2016年 Dec月 6日
DDoS攻击简史
这一天终于到来了:’DDoS’缩写词已被收编入词典,甚至这些天许多大众报纸也纷纷开始采用简写。当然也有些人并不知道这个缩写词的真正含义,但似乎都知道DDoS是针对大型目标的网络不法活动,通常会导致重要基础设施突然停止工作或网络中断,又或者让他们的技术支持接电话接个不停—并造成客户投诉不断。此外众所周知,通常DDoS攻击的背后一定存在神秘未知–无比邪恶的–网络敌人。
DdoS攻击进化飞快,读完本篇博文后你自然就会知道其中的原因。它们变得更加难以对付,偶尔采用一些极其不寻常的攻击方法;同时寻找新的目标;并屡屡刷新DDoS规模性和破坏力这两项记录。DDoS也会发现了这个世界的变化是如此之快。所有东西甚至厨房水槽也实现了联网:联网的’智能’设备数量目前远超台式电脑和笔记本电脑的数量。
两方面同时快速进化的结果–DDoS本身及其所处在的数字环境–给人类带来的是:由网络摄像头和家庭Wi-Fi路由器组成的僵尸网络大规模破坏了DDoS记录(Mirai),和针对俄罗斯银行的大规模DDoS攻击。
过去,僵尸网络只是由僵尸PC电脑组成,而如今却加入了许多新成员:僵尸冰箱、真空吸尘器、转筒式干燥机和咖啡机等。
那DDoS攻击的未来发展又是如何呢?
可以确定一点,那就是只会变得更糟。过去,DDoS攻击总是以受害人遭受损失而告终。那未来受害人又将遭受怎样的’苦难’呢?要想准确预测未来,需要从过去中寻找答案;历史将告诉我们DDoS攻击未来将何去何从。因此下面,我们将对DDoS攻击的发展历史做一番介绍,希望能从中有所启发,达到鉴古知今的目的。
下面是我个人认为历史上的8大DDoS攻击事件。’大’并非’伟大’的意思,而是’破坏最严重’的意思,我想你们应该能明白我的意思。所有这8次DDoS攻击均导致了严重后果:互联网大规模瘫痪或大型互联网服务中断。
在正式开始前–再提个醒:这8次’DDoS攻击’并非全部是我们今天理解的意思;但其中都含有’分布式’元素,并且也都对大型网络造成了巨大破坏。
1.Morris蠕虫(1988年)
Robert Tappan Morris –互联网首个计算机蠕虫病毒的作者
在Robert Tappan Morris还在读研的时候,他就编写了蠕虫病毒,但当时单纯是为了研究目的(’想测量互联网的大小’)。但代码显然存在错误,结果导致蠕虫无法独立确定系统是’干净’还是受感染。原本是针对远程计算机的一次性攻击,变成了蠕虫不断在相同的系统内自我复制。一旦开始就没办法停下来。结果造成整个网络陷入瘫痪–所有6万个网络节点无一幸免。受感染的ARPANET—互联网前身—对自身实施了DDoS攻击!
2.Melissa病毒(1999年)
David Smith,Melissa病毒的作者,大量发送邮件致使微软和话联网邮件服务系统瘫痪的病毒
一个影响了MS Office文档的简单电邮宏病毒。一旦用户打开一个文件,病毒就会将自己发送受害人通讯录中的50个收件人。
这里你可能会问,这和DDoS攻击又有什么关系呢…
这发自各个受害人的50封邮件,完全不亚于一场大规模的传染病,然后雪球越滚越大到了难以控制的地步:这一分布式攻击迅速在全球范围传播。该攻击本来并没有什么特定的目标–某种程度而言;最终却将全球邮件系统作为了攻击目标!该宏病毒让全球邮件流量短时间内疯狂激增,也让许多公司被迫关闭了自己的邮件服务器。
该病毒作者同样被抓,随后受到了审判和起诉。
3.针对亚马逊、易趣、戴尔和CNN的DDoS攻击(2000年)
该次DDoS攻击可能是有史以来最引起关注的网络攻击,尽管造成了巨大的破坏,但幕后黑手却未受到应有的惩罚。
事情是这样的:一个化名为MafiaBoy的年仅15岁的黑客,凭借一手之力让几乎所有大型互联网门户网站陷入瘫痪,其中甚至包括了当时全球第一大搜索引擎Yahoo!(Google此时才刚刚出现不久)。MafiaBoy造成的全部损失估计达到12亿美元。
这名黑客这么做的理由在当时还颇为典型:只是为了在网络世界中炫耀自己有多厉害。他本人对金钱则毫无兴趣。所有这一切只是青春期的叛逆–利用的是互联网固有漏洞。
由于是未成年,加拿大法庭只判处了8个月的少年拘留中心监禁。
4.Code Red病毒 (2001年)
又一个在我们如今所知的网络犯罪时代前的产物;就这一点而言–并不是为了任何金钱利益。纯粹是为了犯罪而犯罪。
Code Red攻击了运行微软IIS网页服务器的计算机。每次攻击后都留下’是中国人干的’的信息,甚至连白宫网站也未能幸免。
该蠕虫病毒主要干三件事:
a)用下面下好似圣典仪式的短语代替原本的网页内容:
b)不断传播至新的网页服务器;
c)对预定的一组网页地址实施DDoS攻击–包括白宫的在内,并在类似的预定时间按照代码中的相应条目移入下页。
据估算,Code Red总共在全球感染了超过100万台网页服务器,占了当时互联网中网页服务器总数的很大比例。Code Red只存在于受害人计算机的内存里,并不创建任何文件。
有关Code Red的作者以及编写的原因目前依然是个谜。
Code Red正是该蠕虫病毒所利用的存在于网页服务器内的漏洞,但特别有意思的是,该漏洞在当年病毒大爆发前已被修复。这带给我们的启示是:千万不要延迟更新,伙计们!
