【51CTO.com獨(dú)家翻譯】由于僵尸網(wǎng)絡(luò)的增殖而使攻擊者的能力變得更加強(qiáng)大，這個(gè)我們已經(jīng)在本系列的第一篇文章（《僵尸兇狠！DDoS攻擊強(qiáng)勢(shì)歸來(lái)》）中提到過(guò)了，這種趨勢(shì)也正在僵尸網(wǎng)絡(luò)構(gòu)建者中擴(kuò)大。

在本文中，兩名IT安全從業(yè)人員——一位有處理DDoS對(duì)政府系統(tǒng)攻擊經(jīng)驗(yàn)，另一位則是來(lái)自企業(yè)的專(zhuān)家——分享他們所知的關(guān)于DDoS如何確定攻擊目標(biāo)以及應(yīng)如何采取安全應(yīng)對(duì)策略的經(jīng)驗(yàn)。

CSO在線問(wèn)答， 參與者 ：Jerry Mangiarelli(加拿大TD銀行安全專(zhuān)家)，以及來(lái)自以色列的研究人員 Gadi Evron.

對(duì)攻擊者動(dòng)機(jī)和策略深有研究的社區(qū)安全專(zhuān)家Jerry Mangiarelli通過(guò)自己多年來(lái)對(duì)僵尸網(wǎng)絡(luò)的獨(dú)立研究，而形成了自己對(duì)DDoS威脅的一套獨(dú)立看法。在類(lèi)似的安全討論中，他經(jīng)常在這一話題（攻擊者的動(dòng)機(jī)和策略）上以EC-Council、SecTor 以及 FSP的身份回答各種問(wèn)題。這里，他舉了研究中的例子，來(lái)闡述黑客攻擊的手段和動(dòng)機(jī)。

CSO: 是什么讓你的研究重點(diǎn)發(fā)生了巨大轉(zhuǎn)變，從而進(jìn)入與僵尸網(wǎng)絡(luò)相關(guān)的DDoS攻擊領(lǐng)域呢？

Mangiarelli:這次轉(zhuǎn)變主要是由于我在惡意軟件和應(yīng)用程序方面繼續(xù)研究（以及個(gè)人興趣）的結(jié)果。多年來(lái)我們一直關(guān)注著對(duì)手們的動(dòng)機(jī)，動(dòng)機(jī)主要是因?yàn)閼?yīng)用層上的僵尸網(wǎng)絡(luò)能夠給他們帶來(lái)巨大回報(bào)（ROI）。

問(wèn):根據(jù)花費(fèi)的時(shí)間和使用的工具來(lái)講， 你在研究中做了哪些工作。

Mangiarelli:我花費(fèi)了很長(zhǎng)的時(shí)間來(lái)進(jìn)行研究。我喜歡將孩子睡覺(jué)后我仍在工作的時(shí)間為夜班。我花費(fèi)了很多時(shí)間來(lái)評(píng)估（基于WEB的DDoS工具箱開(kāi)發(fā)領(lǐng)域的）對(duì)手們使用的工具。

到目前為止基于你的研究成果，DDoS攻擊的火力在哪方面最令你震驚？

Mangiarelli:最令我震驚的是，太多的用戶對(duì)他們使用WEB服務(wù)器的權(quán)限漠不關(guān)心。發(fā)生在2009年初的FTP攻擊以及（從2008年開(kāi)始一直持續(xù)到2009年的）海量SQL注入攻擊顯示了DDoS攻擊隊(duì)伍的擴(kuò)大。

問(wèn)：你認(rèn)為這些攻擊主要是針對(duì)企業(yè)呢還是出于政治目的？

Mangiarelli: 我早先已經(jīng)提到過(guò)，對(duì)手們的動(dòng)機(jī)已經(jīng)發(fā)生了變化。每一臺(tái)僵尸機(jī)器會(huì)根據(jù)僵尸網(wǎng)絡(luò)管理者以及他們顧客的需求添加到不同的模塊中。我們將在這兩個(gè)領(lǐng)域（企業(yè)和政府）關(guān)于進(jìn)行更加深入、長(zhǎng)期的研究。這項(xiàng)工作會(huì)一直持續(xù)下去。

