如何判断僵尸网络_僵尸网络_僵尸网络电影(4)

各 类反射攻击横扫全球，带宽型攻击占比亦明显提升。SSDP反射放大攻击频率更呈现出后来者居上的态势，攻击频率明显超越NTP、DNS和Chargen反 射放大攻击。值得一提的是，SSDP反射攻击放大倍数只有30倍，为何成为反射放大攻击源新宠？主要源于物联网中众多网络、智能家电等海量即插即用 （UPnP） 设备必须基于SSDP（Simple Service Discovery Protocol）进行相互感知，因此相比传统互联网中的NTP、DNS、Chargen服务，网络资源更加丰富。2015年，UDP类反射放大攻击家族 更添新成员：SQL RS反射放大攻击。同时，反射攻击家族另一分支HTTP类反射攻击，在2015年也大放异彩：

1）借助可嵌入JavaScript的海量访问的网站发起HTTP反射攻击；

2）利用开放pingback服务的wordpress网站发起HTTP反射攻击。

3）利用Joomla 服务 器的Google地图插件漏洞发起HTTP反射攻击。

路由器因为实时，已经成为DDoS攻击源头新宠。因攻陷多个大型游戏服务而闻名于世的黑客组织 Lizard Squad实施攻击依赖的正是由家用路由器组成的僵尸网络。

物联网成为新型DDoS攻击源：CCTV（Closed-circuit TV cameras）僵尸网络利用闭路电视对外发起 HTTP Flood。

随着云计算的快速发展，互联网业务越来越集中化，这导致云DC面临更加严峻的DDoS攻击考验：

1）虚机廉价，租户线上注册，网上支付，用户真实身份难以有效甄别，管理难度大，甚至直接租用虚机做攻击机的事件时有发生；

2）租户安全意识不足，账户弱口令可轻易被破解，植入木马，甚至自己无意识地开启无用服务，不仅威胁自身数据安全，还经常发起outbound DDoS攻击；

3）即使云服务提供商可提供安全服务，但云主机数量庞大，业务种类多，流量模型差别大，难以做到针对性的防护；

4）当面临DDoS攻击时，持续不断的连接型攻击直接考验云架构的性能极限和健壮性。

面对防御技术的不断推陈出新，先进的僵尸网络往往具备高超的伪装能力,支持防御设备的挑战认证探测正是其躲避检测、反防御能力的直接体现，真可谓“道高一尺，魔高一丈”。

应 用层DDoS攻击因会暴露攻击主机IP，为了躲避防御系统的追踪，经常采用伪装技术。比如利用HTTP报文的User-Agent字段伪装成移动终端发起 对移动应用的HTTP Get Flood；利用User-Agent字段伪装成各类流行浏览器在购物旺季或商品促销期发起对电子商务网站的HTTP Get Flood，其中IE、Firefox和Chrome因其互联网用户量巨大而经常被攻击者作为惯用的伪装伎俩；伪装成Baidu或Google爬虫发起对 WEB服务器的HTTP Get Flood；模拟CDN对WEB网站发起攻击。

针对SYN Flood，防御设备通常采用错误序列号（TCP Sequence-ID）的挑战机制验证源IP的真实性，越来越 多的SYN Flood采用现网存在的IP地址段作为攻击源，使得挑战认证失效。迫使防御设备不得不采用正确序列号的挑战认证算法，但这种防御算法需要防御设备和客户 端建立会话，验证结束需要拆除会话，对防御设备性能和客户体验都有影响。2015年，越来越多的正确序列号的挑战认证防御失效，说明僵尸网络已经适应这种 防御机制，迫使防御设备厂商不得不推出基于源IP进行TCP访问报文比率的行为分析来识别攻击源IP。针对HTTP应用层攻击防御，常采用 JavaScript挑战认证或者302重定向（302 redirection）挑战认证机制。2015年，华为未然实验室现网攻击事件统计数据显示，JavaScript和302重定向挑战认证机制失败率在 逐步攀升。

本文来自电脑杂谈，转载请注明本文网址：
http://www.pc-fly.com/a/jisuanjixue/article-28049-4.html