5)SQL Slammer病毒(2003年)
SQL Slammer尽管很小,但破坏力却着实不小–仅376 B(单位没写错,不是KB或MB,更不是GB)。2003年1月,它在短短15分钟内感染了全球成千上万台服务器,让全球网络流量增加了25%,甚至让韩国的互联网和移动通信(!)一度中断数小时之久,几乎是毁灭性的打击。此外,被利用的Microsoft SQL Server 2000内的这一漏洞其实早已修复–而且并不是像Code Red那样在病毒爆发前1个月修复–而是整整6个月前。
事实证明,当时许多系统都存在各种各样的漏洞,整个计算机世界也因此遭到了重重一击。记得那是周六的早上,只有我们的顶尖安全专家Aleks Gostev一人在周末值班,当时才刚刚加入卡巴斯基实验室1个月的时间。我清楚记得他采用’教科书’般的方法成功检测出这一病毒,我们永远也不会忘记!
当时网络流量暴增,如上图所示
此外,该病毒还破坏了13000台美国银行ATM机,同时据说,主动(尽管是间接)让美国西北部5000万人在2003年整个8月份无电可用。
6)Estonia 病毒(2006年)
2007年,爱沙尼亚政府决定将原建于多个军人墓地的塔林青铜战士从是首都市中心迁移至近郊的塔林军人公墓。该雕像是为了纪念在第二次世界大战中抗击法西斯而牺牲的苏联士兵。爱沙尼亚的俄语社区对此强烈反对,但由于政府坚持迁移,结果连续两个晚上爆发了大规模骚乱,多人被逮捕。以上就是有关这一病毒的背景介绍。
在纪念碑迁移这段时间里,针对爱沙尼亚各政府机构实施了具有历史意义的DDoS攻击。虽然并不是历史上最大规模的DDoS攻击,却是首次网络犯罪分子通过发送垃圾邮件并利用僵尸网络威胁某个国家的国家安全:互联网属于爱沙尼亚的部分几乎摧毁殆尽。无论是银行、互联网提供商、报纸还是政府网站…全部陷入瘫痪。据传幕后黑手是俄罗斯人,但我们无法确认这一点。我们只知道犯罪分子使用了僵尸网络以及疯狂的攻击。
从对爱沙尼亚的这次攻击中得到的主要教训是:网络犯罪分子已能够威胁到国家和全球安全,而我们所建立的这个数字世界被证实漏洞百出。
7.俄罗斯南部的DDoS攻击(2007年)
尽管这此次DDoS 攻击并不太为人所知,但重要性绝不亚于前面几次。2007年的那个炎热夏天,俄罗斯南部克拉斯诺达尔地区、阿迪格共和国的数座城市以及阿斯特拉罕市的互联网连接断断续续–一会中断,一会又连上,反反复复。原因是当时DDoS攻击造成该地区最大的网络提供商陷入瘫痪。
当时自然在这些地区造成了极大恐慌,工程人员忙得团团转,各种路由器问题让客服应接不暇–不断地吸烟和咒骂着,客户–包括那些大客户 –也不断询问互联网何时能恢复,而执法部门则为逮捕谁以及逮捕罪名而伤透脑筋!
攻击一波接着一波,整整持续了一个月,最高达到了惊人的10 GB/秒。此外攻击也非常不寻常:使用了僵尸网络,但更多的是利用文件交换端网站,当时这完全在研究计划以外。此次攻击的幕后黑手也始终无法找出。
该次DDoS攻击可谓是俄罗斯历史上一个重要时刻。整个地区的互联网如同火炬一样时而亮时而灭,且没有任何应对之策。在这一黑客事件前,没有任何人注意到DDoS威胁;在这之后,重视程度有了很大提升:DDoS攻击被当做是严重的网络威胁对待。随着新技术的出现,电信公司开始主动安装新的专门工具。而我们也同样不甘落后–开发了属于我们自己的解决方案。
8.俄罗斯涉及政治的DDoS攻击(2011-2012年)
2011年12月至2012年3月期间,俄罗斯政治局势紧张:国家杜马(议会)和总统选举,同时伴随着不少政治示威游行。更有甚至,还有对立两派之间的DDoS激战。无论是反对派还是亲政府派的网站均遭到了DDoS攻击。其重要意义在于:这是俄罗斯网络犯罪分子首次将DDoS攻击用于政治目的。
DDoS的未来将何去何从?
DDoS攻击显然没有在2012年戛然而止,事实上,恰恰相反:一个完整的、商业化十足的犯罪DDoS产业已经成长起来。背后的动机非常明显:金钱,网络犯罪就如同一项服务被售卖。黑客积极分子则化身”网络将军”,投身于DDoS战争中。
如今,很难想象还会再出现像Slammer这样的病毒(但考虑到现在有如此多的’智能’设备联网并交换数据,什么事情都可能会发生)。但不法分子并没有放弃,最近针对物联网的DDoS攻击很好地证明了这一点。随着我们对互联网和智能设备的依赖程度不断提升,因为网络服务瘫痪或中断造成的损失也不断增加,其中就包括不少人为的攻击。
黑暗的过往已经过去,危险的未来即将到来,而夹在这两者中间–是一个令人担忧的现在。尽管我们依然有理由乐观;但恐怕未来将看到更多令人讨厌的DDoS攻击的发生。