一周海外安全事件回顾(10.20-10.26):IoT攻击的崛起

在Akamai最新的互联网状态报告中,黑客利用物联网(IoT)设备发起攻击成为安全威胁发展的一个重要趋势。

14146409498284.png

作为承载全球15%~30%互联网流量的第一大CDN服务商(http://baike.baidu.com/view/564098.htm),Akamai的“互联网状态报告”(State of the Internet)是当前阐述全球互联网(流量)状况和发展趋势的最权威的报告。

在上周23日,Akamai的Q3 State of the Internet/Security安全报告发布(微盘下载:http://vdisk.weibo.com/s/C72IDYVyetPLq/1414113806)。这是Akamai全球互联网状态报告的安全专版,也是一份非常难得和值得仔细阅读与学习的安全报告。

本期将集中对该报告进行解读。需要首先说明的是,本文对Akamai安全报告的解读主要集中在DDoS上(P.S:事实上State of the Internet/Security安全报告中绝大部分内容也是对DDoS攻击的分析),第四章Emerging threat不在本文中阐述;此外,受篇幅所限,Case Study一章亦不涉及。

在Stateof the Internet/Security(Q3)报告中,Akamai关于DDoS攻击的阐述,笔者概括为四个主要观点:

IoT攻击的崛起

以往发起DDoS攻击的多是僵尸主机或数据中心里的服务器,然而这种现状正在被打破。拥有更多数量的个人手机、平板、家用路由器以及ARM-Based的家电等系统正在成为黑客发起攻击的来源。除此之外,可以通过互联网访问的提供各种业务功能的电信运营商服务器、基站以及其他工业系统也都被黑客盯上。上述这些设备和系统都可能最终成为黑客发起网络攻击的载体。

物联网攻击的另一个加速器是最近曝光的三大漏洞,Heartbleed (OpenSSL) 漏洞 (CVE-2014-0160),Shellshock (Bash)漏洞 (CVE-2014-6271) 和Poodle (ssl 3.0) 漏洞(CVE-2014-3566)。

这些严重漏洞的一个极其严重的后果是很多IoT终端设备的安全性也收到威胁。这些设备的漏洞很难在短期内修复——原因是多方面,然而结果就是黑客就像找到了四十大盗藏宝的洞穴一样,突然发现攻击源是如此的取之不尽,用之不绝。

赐予我力量吧

在Akamai安全报告中提到,从大量的DDoS攻击事件中发现,黑客发起DDoS攻击时,越来越追求攻击的强度,而不是攻击的技巧。

从上图中可以看出,攻击的带宽/速率(bps)和流量(pps)无论是同比还是环比均有明显上升。其中:

相信上面的数字足以证明黑客攻击的火力越来越猛。在Q3,Akamai监测到最大的攻击流量已经突破320Gbps!

如此大流量的攻击除了卷入更多的僵尸和攻击设备外,基于Network Time Protocol (ntp)、SimpleNetwork Management Protocol (snmp)、CharacterGeneration (chargen) 和Domain Name System(dns)协议的反射放大攻击,以及大负载Syn/UDP flood攻击也是常用的手段。

下图是Akamai捕获的两个大负载Syn Flood以及UDP Flood数据包:

请注意上图中介绍部分的文字内容,Figure-5显示的一个是970字节的Syn包,类似这样超大负载的SYN包在超过100Gbps的攻击中很常见;Figure-6显示的是673字节的UDP包,这样的UDP包就出现在321Gbps的攻击事件中。

花拳绣腿不如直接干死

在报告中,Akamai“惊奇地”发现,流量型,即面向基础设施,如带宽的DDoS攻击(Infrastructure Attack),或简称为3层攻击是主流,而应用层攻击(或简称7层攻击)只占10%,如下图:

这是一个有趣的现象,从攻击所需要的技巧来说,3层攻击的技术难度要低于7层攻击。对于防护一方来说,当攻击的流量到了一定的数量,防护一方实际可以采取的手段是非常有限的,其防护的成本也是非常高昂的。这恰恰是攻击一方希望看到的。

组合拳

混合攻击的初衷就是提高防护一方的防护难度。

首先,何为混合攻击?混合攻击就是采用两种或两种以上的攻击手段。举例来说,SYN Flood+UDP Flood,虽然都是三层攻击,由于手段不同,就是一种混合攻击;SYN Flood+HTTP Get Flood,一个三层,一个七层,也是一种常见的混合攻击。

在Q3中,Akamai监测到攻击流量超过100Gbps的17起事件均为混合攻击。Akamai对攻击流量最高(highest pps)和攻击带宽最大(largestbandwidth )的两次攻击进行了分析。流量最高的一次攻击,流量达到169 millionpackets per second (Mpps),对应的带宽是232Gbps。攻击一方采用了大负载Syn Flood和单字节负载UDP Flood的混合流量。另一起攻击事件是攻击带宽最大的事件,即上文提到的320Gbps的DDoS攻击(对应流为72 million packets per second)。攻击者同样混合了大负载的UDP Flood和Syn Flood数据包。

下图是Q3Akamai对于DDoS攻击手段的统计,及其同比和环比变化的对照:

从上图不难发现,从DDoS攻击手段上来说,可以总结为以下几个特点:

上面就是AkamaiQ3互联网状态报告安全专版中主要传递的四个核心观点。当然,报告本身内容还是非常丰富的,还包括攻击来源的国家分布、攻击时长统计以及攻击时间段分析等。既有数据,也有案例。一方面笔者认为上述内容均非报告最核心的观点,同时受本文篇幅所限,这里均不再赘述。

最后,打一个小广告,笔者计划近期创建一个微信公众号,推送一些最新的海外安全动态。和笔者微博(http://weibo.com/hacktivism)相比,这个微信公众号所发布的内容除了保持百分百的海外一手资讯外,很多资讯将先于我的微博发布,而且不受限于140个字。此外,微信平台也便于大家相互沟通和交流。关于公众号的上线,请感兴趣的朋友留意我的微博。