博客

了解上个月的 DDoS 攻击

F5 缩略图
F5
2016 年 10 月 27 日发布

在本文中,我们将简要介绍 2016 年 9 月和 10 月前所未有的 #DDoS 攻击的影响,并为那些有兴趣提高其弹性的人提供指导。

让我们一起庆祝物联网时代已经到来! 我们知道它终于来了,因为从九月开始它被三次用作网络武器。 事件始于对博客记者 Brian Krebs 的大规模攻击,其网站krebsonsecurity.com由 CDN Akamai 托管和保护。 这次攻击的严重程度足以影响到 Akamai 的其他客户,因此他们放弃了对该博主的无偿辩护。

行业研究人员(包括 F5 的研究人员)注意到一个由 DVR、摄像机和其他“东西”组成的新僵尸网络。 但是 DVR 和摄像机非常重要,因为它们具有高 CPU 能力(因此可以承载复杂的恶意软件)和高带宽上行链路(它们可以从中发起高达 100 Mbs 的攻击)。 针对克雷布斯的总攻击流量为620 Gbs,这是当时世界上最大的DDoS攻击。

第二次攻击使法国最大的托管服务提供商 OVH(如果文献报道属实,那么它是世界第三大托管服务提供商)瘫痪了一整天。 许多媒体报道称,OVH 攻击的规模几乎是 Krebs 攻击的两倍,即每秒整整 1TB。

第三次也可能是最严重的一次攻击针对的是 DNS 服务公司 Dyn。 Dyn 是许多知名网站的 DNS 提供商,包括 Twitter、Spotify 和 GitHub(具有讽刺意味的是,IoT 僵尸网络代码就是在那里发布的)。

那么,是谁干的?

巧合的是,行业知名人物布鲁斯·施奈尔 (Bruce Schneier) 上个月在接受采访时警告称,大规模的国家 DDoS 攻击即将到来。 他的内幕信息来自未具名的业内消息人士,这些消息人士发现针对核心互联网基础设施的校准 DDoS 攻击。

但事实证明,这些试探性攻击可能只是巧合。 施奈尔本人在其博客中承认,他根本不认为 Dyn 攻击是民族国家发起的。 但或许那个民族国家只是在观望并等待。

Krebs、OVH 和 Dyn 案件的归因关键可能来自于Brian Krebs 本人

“就在 DYN 遭受攻击的几个小时前,DYN 研究员Doug Madory在德克萨斯州达拉斯举行的北美网络运营商集团 (NANOG) 会议上发表了关于 DDoS 攻击的演讲。……就在我发表与 Madory 合作撰写的报道几个小时后, KrebsOnSecurity.com 遭遇了创纪录的 620 Gbps DDoS 攻击。”

对手很可能是一个个人(或一小群人),其目的是为了反对 Brian Krebs 或 Doug Madory,或者两者兼而有之。

我们都能理解,中美爆发全面的网络战将影响数百万用户。 但如果这只是一个人针对另一个人的个人目的呢? 这比民族国家攻击更可怕。 如果一个对另一个人怀恨在心的人就能中断数百万人的关键服务,那么我们建立的互联网是什么样的呢?

我们是如何走到这一步的?

一年多来,F5 一直在关注物联网 (IoT) 设备市场。 我们关于此问题的第一份报告于 2016 年 7 月发布,报告显示 telnet 和 SSH 暴力扫描同比增长了 140%。 Telnet 和 SSH 是广泛使用的远程管理端口,它们通常会在不知情的情况下使用供应商默认(或容易猜到)的用户名和密码暴露在互联网上。

2016 年 10 月针对 Krebs、OVH 和 Dyn 发动的史无前例的 DDoS 攻击正是使用了这种技术(扫描物联网设备上的 telnet 端口和供应商默认密码)来创建具有独特功能的僵尸网络。

每个人再次成为目标。 机器人牧民并不惧怕将他们的网络武器对准世界上一些最大的供应商——这些目标以前被认为是不可触碰的。

虽然这些攻击看起来就像是一夜之间发生的,但实际上,机器人牧民至少在一年的时间里一直在慢慢地搜索、发现并攻击易受攻击的物联网设备。

深入探究我们已知的知识

我们实际上对物联网僵尸网络 Mirai 的功能有相当好的了解。 在 Mirai 机器人的作者在 hackforums.net 上发布源代码后不久,F5 的研究人员就对其进行了技术分析。

集体火力可能比以前的僵尸网络高出一个数量级;每秒超过太比特。

物联网僵尸网络包括(但不限于)以下先进的DDoS技术。 下面的规定性指导部分将提供有关如何在可能的情况下缓解这些影响的建议。

抵御重定向的 HTTP GET 洪水攻击

HTTP GET 洪水已经非常有害。 多年来,攻击者可以通过发送大量针对大型对象或慢速数据库查询的 HTTP 请求来禁用网站。 通常,这些请求会直接穿过标准防火墙,因为对于大多数具有硬件数据包处理功能的设备来说,它们看起来就像普通的 HTTP 请求。 Mirai 攻击代码更进一步,通过对基于云的 DDoS 清洗器进行指纹识别,然后绕过清洗器发回的任何 302 重定向。 重定向曾经是阻止简单机器人的好方法,但这个方法并不简单

