【TechTarget中國(guó)原創(chuàng)】新的研究表明由于越來越多的攻擊者將簡(jiǎn)單服務(wù)發(fā)現(xiàn)協(xié)議(Simple Service Discovery Protocol, SSDP)作為目標(biāo)進(jìn)行攻擊,上個(gè)季度DDoS攻擊的平均規(guī)模持續(xù)增長(zhǎng),可預(yù)計(jì)將會(huì)有更多的企業(yè)遭到DDoS攻擊�����。
DDoS攻擊防護(hù)服務(wù)提供商Verisign公司總部位于弗吉尼亞州的雷斯頓�,其第三季度分布式拒絕服務(wù)趨勢(shì)報(bào)告(Distributed Denial of Service Trends Report)收集了其提供抵御DDoS攻擊的企業(yè)客戶的數(shù)據(jù)。Verisign公司發(fā)現(xiàn)從第二季度到第三季度�,DDoS攻擊帶寬超過10Gbps情況增長(zhǎng)了38%,而且僅僅占Verisign攻擊監(jiān)控的所有此類攻擊的1/5��。
出人意料的是���,根據(jù)該報(bào)告����,DDoS攻擊的整體平均規(guī)模從第二季度的12.42 Gbps降到了第三季度的6.46 Gbps�。然而,Verisign的副總裁兼首席安全官Danny McPherson說����,第二季度異常高的數(shù)據(jù)主要是由于單個(gè)UDP洪水式的DDoS攻擊超過了300Gbps。如果將這個(gè)異常從統(tǒng)計(jì)數(shù)據(jù)中消除�����,那么第二季度平均指數(shù)下跌到4.60 Gbps����,意味著平均攻擊規(guī)模在第三季度環(huán)比增長(zhǎng)了40%��,而且已經(jīng)增長(zhǎng)了5個(gè)季度�。
Verisign指出除了規(guī)模這個(gè)因素���,上個(gè)季度DDoS攻擊的目標(biāo)被擊中的頻率比以往任何時(shí)候都要大。據(jù)報(bào)告�,平均而言,一個(gè)典型的目標(biāo)在本季度面臨3.33個(gè)DDoS攻擊�����,這一數(shù)字顯著高于今年前兩個(gè)季度��。
反病毒廠商卡巴斯基(Kaspersky)實(shí)驗(yàn)室新發(fā)布的研究也顯示了可能受到DDoS攻擊的企業(yè)數(shù)量���?;趯?duì)來自27個(gè)國(guó)家共3900個(gè)企業(yè)(大多數(shù)是中型企業(yè))受訪者的調(diào)查���,卡巴斯基(Kaspersky)發(fā)現(xiàn)�����,18%的企業(yè)在2013年4月到2014年5月期間經(jīng)歷過DDoS攻擊��。
卡巴斯基(Kaspersky)表示����,DDoS攻擊似乎變得越來越針對(duì)具體的行業(yè)和地區(qū)。例如��,38%運(yùn)營(yíng)面向公眾的在線服務(wù)的企業(yè)或提供金融服務(wù)的企業(yè)遭到攻擊����。同一時(shí)間,中國(guó)的企業(yè)也面臨不成比例的DDoS攻擊��,34%此類公司也成為攻擊目標(biāo)���。
SSDP:DDoS攻擊的新寵
至于什么在一直推動(dòng)高容量的DDoS攻擊不斷增長(zhǎng)��,McPherson說有兩個(gè)首要因素�����。首先��,攻擊者已經(jīng)不再依賴于主要由上傳速度低的家庭系統(tǒng)組成的僵尸網(wǎng)絡(luò)�,因?yàn)榫哂懈蠡ヂ?lián)網(wǎng)管道的網(wǎng)頁服務(wù)已經(jīng)變得相對(duì)容易妥協(xié)。
