一、未来的网络战
未来的网络战会同时表现出两种趋势:更广泛的打击和更精确的打击。更广泛的打击是指将敌对国家整体作为打击目标,通过制造社会混乱来降低对手的抵抗。战争爆发的同时,金融系统数据会突然出现混乱,各种交易无法进行;智能电网瘫痪,电力供应中断导致生产停滞;交通调度系统也陷入失控状态,城里的人无法出去,城外的物资无法进入;电话和网络中断,电视广播只能收到敌对台的宣传。这里描述的场景非幻想,其中的每种现象都是攻击者当前就可以通过网络攻击来实现的。例如,2008年俄罗斯和格鲁吉亚的战争中,格鲁吉亚的官方网站和主要媒体都因遭受DDoS攻击而关闭,总统萨卡什维利数次迁移个人主页的服务器。
而更精确的打击是指在具体的战斗中精确制造获胜的契机。《网电空间战》中,克拉克给出了一个真实的例子。2007年9月6日午夜,叙利亚境内的某处正在修建的秘密设施突然遇袭。短短一分钟的轰炸结束后,现场就只剩下满地的残骸和远去的以色列战机。令人百思不得其解的是,当晚来袭的以色列战机是20世纪70年代设计的F-15和F-16,没有专门的隐身能力,而叙利亚耗资数十亿美元建造的防空系统却完全没有发现这次袭击。虽然对以色列采用的具体方法未能确定,但军事专家一致认为,导致这一结果的原因是叙利亚的防空系统遭到了入侵,无法显示真实信息。
DDoS具有强大的破坏性,在广泛打击的过程中是有力的武器;然而在精确打击中,早期DDoS的缺点暴露无遗,为了发挥更大的作用,新的DDoS正在进入APT时代。
二、DDoS的APT时代
随着攻防技术的不断发展,DDoS攻击也不断出现新的特性。DDoS攻击显现出技术高级、过程持续、危害严重的特点。DDoS攻击已经开始进入APT时代。
1、技术高级
过去,DDoS攻击就是攻击者通过控制大量的PC僵尸主机或使用简单的工具,直接向目标发送大量的请求数据包,这是一种相对简单而粗暴的攻击模式。而在近几年,DDoS攻击者开始使用更高级和高效的攻击技术,这体现在更强大的僵尸主机平台、更有效的攻击方法和更智能的攻击工具上。
在“燕子行动”(Operation Ababil)中,攻击者使用了主要由Web服务器组成的僵尸网络Brobot进行DDoS攻击。与PC相比,Web服务器具有更高的性能、更大的带宽和更长的在线时间。在进行DDoS攻击时,一台Web服务器僵尸主机的攻击效果能够比得上几十甚至数百台PC僵尸主机,而管理僵尸网络的开销则降低了许多。
在针对Spamhaus的DDoS攻击中,攻击者并不是直接发送攻击数据包,而是利用开放DNS解析器将原始的3Gbit/s流量放大为300Gbit/s攻击流量,实现更有效的带宽消耗效果。此后,攻击者在进行流量式DDoS攻击时,也更偏好于使用放大技术进行攻击。
在面对应用层DDoS攻击时,通常可以通过挑战/应答式的认证算法进行客户端验证,以识别并丢弃恶意的攻击请求。之前,出现了Outflare、Kill’em All等多个智能化攻击工具,这些工具通过解析和执行JavaScript代码、加入无界面浏览器组件等方式模拟浏览器行为,Apache添加多端口及实现单ip多端口映射的方法,绕过客户端验证算法;通过验证码识别技术模拟人类访问行为,历史故事的成语,绕过人机识别算法。更具智能化的攻击工具对DDoS防护方法提出了更大的挑战。
2、过程持续
2013年9月18日,从“燕子行动”开始整整经过了一年的时间。
从2012年9月18日开始,整个“燕子行动”经历了四个阶段,第一阶段、第二阶段发生在2012年,而第三阶段、第四阶段发生在2013年。
为了达到移除影片的目的,QCF持续对美国的金融机构发动DDoS攻击,美国银行(Bank of America)、花旗集团(Citigroup)、富国银行(Wells Fargo)、美国合众银行(US Bancorp)、PNC金融服务集团、第一资本(Capital One)、五三银行(Fifth Third Bank)、BB&T银行和汇丰银行(HSBC)等金融机构的在线业务都受到了影响。同时,为了保证DDoS攻击的效果,QCF不断地对其攻击工具itsoknoproblembro进行修改,增加新的攻击方法和手段,并调整攻击的策略。
