【51CTO.com獨(dú)家翻譯】大家可能對(duì)分布式拒絕服務(wù)攻擊（DDoS）非常熟悉吧。自從數(shù)字時(shí)代開(kāi)始的那天，各大企業(yè)就開(kāi)始忍受這種問(wèn)題。但在過(guò)去六個(gè)月中，DDoS似乎發(fā)現(xiàn)了新的攻擊方式，使其再次成為關(guān)注的焦點(diǎn)，專家認(rèn)為這可能是由于一些高危目標(biāo)的存在及這種攻擊在特性上的兩種重要改變而引起的。

攻擊目標(biāo)仍和過(guò)去一樣——私有企業(yè)和政府部門(mén)的web站點(diǎn)。攻擊動(dòng)機(jī)也無(wú)非是敲詐、使競(jìng)爭(zhēng)對(duì)手企業(yè)的操作混亂、對(duì)不受歡迎的政府進(jìn)行報(bào)復(fù)等等。但攻擊的劇烈程度及持續(xù)時(shí)間如同滾雪球般增長(zhǎng)，引起該問(wèn)題的主要原因是因?yàn)榻┦W(wǎng)絡(luò)的巨大擴(kuò)張，以及攻擊方式已由過(guò)去的“對(duì)目標(biāo)端進(jìn)行ISP連接”轉(zhuǎn)變?yōu)椤皩ふ夷繕?biāo)服務(wù)器上的合理請(qǐng)求進(jìn)而發(fā)起攻擊”。

事實(shí)上，正如位于馬薩諸塞州Cambridge的Akamai Technologies公司CSO Andy Ellis所說(shuō)，引起當(dāng)前DDoS攻擊的僵尸網(wǎng)絡(luò)非常巨大，很可能連控制僵尸網(wǎng)絡(luò)的攻擊者也失去了對(duì)很久以前所捕獲的肉雞的控制。（在《DDoS攻擊的漫長(zhǎng)奇異進(jìn)化史》中可以了解到對(duì)Ellis的全部采訪）

Ellis已經(jīng)發(fā)現(xiàn)了一個(gè)非常有利的發(fā)展趨勢(shì)。很多人在無(wú)意識(shí)狀態(tài)下使用了Akamai服務(wù)。該公司所運(yùn)行的由上千服務(wù)器組成的平臺(tái)，可以滿足客戶們進(jìn)行在線商務(wù)活動(dòng)的需求。

在該公司平臺(tái)上進(jìn)行Web交互的企業(yè)（如Audi、NBC、Fujitsu、及像美國(guó)國(guó)防部及NASDAQ之類的機(jī)構(gòu)）資金有幾百億元之巨，而這些Akamai的客戶幾乎都在DDoS攻擊的槍口之下。

根據(jù)對(duì)過(guò)去蠕蟲(chóng)攻擊史（如Blaster、Mydoom以及Code Red）的調(diào)查，Ellis說(shuō)道，“我們發(fā)現(xiàn)能夠使感染機(jī)器陷入癱瘓的惡意軟件攻擊正在減少。現(xiàn)在這些惡意軟件用于將被挾持的機(jī)器加入到僵尸網(wǎng)絡(luò)中去，并被當(dāng)做僵尸網(wǎng)絡(luò)武器來(lái)使用。”

在過(guò)去的一年中，Akamai遇到了自創(chuàng)建起最大的幾起DDoS攻擊，這些攻擊被Ellis描述為“每秒超過(guò)120Gb流量的巨大DDoS攻擊。如果你在接收端遇到如此海量的攻擊的話，這不是一個(gè)希望看見(jiàn)的情況。”

