觀點

您不可忽略的DDoS攻擊威脅

2012 / 12 / 17
編輯部
您不可忽略的DDoS攻擊威脅

DDoS(Distributed Denial of Service)阻斷服務攻擊存在已久,手法雖老卻不好抵擋,尤其近年來又出現攻擊手法翻新的趨勢,對企業來說,或許不少人認為這種以大量封包癱瘓目標網路或伺服器的攻擊手法不是存在已久,且通常以大型企業或政府網站為目標,對台灣所佔多數的中小企業來說似乎不是這些駭客的目標,那跟我有什麼關係?

讓我們先看今年9月底美國富國銀行(Wells Fargo)、聯邦銀行等金融機構,接連遭到因抗議詆毀回教先知默罕默德影片所發動的DDoS網路攻擊案例。此次攻擊行動特別的地方在於透過網路社群號召群眾,參與者只需要到特定網站上去下載執行script語言編寫的工具程式,點選「start attack」選項後即可發動攻擊。如同Forttinet台灣區技術顧問劉乙所提到,現今的DDoS的工具更為完善且更多,甚至有懶人工具包的出現讓發動DDoS攻擊的門檻變得更低。

中國已有中小企業遭DDoS的案例

「可是那也是針對大型企業,因為政治或宗教因素才遭到攻擊的吧?」如果你還抱著這種僥倖心態的話小心成為下一個受害者。因為DDoS除了被激進團體組織用來做為表達抗議訴求的手段外,也常被拿來打擊競爭對手,這部分最明顯的就是國內遊戲業者常會遭到「疑似」友商的攻擊例子。

除此之外,DDoS工具的普遍,也讓許多個人或是小型的駭客組織也能輕易的發動網路阻斷攻擊,使得一些有經營網購業務的線上交易網站也成為被攻擊的目標,因此有統計報告指出約有25%的線上交易網站曾遭受過DDoS攻擊。

以提供流量清洗(clean pipe)為主要業務的Nexusguard行銷兼通路總監張運達便提到,在中國已發現一些中小型企業網站遭到DDoS攻擊癱瘓以藉此勒索金錢獲利的案例。而Nexusguard高級研究員謝輝輝在談到未來威脅的發展趨勢時也認為,對於一些較具規模且資安防護嚴密的大型企業,就用APT這種精密的手法進行持續性的滲透入侵,而一般小型的網路零售業就可以用DDoS來做小規模的網路癱瘓,這樣也更符合攻擊者的成本效益原則。

從網路層轉向第7層應用程式的攻擊

至於在攻擊手法上,Check Point台灣區技術顧問吳炳東指出,這兩年DDoS攻擊的手法變化很大,從以往針對L3、L4發動的流量暴力型的攻擊,開始轉向以L7應用層為主的攻擊模式,包括針對伺服器主機弱點、應用程式漏洞所設計的攻擊模式。

例如近來有別以往巨量頻寬的網路攻擊方式,而改採一種低頻寬且緩慢(Low & Slow)的DDoS攻擊,像Slowloris、Slowhttp等便是利用通訊協定中的漏洞,對提供網路服務的伺服器主機建立緩慢的網路連線,拉長回應時間使伺服無法完成網頁的需求,持續佔用連線數並一點一滴的消耗主機運算資源直到目標癱瘓為止。

這種針對應用層的新型態攻擊特性在於僅需使用少量的頻寬就能達到癱瘓對方網路的目的,因此謝輝輝提到像去年發現最高達60Gbps的DDoS攻擊流量的例子,今年可能不會出現,且因為是使用合法的通訊行為,所以也更難被偵測阻擋。

另一方面,也意謂攻擊者對應用程式有相當程度的了解,甚至如劉乙所提到有部分開發人員被駭客組織網羅,針對應用程式弱點來撰寫攻擊軟體。謝輝輝也指出去年觀察到一些利用零時差弱點所發動的DDoS攻擊,以往在漏洞公布後幾個月才會發現利用此漏洞的攻擊方式,現在已縮短到幾天就能寫出,在在顯示出針對應用程式的攻擊手法將成為愈來愈普遍的DDoS威脅方式。

DDoS的種類

雖然這二年來應用層的DDoS攻擊愈來愈多,但對網路層的流量攻擊依舊存在,所以在介紹DDoS的解決方案前,有必要先對DDoS的種類做一個區分,才能對症下藥,表1是目前常見的DDoS攻擊模式比較。

1、DDoS攻擊種類比較表

攻擊型態

代表案例

頻寬需求

所需傀儡電腦數量

發動者所需技術能力

Bandwidth

ICMP flood

少量

Protocol

TCP SYN

少量

較低

Application flooding

HTTP GET flood

中等

中等

較低

Application Zero-Day

Slow HTTP POST

中等

資料來源:Nexusguard,資料整理:《資安人》編輯部,2012/12。

如果要以OSI網路七層分類的話,利用Bandwidth和Protocol所發動的攻擊屬於L3/L4的攻擊方式,通常此時雙方尚未完成三手交握以建立起用戶與伺服器兩端的連線。而在建立TCP連線後針對伺服器主機所發出的HTTP請求則可視為L7的攻擊。在頻寬需求上,傳統頻寬式的攻擊行為攻擊者需要能掌握到超過目標的網路頻寬,以直接擠爆目標的對外網路,達到阻斷對方網路的目的。但是應用層的攻擊則只需少量的頻寬,發送網路請求後就能達到相當大的破壞效果。

打個比喻,如果說頻寬式攻擊能達到1:1的效果,而採用洪水型應用程式攻擊的話大概能達到1:10的效果,而利用零時差漏洞的攻擊效果更明顯,甚至可達到百倍的放大程度,因此所需的頻寬更低,只是這種手法的需針對特定的伺服器或應用程式的版本,相對侷限性也較大。


在這裡要特別說明一下的是所需傀儡電腦數量上,通常我們會以為要發動流量式的網路癱瘓行為需動用到很多的傀儡電腦從各地發起DDoS攻擊,如同Dell SonicWALL北亞區經理陸耀光提到這些殭屍網路可於全球黑市販售並取得,攻擊者可以用低於100美元的價格來使用殭屍網路執行洪水型攻擊,或是用少至一小時5美元的價格來簽訂特定的攻擊。

但在此我們所指的是發動這些攻擊所「需要仰賴」的電腦數量,謝輝輝進一步解釋,因為這些傀儡電腦對駭客組織來說都是寶貴的資產,如果發動DDoS攻擊的話很容易就被人發現,因此不一定會用來進行攻擊而執行其他更有價值的事,可以只透過操控資料中心內具有大量對外頻寬的幾台傀儡伺服器就能達到所需的攻擊效果。而應用層的攻擊雖然所需頻寬不高且破壞效果佳,但因為要模擬真實合法的流量,所以反倒需要較多台的傀儡電腦同時進行連線攻擊,以達到阻斷服務的效果。

以上我們從今年資安現況與趨勢,談到近來DDoS的攻擊演變,而接下來我們也將與讀者一起跨年,在下期文章中介紹相關DDoS的解決方案,避免企業網站因為攻擊癱瘓導致業務停頓甚至是難以預估的商譽損失。