DNS 水刑

Mirai 机器人对目标 DNS 提供商发起“水刑”攻击。 该技术不同于常规的 DNS 反射和放大攻击,因为它需要机器人发送更少的查询,从而让 ISP 的递归 DNS 服务器对目标权威 DNS 服务器执行攻击。 在这次攻击中,机器人发送一个格式良好的 DNS 查询,其中包含要解析的目标域名,同时在名称后附加一个随机生成的前缀。 当目标 DNS 服务器超载且无法响应时,攻击就会生效。 然后,ISP 的 DNS 服务器会自动重新传输查询,尝试目标组织的另一个权威 DNS 服务器,从而代表机器人攻击这些服务器。

Dyn 在其博客文章《10 月 21 日星期五袭击事件的 Dyn 分析摘要》中证实,他们确实遭受了水刑。

“例如,当递归服务器尝试刷新其缓存时,攻击的影响产生了合法重试活动风暴,在大量 IP 地址上产生了 10 到 20 倍的正常流量。 当发生 DNS 流量拥塞时,合法的重试会进一步增加流量。

看来恶意攻击至少来自一个僵尸网络,重试风暴提供了一个错误指标,表明端点数量比我们现在所知的要大得多。 我们仍在分析数据,但截至撰写本报告时,估计恶意端点数量已达 100,000 个。

F5 研究员 Liron Segal 在几周前的帖子中详细介绍了机器人水刑攻击的机制——Mirai,击倒 Krebs 的机器人。

更新的第 4 层攻击

据该机器人的创建者称,所谓的“TCP STOMP”攻击是简单 ACK 洪水的一种变体,旨在绕过缓解设备。 在分析此攻击的实际实施时,似乎机器人会打开一个完整的 TCP 连接,然后继续用具有合法序列号的 ACK 数据包进行泛洪,以保持连接处于活动状态。

鉴于我们对新物联网机器人的各个威胁载体的了解,我们可以为缓解这些各个威胁载体提供一些指导。

在开始指导之前,我们先明确一点。 Krebs、OVH 和 Dyn 攻击都自成一派。 显然,现有的 DDoS 缓解技术无法轻易击退攻击者,因此才出现中断并成为媒体的头条报道。 然而,在很多情况下,缓解措施最终确实发挥了作用。 适当的架构(例如使用Anycast和分散数据中心)也有帮助。 请注意,美国西海岸和西部地区基本上没有受到 Dyn 攻击的影响。

规范性指导

我们的指导来自于我们自己的客户。 二十年来,F5 一直为全球知名品牌提供应用,其中许多客户每天都遭受 DDoS 攻击。 我们最有经验的客户将他们的防御分为三到四个区域:

  • 云清洗
  • 网络防御
  • application防御
  • DNS(如果适用)

因此,最优秀的抗 DDoS 架构如下所示:

这是 DDoS 防护参考架构,多年来已被 F5 客户广泛使用。 完整的参考架构和推荐做法可在 F5.com 上找到。 但是,为了更快地消费,与这些攻击相关的指导详述如下。

体积防御

法国托管公司 OVH 遭受了 990Gbs 的容量耗尽攻击。 据报道,Dyn 攻击的峰值达到了 1.2 TB。 这种规模的攻击通常只有专门大规模防御的云清理器才能缓解。 云清洗器(包括 F5 的 Silverline DDoS Protection)会拦截攻击流量、将其清洗干净,然后仅将良好的流量通过预先安排的隧道发送到目标。

指导: 组织应确保在受到攻击之前与一个或多个云清理器达成协议。 在容量耗尽攻击过程中,配置预先安排的隧道并不是一件可以轻易完成的事情。 与云清洗 DDoS 防御签订合同,作为您的 DDoS 策略的一部分。

指导: 攻击扩散可以成为你抵御体积攻击的朋友。 请记住,DNS 也可以成为您的朋友;当 DDoS 攻击发生时,通过 Anycast 您的全球数据中心来复制内容以分散攻击。 每个参与Anycast的数据中心都可以帮助分散攻击。

相关资料:

网络防御

Mirai 机器人的武器库中包含几种第 4 层攻击:标准 SYN 洪水、TCP 洪水和 UDP 洪水。 这些古老的威胁载体必须在云清理器上进行缓解,或者,如果它们足够小,则在数据中心的网络防御层进行缓解。 网络防御层是围绕网络防火墙构建的。 它旨在减轻 SYN 洪水和 ICMP 碎片洪水等计算攻击。 此层级还可缓解体积攻击,直至入口点拥塞(通常为额定管道尺寸的 80% 到 90%)。

指导: 除非配置正确,否则许多防火墙都无法抵御 DDoS 攻击。 请咨询您的网络防火墙供应商以了解设置。 一些客户会在防火墙前面放置防 DDoS 设备来抵御第 4 层攻击。

