知名代碼托管網(wǎng)站GitHub和一家未知名的在線游戲提供商網(wǎng)站遭遇了史上最大規(guī)模的DDoS，帶寬分別達(dá)到了1.35T和1.7T。

       盡管，DDoS所消耗的帶寬并不一定是決定其是否難以緩解的準(zhǔn)確度量標(biāo)準(zhǔn)。但是，這種規(guī)模不斷增長(zhǎng)的趨勢(shì)表明了DDoS帶來(lái)的威脅正在不斷升級(jí)。目前，大多數(shù)公司的互聯(lián)網(wǎng)基礎(chǔ)設(shè)施已經(jīng)能夠處理大概10到50Gbps的數(shù)據(jù)流，但這與T級(jí)別的流量相比仍然相差甚遠(yuǎn)。

       大多數(shù)DDoS都是過(guò)度的，這就好比用大炮來(lái)打蚊子。

       從攻擊者群起發(fā)動(dòng)的手動(dòng)Dos，到由連接設(shè)備構(gòu)成的僵尸網(wǎng)絡(luò)，再到利用服務(wù)器協(xié)議漏洞的自動(dòng)攻擊。可以說(shuō)，在過(guò)去的25年里，DDoS技術(shù)已經(jīng)發(fā)生了顯著的變化。

       一開(kāi)始的都是始于多用戶(hù)系統(tǒng)，然后再轉(zhuǎn)移至服務(wù)器。后來(lái)開(kāi)始利用工作站和家用電腦。而最近，攻擊者又瞄準(zhǔn)了兩個(gè)新目標(biāo)，使用大量不安全的物聯(lián)網(wǎng)設(shè)備組成僵尸網(wǎng)絡(luò)來(lái)發(fā)動(dòng)DDoS，或是利用易受攻擊的網(wǎng)絡(luò)協(xié)議來(lái)放大和反射DDoS。

       以下是DDoS技術(shù)演化過(guò)程中的一些關(guān)鍵點(diǎn)：

       最早階段：利用大型主機(jī)操作系統(tǒng)安全性的缺乏

       有關(guān)最早的DDoS事件只是一個(gè)未被驗(yàn)證的傳聞，在這個(gè)廣為流傳的故事中，一名高中生于1974年使用早期的大型主機(jī)OS PLATO在小型終端網(wǎng)絡(luò)中發(fā)起。

       這名高中生使用了一個(gè)稱(chēng)為“ext”的PLATO命令，來(lái)引導(dǎo)連接到大型主機(jī)的其他終端嘗試連接到不存在的外部設(shè)備中。該命令最終導(dǎo)致系統(tǒng)崩潰，房間內(nèi)的其他31名用戶(hù)不得不關(guān)閉機(jī)器。然而，由于PLATO系統(tǒng)管理員在1973年末就已經(jīng)對(duì)系統(tǒng)中的“ext”漏洞利用進(jìn)行了修復(fù)，所以有關(guān)該傳聞的具體時(shí)間尚待商榷。

       80年代初：蠕蟲(chóng)

       時(shí)間來(lái)到20世紀(jì)80年代初，Xerox PARC 公司兩名研究人員 John Shoch 和 John Hupp 為“自動(dòng)從系統(tǒng)擴(kuò)展到系統(tǒng)的程序”創(chuàng)造了一個(gè)術(shù)語(yǔ)“蠕蟲(chóng)”。這個(gè)蠕蟲(chóng)能夠?qū)⒆陨韽?fù)制到一個(gè)研究網(wǎng)絡(luò)中的每個(gè)系統(tǒng)上，而且借助一個(gè)系統(tǒng)漏洞，最終每個(gè)設(shè)備都迅速崩潰了，這一過(guò)程就相當(dāng)于拒絕服務(wù)的雛形。

       1995年：手動(dòng)DoS

       到了20世紀(jì)90年代，一些活動(dòng)組織開(kāi)始使用互聯(lián)網(wǎng)作為虛擬抗議(sit-ins)的一種方式，他們通過(guò)搞癱網(wǎng)站作為其抗議某種政治行為的一種形式。而第一個(gè)開(kāi)創(chuàng)這種形式的組織應(yīng)該算是 Strano Network，該組織是由一群反對(duì)法國(guó)政府核政策的人士組成。