發(fā)生在7月4號(hào)的海量攻擊就是一個(gè)很好的例子。在此次攻擊中，控制著180000臺(tái)機(jī)器的僵尸網(wǎng)絡(luò)對(duì)美國(guó)政府的Web網(wǎng)站發(fā)起了攻擊，這對(duì)美國(guó)和南韓之間的貿(mào)易產(chǎn)生了影響。這次攻擊開(kāi)始于周六，癱瘓了美國(guó)聯(lián)邦委員會(huì)（FTC）和美國(guó)交通部(DOT)的Web網(wǎng)站。美國(guó)第六大商業(yè)銀行US Bancorp也成為了攻擊對(duì)象（其他的攻擊對(duì)象還包括谷歌、雅虎、亞馬遜等）。對(duì)谷歌的攻擊持續(xù)時(shí)間并不長(zhǎng)，但如果考慮到谷歌所遇到的攻擊數(shù)量大約占整個(gè)網(wǎng)絡(luò)攻擊的5%的話，那么對(duì)一些知名網(wǎng)絡(luò)企業(yè)的持久性攻擊可能是真實(shí)存在的。Prolexic研究所的CTO Paul Sop見(jiàn)證了來(lái)自他們企業(yè)內(nèi)部因感染僵尸網(wǎng)絡(luò)而引起的DDoS攻擊。大約有30個(gè)工程師花費(fèi)了他們?nèi)康墓ぷ鲿r(shí)間來(lái)解決此次危機(jī)。他說(shuō)，“我們通過(guò)建立一個(gè)IP白名單數(shù)據(jù)庫(kù)的方法來(lái)尋找那些攻擊我們客戶的IP地址，到目前為止我們已經(jīng)找出了四百萬(wàn)臺(tái)被感染的機(jī)器，我們對(duì)僵尸網(wǎng)絡(luò)的規(guī)模及擴(kuò)張能力感到震驚。”

另外，他說(shuō)到，他們的企業(yè)正面臨對(duì)其HTTP、HTTPS、以及DNS服務(wù)的七層攻擊。這些攻擊的主要目的并不是掐斷用戶的ISP鏈接。恰恰相反，他們的主要攻擊目標(biāo)是服務(wù)器，這就使網(wǎng)絡(luò)攻擊變得更易隱藏和持久，因?yàn)閷?duì)于單個(gè)僵尸節(jié)點(diǎn)來(lái)說(shuō)，他們的行為并沒(méi)有太強(qiáng)的侵略性并且他們的行為看上去更像是一次合理的網(wǎng)絡(luò)事故。

根據(jù)他們團(tuán)隊(duì)的分析，絕大多攻擊是因?yàn)槭袌?chǎng)中競(jìng)爭(zhēng)對(duì)手的蓄意破壞引起的。“在很多高回報(bào)領(lǐng)域（例如在線賭博，此類公司在亞洲非常流行），存在著激烈競(jìng)爭(zhēng)以及強(qiáng)烈的DDoS攻擊，”他說(shuō)，“出于政治目的的網(wǎng)絡(luò)攻擊變得更加普遍，這就需要我們對(duì)各種新聞及視頻消息加以保護(hù)。通常這些攻擊是由國(guó)外某個(gè)黑客單獨(dú)發(fā)起的，但有時(shí)某些攻擊（例如針對(duì)緬甸民主之聲的攻擊）更可能受到了某些組織的利用和贊助。”51CTO王文文：大家是不是想起了最近活躍的伊朗網(wǎng)軍？

僅僅在已經(jīng)對(duì)外公布的因僵尸網(wǎng)絡(luò)引起的DDoS攻擊中，Prolexic發(fā)現(xiàn)攻擊者們可以迅速集結(jié)他們的僵尸網(wǎng)絡(luò)，并造成攻擊對(duì)象的網(wǎng)絡(luò)癱瘓，并使這些癱瘓看上去更像是合法的網(wǎng)絡(luò)故障。

該報(bào)告說(shuō)，“在過(guò)去，網(wǎng)絡(luò)流量突然爆增一般是攻擊開(kāi)始的標(biāo)志。而現(xiàn)在，當(dāng)服務(wù)器受到攻擊時(shí)，網(wǎng)絡(luò)流量只會(huì)慢慢的擴(kuò)大，這可能是因?yàn)榫W(wǎng)絡(luò)僵尸節(jié)點(diǎn)是在隨機(jī)時(shí)間點(diǎn)、以多種方式向目標(biāo)進(jìn)行攻擊的緣故。這就使得我們很難將真正的客戶與僵尸節(jié)點(diǎn)區(qū)分開(kāi)來(lái)。”

【51CTO.COM 獨(dú)家翻譯，轉(zhuǎn)載請(qǐng)注明出處及作者！】