从DoS到APDoS：DDoS攻击进化史

什么是DDoS攻击？

分布式拒绝服务（DDoS）攻击是指攻击者利用合理服务请求占用过多的资源，致使目标系统无法提供正常服务。这可以通过阻止各类访问请求来实现：服务器、设备、服务、网络、应用程序，甚至程序内的特定事务等。DoS攻击是一个系统发送恶意数据或请求，而DDoS攻击可以来自多个系统。

通常，DDoS攻击是通过请求数据来攻击淹没系统的。它可能是向Web服务器发送大量请求致使页面崩溃，或者是一个包含大量查询命令的数据库。后果是可用的互联网带宽、CPU和RAM容量不堪重负，其影响范围可能是应用程序和网站体验服务的中断，甚至导致整个业务宕机。

DDoS攻击的症状

DDoS攻击看起来和一些非恶意事件一样，例如：服务器或系统崩溃、过多的合法请求、甚至电缆被切断等等。通常需通过流量分析才能确定症结所在。

DDoS攻击的发展史

然而，DDoS攻击的危害让人们改变了对它的看法。在2000年年初，加拿大高中生迈Michael Calce通过一个分布式拒绝服务(DDoS)攻击，设法关闭了当时全球最主要门户网站之一雅虎(Yahoo)的服务。在接下来的一周中，Calce又成功地中断了Amazon、CNN和eBay等其他网站。

当然这并不是DDoS攻击的第一次实施，但是一连串高调且成功的攻击使得DDoS从新奇、轻微的滋扰转变成首席信息安全官和首席信息官维护业务安全运营的噩梦。

从那时起，DDoS攻击已成为一种频繁发生的威胁。通常用于目标明确的报复，进行敲诈勒索，甚至发动网络战。

经过多年的发展和演变，DDoS攻击的功能和危害也变得越来越大。20世纪90年代中期的攻击每秒可能只有150次请求，但这足以让许多系统瘫痪。如今他们传播的速度甚至超过1000Gbps。这在很大程度上是由现代僵尸网络的庞大规模所推动的。

2016年10月，互联网基础架构服务提供商Dyn DNS（现在的Oracle DYN）遭到数以千万计的IP地址的DNS查询服务的袭击。通过僵尸网络病毒“Mirai”实施的这次攻击据报道感染了超过十万台物联网设备，包括IP摄像机和打印机。在其爆发的高峰期，“Mirai”僵尸网络病毒感染了40万台以上的机器人。包括Amazon、Netflix、Reddit、Spotify、Tumblr和Twitter在内的服务都遭到攻击。

在2018年初，一种新的DDoS技术开始出现。2月28日，GitHub遭遇了可能是迄今为止最大的DDoS攻击，最高访问量为1.35Tbps。尽管Github经历了两次间歇性不可访问，但在20分钟内击退了攻击。这次攻击的规模令人担忧，因为它超过了Dyn攻击（1.2Tbps）。

对这次攻击技术的分析显示，它在某些方面比其他攻击更简单。虽然Dyn攻击是Mirai僵尸网络的产物，它需要恶意软件来攻击成千上万的物联网设备，但GitHub攻击利用了运行 Memcached 内存缓存系统的服务器，该系统可以响应简单的请求返回非常大的数据块。

Memcached是一个高性能的分布式内存对象缓存系统，用于动态Web应用以减轻数据库负载。

Memcached仅用于在内部网络上运行的受保护服务器上，并且通常几乎没有安全性来防止恶意攻击者欺骗IP地址和向毫无戒心的受害者发送大量数据。不幸的是，成千上万的Memcached服务器正在开放的互联网上，并且它们在DDoS攻击中的使用率已大幅上升。不能说服务器被“劫持”，因为它们会在不提出数据请求的情况下兴奋地发送数据包。