       當(dāng)時(shí)，Strano Network 組織并沒(méi)有借助任何程序來(lái)重復(fù)連接到目標(biāo)網(wǎng)站，而是要求參與者通過(guò)手動(dòng)訪問(wèn)并反復(fù)重新加載目標(biāo)網(wǎng)站的方式最終搞垮了法國(guó)政府網(wǎng)站。

       1998年：工具FloodNet出現(xiàn)

       在Strano手動(dòng)發(fā)起DDoS幾年后，另一組行為藝術(shù)家和抗議者開(kāi)發(fā)了一款名為”FloodNet“的工具，參與者可以自行下載并在自己的計(jì)算機(jī)上運(yùn)行該工具。隨后，該攻擊工具就會(huì)使用EDT提供的目標(biāo)列表來(lái)自動(dòng)DDoS特定的網(wǎng)站。

       該工具的第一個(gè)主要用途就是在1998年支持來(lái)自墨西哥的“Zapatista軍隊(duì)“目標(biāo)是政府網(wǎng)站，后來(lái)又在1999年參與攻擊世界貿(mào)易組織(WTO)。

       1998年：第一個(gè)真正意義上的放大反射Smurf

       1998年，當(dāng)網(wǎng)絡(luò)犯罪分子還在利用自身能力，讓其他服務(wù)器使用互聯(lián)網(wǎng)控制消息協(xié)議(ICMP)“ping“一個(gè)目標(biāo)時(shí)，第一個(gè)真正意義上的放大和反射也在此時(shí)出現(xiàn)了，它就是” Smurf“。Smurf通過(guò)使用將回復(fù)地址設(shè)置成受害網(wǎng)絡(luò)的廣播地址的ICMP應(yīng)答請(qǐng)求(ping)數(shù)據(jù)包，將發(fā)送的數(shù)據(jù)包數(shù)量放大255倍，來(lái)淹沒(méi)受害主機(jī)，最終導(dǎo)致該網(wǎng)絡(luò)的所有主機(jī)都對(duì)此ICMP應(yīng)答請(qǐng)求做出答復(fù)，導(dǎo)致網(wǎng)絡(luò)阻塞。更加復(fù)雜的Smurf還會(huì)將源地址改為第三方的受害者，最終導(dǎo)致第三方崩潰。

       1998年，該技術(shù)被用于對(duì)付明尼蘇達(dá)大學(xué)，結(jié)果造成連鎖反應(yīng)，導(dǎo)致大量服務(wù)中斷以及30%的數(shù)據(jù)包丟失。

       1999年：第一個(gè)服務(wù)器僵尸網(wǎng)絡(luò)Trinoo

       遭到Smurf的明尼蘇達(dá)大學(xué)在第二年仍然沒(méi)有得到喘息的機(jī)會(huì)。1999年8月，該大學(xué)再次遭遇了使用Trinoo僵尸程序的網(wǎng)絡(luò)攻擊，據(jù)悉，該僵尸程序被安裝在了至少227臺(tái)受損的Solaris服務(wù)器上。

       Trinoo正是在服務(wù)器拒絕服務(wù)攻擊方面掀起了一股潮流。之后，一位化名為“Mixter“的人又創(chuàng)建了一個(gè)名為”Stacheldraht“的流行程序，然后供其他人用于DDoS各種網(wǎng)站。另一個(gè)名為”Tribe Flood Network“的項(xiàng)目也與Trinoo十分類(lèi)似，它被一個(gè)黑客組織“MafiaBoy”用于攻陷當(dāng)時(shí)一些非常主流的網(wǎng)站，包括亞馬遜、CNN以及雅虎等。

       2000年：越來(lái)越多地利用域名服務(wù)器

       從2000年開(kāi)始，美國(guó)計(jì)算機(jī)應(yīng)急響應(yīng)小組(CERT)協(xié)調(diào)中心警告稱(chēng)，越來(lái)越多的人已經(jīng)開(kāi)始使用DNS作為放大帶寬的手段。

