DDoS***發展進化史

二十年來，拒絕服務***一直是犯罪工具箱的一部分，而且只會變得越來越普遍和強大。分佈式拒絕服務(DDoS)***是指***者通過***的方式試圖使服務無法交付。這可以通過阻止對幾乎任何設施的訪問來實現：服務器、設備、服務、網絡、應用程序，甚至應用程序中的特定事務。
在DoS***中，它是一個發送惡意數據或請求的系統；DDoS***來自多個系統。通常，這些***通過淹沒具有數據請求的系統來工作。這可能是通過向web服務器發送大量請求來***頁面，導致頁面在請求下崩潰;也可能是向數據庫發送大量查詢，其結果是使得可用的internet帶寬、CPU和RAM容量變得不堪重負，影響可能是小到服務中斷，大到整個網站、應用程序甚至整個業務離線。
DDoS***看起來像許多可以導致可用性問題的非惡意的東西——比如服務器或系統宕機，來自合法用戶的合法請求太多，甚至是電纜被切斷。它通常需要流量分析來確定到底發生了什麼。
DDoS***時間表
這是一場永久改變如何看待拒絕服務***的***事件：2000年初，加拿大高中生Michael Calce對雅虎發動***，通過分佈式拒絕服務(DDoS)***，設法關閉了當時領先的web引擎之一。在接下來的一週中，Calce瞄準併成功破壞了亞馬遜，CNN和eBay等其他網站。當然，這不是第一次DDoS***，但這一系列高度公開和成功的***，將拒絕服務***從新奇和小麻煩轉變爲CISO和CIO心目中永遠的強大業務破壞者。
從那時起，DDoS***已經成爲一種非常常見的威脅，因爲它們通常被用來實施報復，進行敲詐勒索，作爲一種在線行動主義的手段，甚至用於發動網絡戰。多年來，DDoS***也變得更具威脅性。在20世紀90年代中期，一次***可能包括每秒發送150個請求——這足以摧毀許多系統。現在它們可以超過1000 Gbps，龐大的僵屍網絡規模在很大程度上也推動了這一點。
2016年10月，互聯網基礎設施服務提供商Dyn DNS(現在的Oracle DYN)被數以千萬計的IP地址的DNS查詢浪潮所困擾。通過Mirai僵屍網絡執行的這次***據報道感染了超過10萬臺物聯網設備，包括IP攝像頭和打印機。在其巔峯時期，Mirai機器人數量達到了40萬臺。包括亞馬遜，Netflix，Reddit，Spotify，Tumblr和Twitter在內的服務都收到干擾。
2018年初，一種新的DDoS技術開始出現。2月28日，版本控制託管服務GitHub遭到了大規模的拒絕服務***，每秒1.35 TB的流量***了這個熱門網站。雖然GitHub只是斷斷續續地下線，並在不到20分鐘的時間內成功地擊退了***，但***的規模令人擔憂，因爲它超過了Dyn***，後者的峯值爲每秒1.2 TB。
對發起***的技術的分析顯示，在某些方面，它比其他***更簡單。雖然Dyn***是Mirai僵屍網絡的產物，它需要惡意軟件來感染數以千計的物聯網設備，但GitHub***利用了運行Memcached內存緩存系統的服務器，該系統可以在響應簡單請求時返回非常大的數據塊。
Memcached僅用於在內部網絡上運行的受保護服務器上，通常幾乎沒有安全機制來防止惡意***者欺騙IP地址，並向毫無戒心的受害者發送大量數據。不幸的是，成千上萬的Memcached服務器正在開放的互聯網上，並且它們在DDoS***中的使用率也出現了激增。說服務器被“劫持”是不公平的，因爲他們會在不問任何問題的情況下欣然發送數據包。
在GitHub***幾天後，另一場基於memecached的DDoS***以每秒1.7 TB的數據***了一家美國服務提供商。
Mirai僵屍網絡的重要性在於，與大多數DDoS***不同，它利用了易受***的物聯網設備，而不是PC和服務器。根據BI Intelligence的說法，到2020年人們認爲將會有340億互聯網連接設備，而且大多數(240億)都是物聯網設備，這一點是特別可怕的。