目前,虽然“燕子行动”已经没有进一步的消息,但是这次行动已经持续了超过一年的时间,成为安全史上持续时间最长的DDoS攻击行动。
3、危害严重
DDoS攻击会对服务提供者造成严重的危害,影响其服务的可用性。然而,当现实世界与网络世界的结合越来越紧密时,这些DDoS攻击所造成的危害就不仅仅局限于服务提供者,还会威胁到服务使用者的资产安全。
比特币(Bitcoin)是一种用户自治的、去中心化的加密电子货币,通过电子货币交易所、服务商等渠道,比特币能够兑换为当地的货币或者金币。比特币的汇率随着其流通程度和人们对于比特币的价值预期不断变化,DDoS攻击者也开始逐渐关注这种新型资产。
攻击者对比特币交易平台发起攻击,对于比特币持有者会产生两方面的危害。
其一,比特币交易平台和比特币在线钱包业务的中断会导致比特币汇率动荡,在每次交易平台遭到DDoS攻击后,比特币的价格都会有较大幅度的下跌。Mt.Gox遭到DDoS攻击后,比特币的价格从142美元下跌到112美元。这是对比特币持有者造成的间接损失。
其二,在运维团队忙于处理DDoS攻击以恢复业务运行时,攻击者可能正在进行隐蔽的入侵并窃取比特币。丹麦比特币创业公司BIPS遭到DDoS攻击时,安全团队紧急处理,而攻击者则进行了隐秘的入侵并成功偷窃了1295个比特币,价值100万美元。这是对比特币持有者造成的直接损失。
事实上,将DDoS攻击作为烟幕弹,吸引安全响应团队的注意力,然后从另一条通道进行入侵的手法已经不是第一次出现了。2011年4月,索尼(SONY)的欧洲分部遭到了DDoS攻击,安全团队忙于处理DDoS攻击而忽视了攻击者的信息窃取行为,这导致7700万份PSN用户的姓名、地址、生日、密码等私密信息泄露,索尼也在今年遭到了英国政府开出的25万英镑罚单。此外,美国一些银行也曾遭遇过类似的攻击,导致该银行在2小时内损失了900万美元。
和其他的网络攻击技术一样,DDoS攻击技术也在不断发展和进化,并开始进入APT时代。APT时代的DDoS攻击将具有更加高级、高效的攻击技术,更持续的攻击过程和更严重的危害,同时也会对DDoS防护、缓解技术和响应流程提出更大的挑战。随着国家级网军和网络战的不断升级,这样的DDoS攻击将会成为普遍现象。
三、DDoS与大数据
网络攻击技术从诞生的一刻起,就在不断发展和改变。DDoS的方法同样在不断发展,以致国际上一些研究者正在讨论“下一代DDoS”的定义与特点。当前,DDoS的缓解面临着一些日益严重的问题:
-
攻击者越来越善于将自己伪装成真实用户(真实浏览器),区分恶意和正常访问正变得比以往更加困难。
-
攻击方法和工具的多样化和定制化,使得攻击模式的提取工作变得越来越繁重。
-
快速增长的攻击流量,需要更高效的清洗方法来应对。
“大数据”技术的兴起,为解决这些问题带来了一线曙光。早在20世纪70年代,一位名叫杰克·迈普的纽约警察就曾采用数据分析来预测犯罪行为。他对犯罪发生的时间、地点、类型等因素进行统计,以此来推测新案件的发生。90年代,这套方法被电子化,并在纽约市推广。未来,随着技术的发展,对抗中掌握数据的一方会拥有越来越大的优势。
维克多·迈尔·舍恩伯格在《大数据时代》中表示,与过去相比,“大数据”的精髓在于我们分析信息时的三个转变:
-
“在大数据时代,我们可以分析更多的数据,有时候甚至可以处理和某个特别现象相关的所有数据,而不再依赖于随机采样。”
-
“研究数据如此之多,以至于我们不再热衷于追求精确度。”
-
“我们不再热衷于寻找因果关系。”
也许,解决DDoS当前问题的钥匙,就是“大数据”技术。我们可以想象不远的未来:当某个网络服务的访问量突然增大,前端设备会自动启动分析功能,根据访问模式快速区分恶意和正常的访问,并提取出模式特征。这些特征自动在本地部署,并从云端发送给协同工作的数以万计的同类设备。而发起攻击的僵尸网络地址也被记录在信誉系统,当类似攻击再次发生时可以快速阻断。攻击者手中的武器和进攻基地,使用得越多就会被越快地无力化。