       該組織在2000年4月發(fā)布的一份安全公告中表示，“我們已經(jīng)發(fā)現(xiàn)，入侵者在這種類(lèi)型的攻擊中，能夠利用多個(gè)不同網(wǎng)絡(luò)上的多個(gè)域名服務(wù)器，來(lái)實(shí)現(xiàn)針對(duì)受害者站點(diǎn)的分布式拒絕服務(wù)。“

       不過(guò)遺憾的是，大多數(shù)公司并沒(méi)有認(rèn)真聽(tīng)取這份報(bào)告的警告和建議。所以，在6年后發(fā)布的另一項(xiàng)安全公告中，美國(guó)計(jì)算機(jī)應(yīng)急響應(yīng)小組(CERT)指出，75%至80%的服務(wù)器仍然允許遞歸(程序調(diào)用自身的編程技巧稱(chēng)為遞歸)，該DNS服務(wù)器功能將會(huì)允許放大或反射技術(shù)。

       2003年：Windows的普及放大了蠕蟲(chóng)的惡果

       本世紀(jì)前十年是電腦蠕蟲(chóng)的鼎盛時(shí)期。諸如Code Red、Nimda以及Blaster等惡意程序，都在感染網(wǎng)絡(luò)和為系統(tǒng)管理員造成麻煩等方面取得了重大成功。這些懂得自我傳播的惡意程序，在一定意義上，也推動(dòng)了微軟公司將關(guān)注重點(diǎn)從開(kāi)發(fā)Windows操作系統(tǒng)新功能轉(zhuǎn)向?qū)Ｗindows操作系統(tǒng)安全性。

       2003年，全球遭遇了SQL Slammer(也被稱(chēng)為“Sapphire”或“Helkern“蠕蟲(chóng))的肆虐破壞，這種蠕蟲(chóng)僅有376字節(jié)大小，完全可以裝入1個(gè)網(wǎng)絡(luò)包中，讓它可以在發(fā)動(dòng)時(shí)達(dá)到快速傳播的效果。其傳播速度之快，可以達(dá)到每隔8.5秒就能使感染系統(tǒng)數(shù)量增長(zhǎng)一倍，并在3分鐘內(nèi)飽和本地網(wǎng)絡(luò)寬帶。

       據(jù)悉，在開(kāi)始傳播5分鐘后，Slammer蠕蟲(chóng)每秒可以傳播高達(dá)8000萬(wàn)個(gè)數(shù)據(jù)包，這一水平在接下來(lái)的10年內(nèi)也是鮮少出現(xiàn)。此外，該蠕蟲(chóng)還可以向 UDP 1434 端口發(fā)送格式化的請(qǐng)求，造成受感染路由器開(kāi)始向隨機(jī)IP地址發(fā)送該惡意代碼，令目標(biāo)陷入拒絕服務(wù)狀態(tài)。

       2009年：出現(xiàn)以政治目的發(fā)動(dòng)的DDoS

       2009年，大約5萬(wàn)臺(tái)感染了MyDoom蠕蟲(chóng)的計(jì)算機(jī)被用于打擊美國(guó)政府、金融和商業(yè)網(wǎng)站以及韓國(guó)政府網(wǎng)站。據(jù)悉，此次DDoS峰值帶寬速率高達(dá)13Gbps，雖然造成停機(jī)的時(shí)間很短，但是卻促使政治家們紛紛指責(zé)朝鮮政府。

       之后，MyDoom蠕蟲(chóng)的變種又被用于針對(duì)Unix軟件公司SCO集團(tuán)官網(wǎng)發(fā)起DDoS，據(jù)悉，該公司之所以遭到打擊是因?yàn)樵摴驹谝淮卧V訟案件中宣稱(chēng)Linux操作系統(tǒng)是為其所有的。之后的5年內(nèi)，微軟也遭受了同樣的打擊，這證明了利用大量消費(fèi)者電腦針對(duì)網(wǎng)站和網(wǎng)絡(luò)發(fā)起DDoS的有效性。

       2016年：物聯(lián)網(wǎng)成為僵尸程序利用目標(biāo)

       據(jù)安全公司Imperva稱(chēng)，在2016年的9月至10月期間，來(lái)自一百六十多個(gè)國(guó)家的近50000個(gè)物聯(lián)網(wǎng)設(shè)備用高達(dá)280Gbps的流量淹沒(méi)了多個(gè)目標(biāo)網(wǎng)絡(luò)。這種DDoS主要使用數(shù)字?jǐn)z像機(jī)以及錄像機(jī)等物聯(lián)網(wǎng)設(shè)備向受害者的網(wǎng)絡(luò)發(fā)送相對(duì)復(fù)雜的流量，最終造成系統(tǒng)崩潰。