不幸的是，Mirai不會是最後一個使用IOT的僵屍網絡。一項針對Akamai、Cloudflare、Flashpoint、谷歌、riskq和Cymru安全團隊的調查，發現了一個規模類似的僵屍網絡，名爲WireX，由100個國家的10萬部受到***的Android設備組成。針對內容提供商和內容交付網絡的一系列大型DDoS***促使調查展開。
DDoS***的今天
儘管DDoS***的數量一直在下降，但它們仍然是一個重大威脅。卡巴斯基實驗室(Kaspersky Labs)報告稱，由於“異常活躍的9月”，除了第三季度外，2018年DDoS***的數量比前一年每季度都有所下降。總的來說，DDoS活動在2018年下降了13%。
卡巴斯基表示，最近發現的像Torii和DemonBot這樣能夠發起DDoS***的僵屍網絡令人擔憂。Torii能夠接管一系列物聯網設備，被認爲比Mirai更持久、更危險。DemonBot劫持Hadoop集羣，這讓它獲得了更多的計算能力。
另一個令人擔憂的趨勢是，像0x-booter這樣新的DDoS啓動平臺的可用性。DDoS***利用了大約16000個感染了Bushido惡意軟件(Mirai變種)的物聯網設備。
卡巴斯基報告確實找到了減少DDoS***量及其造成的損害的理由。它引用了全球法律執行機構在關閉DDoS運營商方面的有效性，這可能是***減少的一個原因。
DDoS***工具
通常，DDoS***者依賴於僵屍網絡——由受惡意軟件感染的系統集中控制的網絡集合。這些被感染的端點通常是計算機和服務器，但越來越多的是物聯網和移動設備。***者將通過識別他們發起網絡釣魚***、惡意***和其他大規模感染技術感染的脆弱系統來獲取這些系統。越來越多的***者還會從構建僵屍網絡的人那裏租用這些網絡。
三種類型的DDoS***
DDoS***有三種主要類型——第一種是使用大量虛假流量來攔截網站或服務器等資源的***，包括ICMP、UDP和欺騙數據包氾濫***。另一類DDoS***是使用數據包來***網絡基礎設施和基礎設施管理工具。這些協議***包括SYN flood和Smurf DDoS等。最後，一些DDoS***以組織的應用層爲目標，通過嚮應用程序大量發送惡意編寫的請求來執行。三種類型的目標是一樣的:讓在線資源變得遲鈍或完全沒有反應。
DDoS***是如何演變的
正如上面提到的，通過租用的僵屍網絡進行這些***變得越來越普遍，預計這種趨勢將繼續下去。
另一個趨勢是在***中使用多個***媒介，也稱爲高級持久性拒絕服務APDoS。例如，APDoS***可能涉及應用層，例如對數據庫和應用程序的***以及直接在服務器上的***。“這不僅僅是’洪水氾濫’”二元防禦合夥人成功執行董事Chuck Mackey說道。
此外，Mackey解釋說，***者通常不僅直接針對受害者，而且還針對他們所依賴的組織，如ISP和雲提供商。“這些是廣泛的，影響大的***，協調良好，”。
這也正在改變DDoS***對組織的影響並擴大其風險。Foley&Lardner律師事務所的網絡安全律師Mike Overly說：“企業不再僅僅關注自身的DDoS***，而是***那些企業所依賴的大量業務合作伙伴和供應商。” “安全領域最古老的諺語之一是：企業的安全程度取決於它最薄弱的環節。在今天的環境中(最近的違規行爲證明)，最薄弱的環節可能是並且經常是第三方之一，“他說。
當然，隨着犯罪分子完善他們的DDoS***，技術和戰術將不會停滯不前。正如JASK安全研究主管Rod Soto解釋的那樣，新的物聯網設備的增加，機器學習和人工智能的興起都將在改變這些***中發揮作用。“***者最終也會將這些技術集成到***中，使得防禦者更難以趕上DDoS***，特別是那些無法通過簡單的ACL或簽名阻止的***。DDoS防禦技術也必須朝着這個方向發展，“。