小型DDoS更加普遍 更加危险

分布式拒绝服务攻击类型在不断“进步”。企业总是害怕高带宽的网络暴力攻击,而小型基于应用程序的分布式拒绝服务攻击则更普遍、更危险。

 

网络上大型DDoS攻击通过消耗大量带宽造成严重破坏,而小型DDoS攻击通过小麻烦带来更大的问题。在监控下,这些小型DDoS攻击用合法IP地址(而非欺骗地址)模仿真实用户流量。

 

应用交付和安全厂商Radware在该月初发布了《2011全球应用程序和网络安全报告》,报告发现2011年76%的DDoS攻击占用带宽不到1Gbps。只有9%的DDoS攻击超过10Gbps。报告分析了40个不同企业的DDoS案例,发现56%的DDoS攻击类型是面向应用而不是面向网络的。

 

DDoS攻击:体积更小 更加复杂

 

Gartner副总裁兼研究分析员John Pescatore说:“总的来说分布式拒绝服务攻击最近呈上升趋势。诸多针对特定网站和应用层面的攻击由非常简单和非常复杂的DDoS组合而成。”

 

Radware安全产品总监Ron Meyran说:“小型DDoS攻击对企业构成了严重的威胁,因为它们比大型暴力DDoS攻击更复杂。以前大型网络攻击几乎占攻击比例的100%,针对网络的大型DDoS攻击比较单一,相对较容易检测到。而小型攻击的流量小,它创建一个假用户,使之看起来像真的流量,目的是耗尽服务器资源。”

 

小型DDoS攻击相比大规模攻击更容易被忽略,因为网络管理员通常会把高流量认为是DDoS攻击的标志。而网站每次小型DDoS看起来像是合法流量。Meyran说:“当一个企业受到小型DDoS攻击,基于比率的流量临界值将不会被触发。”

 

他说:“小型DDoS攻击通常可以经过防火墙或是入侵预防系统。除了攻击网站,很多面向应用的DDoS攻击瞄准你的应用基础设施,让其过载,这样可以阻止真正的用户访问你的站点。”

 

大规模DDoS攻击类型一般攻击大型网站,包括亚马逊和沃尔玛;小型应用层攻击对中小企业是最为不利的,Meyran说:“进入一个小型站点,黑客可以成功发起一个动态的、基于应用的攻击,因为它们难以检测和防御。

 

管理顾问公司A.T. Kearney的全球网络架构师Kevin Rice使用F5网络产品用于网络安全和网页应用防火墙,他说:“如今攻击变得更动态,因为黑客已经非常熟悉安全产品的弱点。企业需要在防止DDoS攻击上更有创意。因为普遍使用的、相似的安全产品正在帮助黑客掌握缺陷在哪里。”

 

DDoS攻击:预防和恢复

 

根据Radware报告,对于今后预防DDoS,企业应该根据类型,大小和不同攻击的频率来收集信息,然后执行风险分析来确定对于基于网络和应用层的攻击,它的弹性有多强。

 

当攻击出现,企业应该尽可能多的抓取细节来迅速恢复,Rice说:“我们试图收集最多的信息发给防火墙,入侵预防系统和F5厂商,让他们知道我们发现了一个问题,这样我们可以和他们一起找到解决方案。”

 

Meyran说:“对于基于网络的攻击,企业不应该只从服务运营商处寻找DDoS保护,还要在现场有DDoS管理工具,因为应用层的低流量攻击必须能在本地处理。

 

企业应该使用网络行为分析技术来更好的抵御小型DDoS类型攻击。他说:“这是唯一一项技术,它可以区分真实和虚假用户,并且判定谁应该阻止,谁有权限访问。

PUTTY后门事件黑客为DDoS私服对手

在网上,经营私服者为了打倒对手,利用黑客手段控制成千上万的“肉鸡”(被黑客攻破并控制了的电脑),向对方发起攻击致其瘫痪。以23岁的阿文为首的一个团伙,在短短半年时间里,阿文等人盗取了全球两万多台服务器的账号和密码,发动攻击50多次。国内被盗账户密码信息达1512组,其中一些竟是国家政府重要领域的服务器。该案被称为中国互联网迄今为止最大的泄密案,严重性质超过去年的“泄密门”。记者昨日从武进检察院获悉,该案一名嫌犯被批捕。

山东网络公司来报案

今年1月31日,山东烟台一家网络科技公司的负责人吴先生,在微博上发现了关于PUTTY程序被加入后门截取用户信息的新闻后,通知公司技术人员要求对该域名做分析,随后得知域名申请人信息不详。因为公司租用的是武进的服务器,3月8日吴先生赶到武进报案。

吴先生告诉警方,域名“PUTTY.ORG.CN”可能有问题,该域名上提供的下载程序中带有木马。武进公安局网络监察大队在常州市局侦查大队的协助下,发现该网站提供的程序中存在后门,涉嫌非法侵入计算机信息系统,获取用户信息且数量巨大。

武进公安局于3月9日立案侦查。嫌疑人小杰于4月9日在四川省绵阳市被抓获,嫌疑人阿文于4月22日在重庆江北机场被抓获。

私服经营者控制“肉鸡”

阿文今年23岁,只有初中文化。小杰30岁,大专学历。两人均因提供用于侵入、非法控制计算机信息系统的程序、工具罪,于去年6月份被四川省绵阳市涪城区人民法院判缓刑。随后,阿文回到老家海南找到朋友小勇,打算经营“石器时代”游戏私服。

阿文认为,搞私服的人越来越多,如果把竞争对手搞垮,玩家就会来选择自己的私服,这样才能赚钱。于是,阿文想到了“putty”,这是LINUX操作系统里需要用到的一个软件,很多使用者都到国外一些网站下载。阿文与小杰联系,让小杰从国外网站下载的“putty”汉化,并加进一个木马后门程序。如果有用户下载了这个汉化版,木马程序就会自动进入电脑,窃取账号和密码,并自动发送到阿文指定的设置在扬州的一台服务器上。

收集到账号和密码后,阿文又将其批量存放到其在美国租用的一台服务器上。阿文自己又通过技术手段伪造了一个假冒的“putty.org.cn”网站,然而将诱饵即汉化版的“putty”挂在该网站上。

网上打广告充当“杀手”

这些都准备好之后,阿文再安排小勇设计出一个攻击程序。小勇交代,他找了自己认识的网友“灰兔子”、“逐浪”(均为网名)等人,有的付费,有的没付费,让他们帮助完成了攻击程序的编写,并控制“肉鸡”进行攻击,向打击目标发送大量垃圾数据包,造成其瘫痪。

阿文和小勇还想到了另外一个赚钱的手段。两人商定,在网上打广告,看谁和他们一样需要攻击其他私服的,让其来联系他们。这个时候,由小勇负责专门和客户联系谈价格,一般一次收费1万元左右。

据两人交代,掌握“肉鸡”后,包括针对自己的对手在内,发动攻击50多次,充当“杀手”获利10余万元。

据检方介绍,与2011年中国网络泄密门案件相比,这起案件更加严重,是中国互联网至今最大的泄密案件。

记者昨日从武进检察院获悉,阿文因涉嫌非法获取他人计算机信息系统数据罪、非法控制计算机系统罪被批捕。