       根據(jù)Akamai的數(shù)據(jù)顯示，針對(duì)安全研究人員兼記者Brian Krebs以及基礎(chǔ)設(shè)施服務(wù)提供商DynDNS網(wǎng)站所發(fā)動(dòng)的DDoS峰值高達(dá)620Gbps。不僅是攻擊峰值帶寬超過(guò)了之前的記錄，其每秒數(shù)據(jù)包數(shù)量超過(guò)100Mbps這一事實(shí)也為防御者帶來(lái)了更多問(wèn)題。要知道，為網(wǎng)絡(luò)增加更多的寬帶，在資源具備的情況下，是件非常輕松的事情，但是實(shí)時(shí)做出有關(guān)數(shù)據(jù)包的決策卻要困難得多。

       2018年：Memcached漏洞令DDos成長(zhǎng)為巨獸

       2018年2月28日，知名代碼托管網(wǎng)站GitHub遭遇了史上最大規(guī)模的DDoS ，導(dǎo)致服務(wù)中斷100分鐘。根據(jù)該公司工程團(tuán)隊(duì)發(fā)布的報(bào)告顯示，在UTC時(shí)間17:21到17:30之間，一名使用放大攻擊的惡意行為者針對(duì)GitHub網(wǎng)站發(fā)起了大規(guī)模的DDoS，據(jù)悉，該流量的峰值高達(dá)每秒 1.35 Tbps。

       在此次活動(dòng)中，黑客利用 Memcached 協(xié)議(可將攻擊放大到高達(dá)51,000倍)，發(fā)送大量帶有被害者 IP 地址的 UDP 數(shù)據(jù)包給放大器主機(jī)，然后放大器主機(jī)對(duì)偽造的IP地址源做出回應(yīng)，從而形成 DRDoS 反射。

       據(jù)悉，盡管Memcached 服務(wù)器的設(shè)計(jì)初衷是提升內(nèi)部網(wǎng)絡(luò)的訪問(wèn)速度，而且應(yīng)該是不暴露在互聯(lián)網(wǎng)中的。但是實(shí)際上，此類(lèi)服務(wù)器根本沒(méi)有認(rèn)證協(xié)議，連接到互聯(lián)網(wǎng)中意味著任何人都可以查詢(xún)它們。實(shí)際上Memcached協(xié)議可謂是用于放大攻擊的最佳協(xié)議!由于缺乏認(rèn)證協(xié)議，數(shù)據(jù)得以以驚人的速度交付給用戶(hù)。此外，還能夠以很少的請(qǐng)求獲得很大的響應(yīng)(高達(dá)1MB)。

       針對(duì)Github的事件并非標(biāo)志著拒絕服務(wù)升級(jí)的結(jié)束，在Github之后幾天內(nèi)，一家未知名的網(wǎng)絡(luò)游戲公司又成為受害者，此次DDoS消耗了1.7Tbps的帶寬，給這家游戲公司帶來(lái)巨大損失。

       未來(lái)：DDoS還將繼續(xù)進(jìn)化

       由于各公司紛紛實(shí)施保護(hù)受損服務(wù)器在內(nèi)的緩解措施，利用Memcached漏洞的DDoS規(guī)模，目前已經(jīng)開(kāi)始呈現(xiàn)下降趨勢(shì)。然而，隨著整體網(wǎng)絡(luò)帶寬的增長(zhǎng)，作為拒絕服務(wù)一部分的數(shù)據(jù)包量將會(huì)不斷增長(zhǎng)，而且作惡者也會(huì)發(fā)現(xiàn)新的DDoS技術(shù)。

       要知道，DDoS攻擊的主要抑制因素就是可用寬帶。但是根據(jù)目前寬帶不斷增長(zhǎng)的現(xiàn)象來(lái)看，我們沒(méi)有理由相信，DDoS規(guī)模仍將繼續(xù)放大的趨勢(shì)不會(huì)到來(lái)。