為了對(duì)黑客的政治性攻擊行為進(jìn)行深入研究，以色列安全研究人員Gadi Evron 在檢測(cè)針對(duì)政府網(wǎng)絡(luò)的DDoS攻擊上花費(fèi)了大量的時(shí)間。他的研究案例包括前幾年針對(duì)愛(ài)沙尼亞共和國(guó)的海量攻擊。當(dāng)時(shí)，Gadi Evron認(rèn)為此次攻擊的幕后黑手應(yīng)該是一群所謂的黑客分子，而非哪些工作在敵對(duì)政府（比如說(shuō)，俄羅斯）的工作人員。在這里，他將解釋一下企業(yè)級(jí)的安全專(zhuān)家可以從針對(duì)公共部門(mén)的攻擊中學(xué)到些什么。——51CTO王文文：2009年4月，愛(ài)沙尼亞不理會(huì)俄羅斯抗議強(qiáng)行拆除蘇軍紀(jì)念碑，隨后疑似來(lái)自俄羅斯的數(shù)波攻擊很快就癱瘓了該國(guó)各類(lèi)政府站點(diǎn)，繼而又將攻擊擴(kuò)大到該國(guó)報(bào)紙、電視臺(tái)、學(xué)校，銀行等站點(diǎn)。一度造成恐慌。其中所用最多的攻擊手段即是DDoS。

CSO:除了你從愛(ài)沙尼亞事件（或與此類(lèi)似的其他事件）中學(xué)到的一些東西之外，IT安全從業(yè)人員們還有其他更好的方法來(lái)了解攻擊者的攻擊手段么？

Gadi Evron:DDoS攻擊并不是最好的攻擊方式。它們（DDoS攻擊）要么是有預(yù)謀（對(duì)基礎(chǔ)設(shè)施和聯(lián)絡(luò)點(diǎn)）的，要么是有意轉(zhuǎn)移人們視線的攻擊。

問(wèn)：請(qǐng)講一下企業(yè)該如何做？

Evron:企業(yè)最應(yīng)該做的便是了解他們的流量負(fù)載，并確保他們可以承擔(dān)一個(gè)（比原有負(fù)載）更加夸張的負(fù)載。沒(méi)有人可以承受高于他們正常流量1000倍的負(fù)載，但至少他們應(yīng)該建立一個(gè)他們可以承受的波動(dòng)區(qū)間。建立一些可以承受洪水攻擊的網(wǎng)絡(luò)以及與此相關(guān)的網(wǎng)絡(luò)應(yīng)用程序，至少不要在這上面發(fā)生問(wèn)題，是至關(guān)重要的。基于此點(diǎn)，最好的做法應(yīng)該是有超過(guò)一個(gè)的上限連接值，并且（為了緩解洪水攻擊的壓力）和ISP供應(yīng)商們保持良好關(guān)系。

問(wèn)：以你的經(jīng)驗(yàn)來(lái)看，目前最常使用的DDoS攻擊技術(shù)是什么？我們?cè)?jīng)和有些人談?wù)摚麄冇龅竭^(guò)更加強(qiáng)大、攻擊范圍更過(guò)的僵尸網(wǎng)絡(luò)，比如說(shuō)。

Evron:我不能談?wù)撎嘤嘘P(guān)攻擊者們使用的特殊攻擊手段，我覺(jué)得他們的攻擊手段呈現(xiàn)了多樣發(fā)展的趨勢(shì)。他們的攻擊底線：他們可以使用任何手段，基于此，他們要么使CPU、內(nèi)存過(guò)載，或是使負(fù)載檢測(cè)應(yīng)用程序過(guò)載，或是使網(wǎng)絡(luò)流量過(guò)載。

問(wèn)：愛(ài)沙尼亞對(duì)發(fā)生在他們身上的攻擊事件的反應(yīng)相當(dāng)強(qiáng)烈。你能講述一下國(guó)家對(duì)于他們受到的攻擊所采取的一些回應(yīng)措施嗎？

Evron:對(duì)事故的反應(yīng)和國(guó)際影響，這兩者是完全不同的。就事件反應(yīng)來(lái)說(shuō)，合作或是協(xié)調(diào)才是解決之道；就國(guó)際影響來(lái)說(shuō)，沒(méi)有其他國(guó)家的幫助的話，該事件能夠引起較好的反應(yīng)是不可能的，即使該事故很明顯。

本文是DDoS攻擊回歸系列報(bào)道的第二篇文章。第一篇文章為《僵尸兇狠！DDoS攻擊強(qiáng)勢(shì)歸來(lái)》。51CTO網(wǎng)站已經(jīng)發(fā)布，需要的朋友可以自檢索。

【51CTO.com獨(dú)家翻譯。合作站點(diǎn)轉(zhuǎn)載請(qǐng)注明原文作者和出處】