McPherson指出另一個(gè)因素是攻擊者已經(jīng)越來越多地發(fā)現(xiàn)一些低調(diào)的收斂性網(wǎng)絡(luò)協(xié)議�����,它們有著較大的放大系數(shù)��,對(duì)于DDoS攻擊來說是非常完美的����。今年早些時(shí)候�����,攻擊者使用網(wǎng)絡(luò)時(shí)間協(xié)議(NTP)來發(fā)動(dòng)DDoS攻擊���,幾乎觸及400 Gbps的帶寬�,是有史以來監(jiān)測(cè)到的最大規(guī)模之一�。這是因?yàn)榫W(wǎng)絡(luò)時(shí)間協(xié)議(NTP)放大系數(shù)達(dá)到700,與此同時(shí)�����,域名系統(tǒng)(DNS)出于同樣的原因��,長(zhǎng)期以來一直是DDoS攻擊喜歡的攻擊目標(biāo)。
第三季度����,Verisign發(fā)現(xiàn)了第一例利用SSDP的攻擊。SSDP用于網(wǎng)絡(luò)服務(wù)的發(fā)現(xiàn)和通用即插即用(Universal Plug-and-Play)����。McPherson指出,Verisign這個(gè)季度幫助防御的DDoS攻擊中大約有40%利用了SSDP�����。他還指出該協(xié)議放大系統(tǒng)為30��,這使得它被濫用���,而且成為Verisign客戶最近面臨的高容量DDoS攻擊的驅(qū)動(dòng)因素����。盡管針對(duì)SSDP的DDoS攻擊可能沒有達(dá)到網(wǎng)絡(luò)時(shí)間協(xié)議(NTP)和域名系統(tǒng)(DNS)產(chǎn)生的規(guī)模����,但是Verisign發(fā)現(xiàn)這類攻擊仍然能達(dá)到近15Gbps的帶寬。
DDoS攻擊防護(hù)提供商Arbor Networks總部位于馬薩諸塞州的伯靈頓���,其在10月份的一次展示中也推出了證據(jù)表明���,針對(duì)SSDP的DDoS攻擊變得越來越普遍�。Arbor的研究人員檢測(cè)到第三季度有將近30,000個(gè)針對(duì)SSDP的DDoS�。這種攻擊占據(jù)了9月份所有DDoS的9%,而且這個(gè)月42%的攻擊超過了10Gbps帶寬�。因此,Arbor發(fā)現(xiàn)在這一季度DDoS上漲大于1Gbps�����。
McPherson推測(cè)����,攻擊者對(duì)于SSDP的最初興趣可能來源于安全研究員Christian Rossow 2月發(fā)布的一份研究報(bào)告:“"Amplification Hell: Revisiting Network Protocols for DDoS Abuse”���,該報(bào)告認(rèn)為SSDP的放大因素可能會(huì)導(dǎo)致其成為DDoS攻擊的目標(biāo)���。不過,McPherson說�����,攻擊者轉(zhuǎn)移到SSDP協(xié)議,因?yàn)樗粌H類似于前面所提到的目標(biāo)如網(wǎng)絡(luò)時(shí)間協(xié)議(NTP)����,而且該協(xié)議已經(jīng)在多于1500萬網(wǎng)絡(luò)互連設(shè)備上啟用。
McPherson說����,大多數(shù)這些協(xié)議對(duì)于一個(gè)企業(yè)環(huán)境來說實(shí)際上并不是必要的,其實(shí)這使得很多情況下答案變得很簡(jiǎn)單��。
“大多數(shù)人甚至不知道企業(yè)環(huán)境中啟用了SSDP���,而他們很可能都沒有使用過這個(gè)協(xié)議����。如果你不使用一個(gè)協(xié)議或應(yīng)用程序或服務(wù)����,最好是關(guān)掉?����!?/p>
“其次是確保在網(wǎng)絡(luò)外圍,只允許用戶應(yīng)該連接的協(xié)議被使用����。從安全的角度來看,這是一個(gè)良好的習(xí)慣���?!?/p>
