|
新的研究表明由于越来越多的攻击者将简单服务发现协议(Simple Service Discovery Protocol, SSDP)作为目标进行攻击,上个季度DDoS攻击的平均规模持续增长,可预计将会有更多的企业遭到DDoS攻击。
DDoS攻击防护服务提供商Verisign公司总部位于弗吉尼亚州的雷斯顿,其第三季度分布式拒绝服务趋势报告(Distributed Denial of Service Trends Report)收集了其提供抵御DDoS攻击的企业客户的数据。Verisign公司发现从第二季度到第三季度,DDoS攻击带宽超过10Gbps情况增长了38%,而且仅仅占Verisign攻击监控的所有此类攻击的1/5。
出人意料的是,根据该报告,DDoS攻击的整体平均规模从第二季度的12.42 Gbps降到了第三季度的6.46 Gbps。然而,Verisign的副总裁兼首席安全官Danny McPherson说,第二季度异常高的数据主要是由于单个UDP洪水式的DDoS攻击超过了300Gbps。如果将这个异常从统计数据中消除,那么第二季度平均指数下跌到4.60 Gbps,意味着平均攻击规模在第三季度环比增长了40%,而且已经增长了5个季度。
Verisign指出除了规模这个因素,上个季度DDoS攻击的目标被击中的频率比以往任何时候都要大。据报告,平均而言,一个典型的目标在本季度面临3.33个DDoS攻击,这一数字显著高于今年前两个季度。
反病毒厂商卡巴斯基(Kaspersky)实验室新发布的研究也显示了可能受到DDoS攻击的企业数量。基于对来自27个国家共3900个企业(大多数是中型企业)受访者的调查,卡巴斯基(Kaspersky)发现,18%的企业在2013年4月到2014年5月期间经历过DDoS攻击。
卡巴斯基(Kaspersky)表示,DDoS攻击似乎变得越来越针对具体的行业和地区。例如,38%运营面向公众的在线服务的企业或提供金融服务的企业遭到攻击。同一时间,中国的企业也面临不成比例的DDoS攻击,34%此类公司也成为攻击目标。
SSDP:DDoS攻击的新宠
至于什么在一直推动高容量的DDoS攻击不断增长,McPherson说有两个首要因素。首先,攻击者已经不再依赖于主要由上传速度低的家庭系统组成的僵尸网络,因为具有更大互联网管道的网页服务已经变得相对容易妥协。
McPherson指出另一个因素是攻击者已经越来越多地发现一些低调的收敛性网络协议,它们有着较大的放大系数,对于DDoS攻击来说是非常完美的。今年早些时候,攻击者使用网络时间协议(NTP)来发动DDoS攻击,几乎触及400 Gbps的带宽,是有史以来监测到的最大规模之一。这是因为网络时间协议(NTP)放大系数达到700,与此同时,域名系统(DNS)出于同样的原因,长期以来一直是DDoS攻击喜欢的攻击目标。
第三季度,Verisign发现了第一例利用SSDP的攻击。SSDP用于网络服务的发现和通用即插即用(Universal Plug-and-Play)。McPherson指出,Verisign这个季度帮助防御的DDoS攻击中大约有40%利用了SSDP。他还指出该协议放大系统为30,这使得它被滥用,而且成为Verisign客户最近面临的高容量DDoS攻击的驱动因素。尽管针对SSDP的DDoS攻击可能没有达到网络时间协议(NTP)和域名系统(DNS)产生的规模,但是Verisign发现这类攻击仍然能达到近15Gbps的带宽。
DDoS攻击防护提供商Arbor Networks总部位于马萨诸塞州的伯灵顿,其在10月份的一次展示中也推出了证据表明,针对SSDP的DDoS攻击变得越来越普遍。Arbor的研究人员检测到第三季度有将近30,000个针对SSDP的DDoS。这种攻击占据了9月份所有DDoS的9%,而且这个月42%的攻击超过了10Gbps带宽。因此,Arbor发现在这一季度DDoS上涨大于1Gbps。
McPherson推测,攻击者对于SSDP的最初兴趣可能来源于安全研究员Christian Rossow 2月发布的一份研究报告:“”Amplification Hell: Revisiting Network Protocols for DDoS Abuse”,该报告认为SSDP的放大因素可能会导致其成为DDoS攻击的目标。不过,McPherson说,攻击者转移到SSDP协议,因为它不仅类似于前面所提到的目标如网络时间协议(NTP),而且该协议已经在多于1500万网络互连设备上启用。
McPherson说,大多数这些协议对于一个企业环境来说实际上并不是必要的,其实这使得很多情况下答案变得很简单。
“大多数人甚至不知道企业环境中启用了SSDP,而他们很可能都没有使用过这个协议。如果你不使用一个协议或应用程序或服务,最好是关掉。”
“其次是确保在网络外围,只允许用户应该连接的协议被使用。从安全的角度来看,这是一个良好的习惯。”
|
|