DDoS攻击三大动机
一切事物出现都有其动机。欲破解DDoS攻击,必先了解其动机。政治分歧、恶意竞争、敲诈勒索、经济犯罪是DDoS攻击的主要动机。
- 政治动机型攻击惯于采用大规模网络攻击,攻击目标一般是银行和政府网站或者DNS服务器,影响范围大,容易引起民众大范围恐慌,堪称网络攻击的“核武器”。
例如“土耳其攻击事件”, 著名黑客组织匿名者发布视频向土耳其宣战谴责其支持某极端组织,由此引发针对土耳其DNS根服务器的大规模网络攻击,导致土耳其400,000个网站离线。
- 恶意竞争、敲诈勒索则属于对特定业务系统的精准打击,攻击行为越来越像“特种部队”。
例如“网游大战”事件,电竞选手PhantomL0rd为了保住自己的“王”位,采用了恶意竞争手段。他勾结黑客组织DERP Trolling,每当自己游戏即将失败时,便召唤DERP Trolling使用DDoS攻击攻瘫游戏服务器,导致游戏异常终端。英雄联盟、EA官网、暴雪战网、DOTA2官网、企鹅俱乐部等等知名游戏网站都因遭到DDoS攻击而瘫痪。这真是赤裸裸的“打不过就拔网线啊!”
- 经济犯罪则大多属于声东击西式的“烟雾弹”,以大流量攻击转移安全人员的注意力,掩盖其数据窃取的真实目的。当前比较流行的做法是黑客通过大流量DDoS攻击吸引注意力,掩护潜伏的APT攻击完成最后的数据窃取。
DDoS攻击分类
知己知彼,百战不殆。在前几篇技术帖中,我们已经学习了几种经典DDoS攻击。在这里我们再来系统总结下DDoS攻击的种类。
DDoS攻击按攻击方式划分有:泛洪攻击(Flood)、畸形报文攻击(Malformation)、扫描探测类攻击(Scan&Probe)。
泛洪攻击,也叫Flood攻击,是指攻击者通过僵尸网络、代理或直接向攻击目标发送大量的伪装的请求服务报文,最终耗尽攻击目标的资源。发送的大量报文可以是TCP的SYN和ACK报文、UDP报文、ICMP报文、DNS报文、HTTP/HTTPS报文等。
近年来,泛洪攻击又发展出了一种高级形式,我们称之为反射攻击。顾名思义,反射攻击并不是直接向攻击目标发起大量服务请求,而是攻击者控制僵尸网络中的海量僵尸主机伪装成攻击目标,都以攻击目标的身份向网络中的服务器发起大量服务请求。网络中的服务器会响应这些大量的服务请求,并发送大量的应答报文给攻击目标,从而造成攻击目标性能耗尽。
- 反射攻击大多是由UDP Flood变种而来,反射的是UDP报文,例如NTP、DNS、SSDP、SMTP、Chargen等。为什么选中UDP呢?因为UDP的响应(Reponse)报文大小要大于请求(request)报文,这样攻击者就实现了对攻击流量的放大。
