史上最大型DDoS攻擊:每秒5億個資料包
分散式拒絕服務攻擊(DDoS)無需佔用太多頻寬即可產生破壞效果,且很難緩解。
今年初,Imperva應客戶要求緩解了一起每秒資料包數量超 5億 個的DDoS攻擊,可能是按資料包規模計的史上最大型DDoS攻擊。
1月10號的攻擊是所謂的SYN洪水攻擊——攻擊者通過傳送超出目標計算機處理能力的TCP連線請求令該主機掉線。Imperva稱,本次攻擊中所用洪水資料包既有正常SYN包,也有大小在800-900位元組之間的超大SYN包,源IP地址和埠也是高度隨機的。
攻擊者往往綜合採用正常包和超大包攻擊,正常SYN包耗盡CPU等伺服器資源,而超大SYN包用於阻塞網路。
Imperva的調查發現,1月初的攻擊採用了兩個已知工具,一個用於發起正常SYN流量洪水,另一個製造超大SYN包攻擊。這兩個工具似乎是不同作者編寫,然後被人組合使用在了網際網路歷史上最密集的網路基礎設施DDoS攻擊上。
公司企業和媒體往往傾向於關注DDoS攻擊的規模。但實際上,規模並不是攻擊緩解難度或破壞程度的最佳反映。每秒包數量(PPS)是個更好的指標。
去年GitHub遭受的攻擊,其峰值流量達到 1.35TB 每秒,堪稱史上最大頻寬密集型DDoS攻擊。該攻擊吸引了大量關注,常被當作大型DDoS攻擊可致巨大挑戰的典型例子。
緩解難點
從緩解的立場看,提供足夠的網路頻寬可以減弱這種攻擊。當下的DDoS攻擊緩解及防護服務傾向於提供遠超目前最大型DDoS攻擊規模的頻寬。這使得攻擊規模不再成為令公司企業頭痛的問題。
但處理涉超高PPS的攻擊就是另一碼事了,因為評估每個包所需的計算處理能力才是箇中關鍵。限制網路路由器、交換機和服務提供商用以緩解DDoS攻擊的裝置的,不是資料包的大小,而是其產生速度。緩解高PPS攻擊需要的處理能力,遠遠超出了當前絕大多數網路裝置路由或交換資料包的能力。
公司企業提供頻寬容量,所以大小往往成為衡量DDoS攻擊的標準度量。但高PPS攻擊才是公司企業更應該關注的方向。
比如說,GitHub攻擊案例中,DDoS流量主要由不同伺服器的相同埠發出的大資料包組成,PPS速率相對較低,為1.296億。而本月初Imperva緩解的這起攻擊,從隨機源地址發出的包數量幾乎是GitHub攻擊的4倍。
高PPS攻擊更難以產生,因為需要更多的計算資源;同理,其緩解也需要更多計算資源。公司企業應更為關注高PPS攻擊。
DDoS攻擊的影響最終取決於攻擊方式和目標企業的脆弱性。運用得當的話,無論是高頻寬的攻擊還是高PPS的攻擊,都能造成災難性後果。提前預測多方式DDoS攻擊的發展是不可能的。不同方式帶來不同的緩解挑戰。
比如說,高PPS攻擊不會像高頻寬攻擊那樣頻繁地阻塞鏈路。高頻寬攻擊往往對無辜路人造成連帶傷害,用網路擁塞將他們一起擠掉線。
Imperva十大DDoS攻擊趨勢:
https://www.imperva.com/docs/DS_Incapsula_The_Top_10_DDoS_Attack_Trends_ebook.pdf