探索神秘的Dark DDoS世界

如今的分布式拒绝服务攻击与千禧年刚刚到来时初步诞生的DDoS存在很大差别。这类攻击活动变得更加微妙、精致，除了拖垮Web服务器之外还能够实现其它一系列恶意诉求。

在DDoS出现早期，大规模攻击活动可谓风靡一时。出于政治或者经济动机而进行的攻击行为会发动成千上万台客户端指向同一特定目标，吞没其服务器。这种攻击类型目前仍然相当普遍，但如今其开始越来越多地转向另一种更为复杂的DDoS活动，即Dark DDoS。而Andy Shoemaker则倾向另一个更为直观的名称——烟幕式攻击。

“攻击者们会利用拒绝服务的方式来吸引IT管理员，从而掩护真正的攻击活动，并借此窃取数据，”专门帮助客户研究及模拟DDoS攻击活动的咨询企业Nimbus DDoS公司负责人Shoemaker表示。

在这种模式当中，攻击者们不再利用拒绝服务流量来敲诈或者报复其既定目标。相反，DDoS攻击仅仅作为达成目的的手段之一存在。攻击者们采用DDoS攻击的理由有二，其一为误导攻击目标的IT管理人员，占用其宝贵的时间与资源；其二，在这样的混乱掩护之下完成自己的真正计划。

“这种攻击更多是针对人而非基础设施，”英国IT与安全咨询企业ECS公司首席技术官Nathan Dornbrook表示，他此前曾在DDoS缓解技术领域投入过大量研究精力。问题的关键在于尽可能长时间拖住目标企业中的安全工作人员，这显然是一种回避安全运营中心解决方案及技术管理员们的绝佳途径，他解释称。

Dark DDoS攻击在严重程度上往往只能够令目标网络的可视性遭到破坏，Shoemaker解释道。“大多数情况下，网络设备上的庞大流量会导致相关工具无力对恶意行为进行有效识别与制止，”他表示。“有时候，这些设备中的瓶颈令其无法处理远超资源上限的流量，此时其默认设置会允许全部流量在未经过滤的前提下即告通行。”

如今的DDoS与当初已经完全不同。

黑暗技能

全球云IT服务管理企业LOGICNow公司安全负责人Ian Trump指出，Dark DDoS攻击通常代表着其背后隐藏有更为复杂的恶意活动。攻击者需要具备相当程度的知识来设计表层攻击，同时凭借其它手段进行“暗度陈仓”。如果计划顺利，那么这类行为将使得目标企业的管理员变更基础设施设置以努力解决由巨大流量造成的性能损失。“在某些情况下，网络运维人员或者安全人员甚至会降低安全标准以恢复性能表现，”他解释称。

与传统攻击活动不同，Dark DDoS攻击者们可能不会尝试利用规模可观的流量将目标站点拖垮，毕竟基础设施下线的同时也就断绝了进一步攻击的可能性。相反，Dark DDoS的特征通常有异于大规模无差别攻击，Bitdefender公司高级电子威胁分析师Bogdan Botezatu警告称。他们的攻击流量通常不会高于每秒1 Gbit，他指出，而目标则是生成大量事件以掩饰真正的数据泄露迹象。

这也使得DDoS攻击的执行方式出现了显著变化。虽然每秒数百Gbit级别的流量仍然存在，但其所占比例已经逐渐降低，而更多被针对性高且持续时间短的新型攻击手段所取代。DDoS解决方案厂商Corero Network Security公司指出，其过去一年中大部分客户遭遇的DDoS攻击只使用每秒1 Gbit以下的攻击流量。另外，超过95%的攻击活动持续时间在30分钟以下。

“很明显，真正的威胁并非来自拒绝服务本身，”Corero Network Security公司COO Dave Larson表示。“这类攻击的设计目标在于凭借复杂的多矢量攻击保留一定带宽，从而帮助攻击者完成目标数据提取，且整个过程占用大量基础设施资源，因此令监控机制无法正常起效。”

“考虑到这种专门用于混淆视听的技术策略，现有以大规模流量为主要应对对象的DDoS缓解技术恐怕已经无法起到良好的作用。事实上，Dark DDoS应被视为一大新型安全威胁，”Botezatu提醒称。

Dark DDoS攻击内部解析

那么这些攻击是如何实现的？大多数入侵系统的尝试都会首先扫描整体网络，旨在找到潜在的切入点。这种扫描行为非常明显，因此需要利用烟幕式攻击加以掩护，Shoemaker表示。

而在成功进入网络之后，攻击者同样需要这样的烟幕来遮蔽自己的行踪，他解释道。“攻击者其实并不了解目标环境的确切状态，他们需要根据各类指标做出猜测。”罪犯分子在立足于目标网络提取客户数据库等规模化信息资产时会令自己显得十分惹眼，这时对流量的混淆就变得非常必要了。

尽管如此，大家还可能发现攻击者会在目标网络内进行技术方案切换，他警告称。“他们会努力找到适用于当前环境的攻击手段，有鉴于此，对系统加以保护将变得更为困难。”

事实上几年之前就曾经出现过Dark DDoS攻击活动，当时攻击者们针对某家银行发动了DDoS攻击，而因此忙作一团的管理员们根本没有发现对方已经利用欺诈ACH转移了大量资金。

时刻提防

Dark DDoS攻击虽然极为复杂，但只要大家加以关注，及时发现也并非难事，Dornbrook解释道。

“事实上，如果大家了解自己的网络服务以及正常流量的实际表现，”他指出，同时进行员工培训以帮助其辨别低带宽DDoS攻击，那么以此为标志的新型攻击活动并不难被揪出。

金融机构可能会成为Dark DDoS攻击活动的主要对象，Shoemaker警告称。他们的客户往往财力雄厚，且拥有大量极具价值的资源，因此必须对其个人信息进行严格保护。然而，Dark DDoS攻击的触角也伸向了其它诸多领域。

其中最典型的例子就是2015年10月TalkTalk公司遭受的攻击，这家电信厂商收到一系列声明，宣称攻击者将利用庞大流量令其网站陷入瘫痪。而在这种情况下，犯罪分子得以利用更多机会窃取客户数据。而就在去年8月，Carphone Warehouse公司也受到类似攻击的影响，并导致240万名客户的个人信息泄露。

DDoS攻击正不断增长，而且设定的目标也越来越复杂。因此，企业必须做好心理准备，并在发现DDoS活动时多留一个心眼。简单地颠覆企业网络可能并非攻击者的惟一目标，事实上其背后往往隐藏着更为可怕的阴谋与陷阱。