指导: F5 防火墙模块(BIG-IP 高级防火墙管理器 (AFM))是专门为抵御第 4 层攻击而设计的。 一些架构师正是针对这种情况使用 BIG-IP AFM——要么放在传统网络防火墙前面,要么替代传统防火墙。 带有 AFM 的硬件设备使用现场可编程门阵列来抵御 30 多种类型的数据包洪流并减轻 CPU 的工作负担。

相关资料:

application防御

Mirai 机器人可以生成令人印象深刻的 HTTP GET 洪水并处理指令。 由于 GET 洪水对于网络防御设备来说看起来像是正常流量,因此必须在应用层进行处理。 GET 洪水是 F5 迄今为止看到的最常见的应用层攻击类型,并且有很多方法可以缓解它们,具体取决于客户所使用的产品组合。

指导: 对于可以处理简单重定向的机器人,F5 建议根据每秒请求数指标限制连接或使用所谓的“登录墙”。 登录墙要求对应用的连接进行身份验证,然后才能使用非缓存或动态资源(例如数据库查询)。

相关资料:

DNS 防御

关于 Dyn 攻击,有两个 DNS 问题值得讨论。 第一个也是最直接的问题是,如果您的 DNS 提供商因某种新型攻击而下线,该怎么办。 Dyn 是 Twitter、GitHub 和 Spotify 的名称服务提供商,因此当 Dyn 被封锁时,最终用户无法找到这些服务的 IP 地址。

指导: 在您的 DNS 计划中构建弹性,包括但不限于多个 DNS 提供商为您的关键应用提供地址。 这样,如果其中一个提供商暂时遭受攻击,另一个提供商可以为您的地址提供服务。 它可能会使您的最终用户的速度减慢几毫秒,但您的应用和服务仍然可用。

第二个问题是如果您自己的 DNS 服务器受到攻击该怎么办。 DNS 是最受关注的服务,HTTP 位居第二。 当 DNS 中断时,所有外部数据中心服务(而不仅仅是单个应用)都会受到影响。 这种单点故障,加上通常配置不足的 DNS 基础设施,使得 DNS 成为攻击者的诱人目标。

回想一下,即使您自己的服务器没有受到攻击,下游的中断也可能会导致不同的 DNS 服务器在尝试填充自己的缓存时向您的 DNS 服务器发送大量请求。 Dyn 报告称,当这种情况发生时,请求量是正常请求量的 10 到 20 倍,这是来自试图应对这种情况的合法 DNS 服务器。

指导: 相当一部分 DNS 服务配置不足,甚至无法抵御中小型 DDoS 攻击。 DNS 缓存已经变得流行,因为它们可以提高 DNS 服务的感知性能并提供一定的抵御标准 DNS 查询攻击的能力。 攻击者已经转向所谓的“无此域”(或 NXDOMAIN)攻击,这种攻击会很快耗尽缓存提供的性能优势。

对于 F5 客户,F5 建议使用名为 F5 DNS Express™ 的 DNS 代理模块作为 DNS 服务的前端。 DNS Express 充当现有 DNS 服务器前端的绝对解析器。 它从服务器加载区域信息并解析每个请求或返回 NXDOMAIN。 它不是缓存,不能通过 NXDOMAIN 查询洪流清空。

指导: 请记住,在发生 DDoS 攻击时,DNS 可以成为您的朋友;当 DDoS 攻击发生时,可通过 Anycast 您的全球数据中心来复制内容,从而分散攻击。

指导: 考虑 DNS 服务的放置。 通常,DNS 服务作为一组独立的设备存在于第一个安全边界之外。 这样做是为了使 DNS 独立于它所服务的应用。

一些拥有多个数据中心的大型企业使用 BIG-IP DNS 与 DNS Express 以及 BIG-IP AFM 防火墙模块的组合在主安全边界之外提供 DNS 服务。 这种方法的主要好处是,即使网络防御层由于 DDoS 而离线,DNS 服务仍然可用。

相关资料:

结论

Krebs、OVH 和 Dyn 攻击标志着 DDoS 的新阶段。 同时,它们也标志着物联网时代的到来。

正如您所见,F5 在研究、打击和撰写 DDoS 方面拥有丰富的经验,我们希望与客户合作,保证他们的应用可用。 这需要我们所有各方保持警惕——从 F5 到合作伙伴再到客户。

如果您是客户,或者即使您不是客户,并且您受到了攻击,请记住,只需拨打一个电话即可获得F5 Silverline DDoS 防护: 866-329-4253。

至于物联网威胁,黑客一直在互相共享(在 Mirai 攻击 Krebs 和 OVH 之后,他们共享了 Mirai,并且它还被用于 Dyn 攻击)。 我们信息安全社区需要借鉴他们的做法,团结起来解决这个全球物联网问题。 我们别无选择,只能这么做。 了解问题、解决问题并因此而进步是人类的天性。

毫无疑问,未来几年会出现一些小问题,因为攻击规模会不断扩大,清理服务的带宽也会不断增加以适应这些大规模攻击,而物联网设备制造商也会想办法解决其设备的不安全性问题。 就像之前的所有其他重大问题一样,组织和消费者必须习惯这种不断演变的威胁。