在GitHub攻击发生几天后，另一个基于Memecached的DDoS攻击猛烈涌入美国服务提供商，每秒数据为1.7TB。

与大多数DDoS攻击不同，“Mirai”僵尸网络的特点在于主要攻击安全防护比较脆弱的物联网设备，而非电脑和服务器。据调研机构BI Intelligence的调查到2020年将有340亿台互联网连接设备，而大多数(240亿台)将是物联网设备。

不幸的是，“Mirai”不会是最后一个物联网的僵尸网络。Akamai、Cloudflare、Flashpoint、Google、RiskIQ和Team Cymru等安全团队的调查发现了一个类似规模的僵尸网络——WireX，由100个国家内10万台安全设备组成的僵尸网络。而这次调查是针对内容提供商和内容传送网络的一系列大型DDoS攻击所促成的。

当今的DDoS攻击

虽然DDoS攻击量一直在下降，但它们仍然是一个重大威胁。卡巴斯基实验室报告说：“九月攻击异常活跃”，即除了第三季度之外，DDoS攻击的数量呈现下降态势。总体而言，DDoS活动在2018年下降了13％。

据卡巴斯基称，最近发现的像Torii和DemonBot这样能够发动DDoS攻击的僵尸网络是一个值得关注的问题。Torii能够接管一系列物联网设备，被认为比Mirai更具持久性和危险性。DemonBot劫持了Hadoop集群，使其能够获得更多的计算能力。

另一个惊人的趋势是新的DDoS攻击平台如0x-booter的可用性。这种DDoS攻击利用了大约1.6万个感染了恶意软件的物联网设备，这是一种Mirai变体。

卡巴斯基报告确实找到了减少DDoS攻击量及其造成损害的因素。它引用了全球法律执行机构在关闭DDoS运营商方面的有效性，这可能是攻击减少的原因。

常见的三种DDoS攻击

DDoS攻击有三个主要类别：

• 第一类是使用大量虚假流量来降低资源(如网站或服务器)，包括ICMP、UDP和欺骗数据包泛洪攻击；
• 第二类是DDoS攻击使用数据包来定位网络基础架构和基础架构管理工具。这些协议攻击包括SYN Floods和Smurf DDoS等；
• 第三类是一些DDoS攻击针对组织的应用层，并通过恶意请求来淹没应用程序。

这三个类别的DDoS攻击目标是一致的：使网络资源反应迟钝或完全无反应。

DDoS攻击如何演变

综上所述，这些攻击通过租用的僵尸网络来实现变得越来越普遍。而这一趋势将会持续下去。

另一个趋势是在攻击中使用多个攻击向量，也称为高级持久拒绝服务(APDoS)。例如，APDoS攻击可能涉及应用层，例如对数据库和应用程序的攻击以及直接在服务器上的攻击。

Binary Defense公司合伙人兼执行总监Chuck Mackey表示：

这超越了单纯的洪水攻击。

此外，Mackey解释说，攻击者通常不仅直接针对受害者，还直接攻击受害者所依赖的组织，如互联网服务提供商和云计算提供商。他表示：这些是具有高影响力的广泛攻击，并且协调一致。

这也正在改变DDoS攻击对组织的影响，并扩大了他们的风险。美国富理达律师事务所(Foley & Lardner LLP)的网络安全律师Mike Overly说：

企业不仅要关心自己免受DDoS攻击，还要关注其所依赖的广泛的业务合作伙伴，供应商和服务商是否会遭遇攻击。安全最古老的谚语之一就是：业务的安全取决于最薄弱环节。在当今的环境(最近的违规行为证明)中，最弱的环节可以就是第三方。

当然，随着犯罪分子完善他们的DDoS攻击，技术和战术将不会停滞不前。正如JASK安全研究主管Rod Soto提到的那样，新的物联网设备的增加、机器学习和人工智能的兴起，都将在改变这些攻击中发挥作用。

攻击者最终将这些技术整合到DDoS攻击中，使安全人员难以应对，特别是那些无法通过简单的访问控制列表（ACL）或签名来阻止的攻击。因此，DDoS攻击的安全防御技术也必须向这个方向发展。