美國宣布進入緊急狀態！網絡攻擊，別只看這冰山一角

近日，美國最大燃油管道運營商科洛尼爾（Colonial Pipeline）因受勒索軟件攻擊，被迫臨時關閉其美國東部沿海各州供油的關鍵燃油網絡。

公司表明，為遏制威脅，已主動切斷部分網絡連接，暫停所有管道運營。為解除對燃料運輸的各種限制，保障石油產品的公路運輸，美國政府宣布進入緊急狀態。多方消息證實，此次勒索軟件名為DarkSide，攻擊者劫持了該公司近100GB的數據以索取贖金。

網絡攻擊屢見不鮮

5月10日，俄羅斯衛星中文網報道稱，CNN援引網絡安全領域前高官的話報道，認為對科洛尼爾管道運輸公司進行網絡攻擊的黑客可能與俄羅斯有關。

該消息人士表示，此次網絡攻擊的背后是來自俄羅斯的黑客團伙DarkSide，這些黑客通常攻擊非俄語國家，而他們的手段是對目標系統植入惡意軟件，以索要贖金。

這種惡意軟件也被稱為“勒索病毒”。

勒索病毒文件一旦進入本地，就會自動運行，同時刪除勒索軟件樣本，以躲避查殺和分析。這種病毒利用各種加密算法對文件進行加密，被感染者一般無法解密，必須拿到解密的私鑰才有可能破解。直至受害者支付贖金，黑客才可能將其解鎖。

《紐約時報》表示，這種網絡犯罪行為好比“對數據的綁架”。

其實，近年來，利用勒索軟件進行網絡攻擊的事件屢見不鮮。

據報道，2016年勒索軟件攻擊開始爆發，當時至少影響五家美國和加拿大醫院，這促使專家再次呼吁使用自動備份來緩解這種攻擊的影響。

例如2016年2月，美國舊金山好萊塢長老會醫療中心遭受勒索軟件攻擊后，該醫院支付近17000美元贖金。

2018年1月，美國印第安納州格林菲爾德的漢考克健康（Hancock Health）遭遇了勒索軟件攻擊。

據報道，這讓醫院失去了部分計算機系統的控制權，當時黑客要求以比特幣作為贖金支付。

從2018年初到9月中旬，勒索病毒總計對超過200萬臺終端發起過攻擊，攻擊次數高達1700萬余次，且整體呈上升趨勢。

截至當地時間2021年4月27日，美國華盛頓警局內部系統遭黑客勒索，美國已有26個政府機構遭勒索病毒攻擊。

中國的網絡安全防范如何？

相比之下，中國的網絡安全防范相對完善，但威脅依然不少。

一方面是國內網絡在與全球網絡連接前，還需通過另一張“綠網”的檢核；

另一方面，國內對于企業有嚴格的監管要求，若觸犯相關法規，政府將嚴懲不貸。

但網絡攻擊沒有終點，一山還有一山高。

業內知名安全專家曾向雷鋒網AI掘金志介紹道，網絡攻擊從弱到強可分為五個等級。

第一級是因內部人員管理不當，引發的安全問題；

第二級是早期常見的黑客攻擊，以單兵作戰的形式，通過潛伏、滲透等手段達到竊取密碼的目的；

第三級以DDoS攻擊為主，是有組織、成體系的攻擊，多是由商業競爭對手發起；

第四級是黑產，通過挖礦、勒索甚至資本聯動等方式盈利。資金流向分散，存證取證極為困難；

第五級則是網絡軍隊。

目前來看，美國此次事件則屬于四級甚至是第五級的網絡攻擊。

而近年來，隨著數字化轉型、聯網設備數量增加以及處理器算力提升，位于第三級的DDoS攻擊愈趨復雜，攻擊目標大多直指企業并造成重大財務損失。

以全球視角來看，其最大市場是北美和亞太地區。

據統計，2020年第三季度，中國遭遇的DDoS攻擊為全球之首，占攻擊總量的72.83%。

時至今日，國內利用僵尸網絡的DDoS攻擊仍大行其道。

近日，一個基于僵尸網絡“Pareto”的廣告欺詐活動被發現并搗毀。

此次攻擊活動中，網絡犯罪分子利用惡意軟件成功感染了100多萬臺Android移動設備。

據研究人員稱，該僵尸網絡利用數十個移動應用程序，模擬了超6000個CTV應用程序，每天提供至少6.5億條廣告訪問請求。

攻擊者與被感染后受遠程控制的“僵尸”計算機之間，實現了可一對多操控的網絡,就是僵尸網絡。

就隱蔽性而言，僵尸主機在未執行特點指令時，與服務器之間不會進行通訊。

這樣一個可隱身潛伏在目標陣營里的工具，很難不受到攻擊者青睞。

使用僵尸網絡最常發動的攻擊，即分布式拒絕服務攻擊（DDoS）。

DDoS又稱洪水攻擊，攻擊者利用一臺臺僵尸電腦，向受害者系統發送如洪水般迅猛的合法或偽造的請求，致使其帶寬飽和或資源耗盡，以達到服務暫時中斷、網絡及系統癱瘓的目的。

安全專家表示，DDoS 是攻擊中的核武器。

攻擊者不僅在攻擊媒介上不斷做出新的嘗試，在攻擊規模、頻率和目標上也不斷進行著調整。

據檢測，今年一季度的一大DDoS勒索攻擊，最近一次攻擊的峰值達800Gbps。

此次攻擊目標不是“重災區”內的游戲公司，而是一家歐洲賭博公司。

各行各業，泛濫成災

在疫情背景下，各行業業務紛紛轉至線上開展。

這也招致了大量有勒索動機的攻擊者，打起大型企業和機構的算盤。

自2020年中下旬起，針對企業組織的RDDoS攻擊顯著增加，受害企業若沒有備份數據，只能以支付勒索金額暫停攻擊。

即使有備份數據，也難以避免因攻擊造成的業務系統停擺。

據調查，有91%的組織由于DDoS攻擊而遭遇業務停擺，平均每次停擺帶來的損失高達30萬美元。

而騰訊安全發布白皮書指出，2020年的DDoS攻擊次數創歷史新高。

從行業分布上看，金融、政務、互聯網、零售等領域都成為了DDoS攻擊的戰場，但游戲行業仍為重災區，在整體DDoS攻擊中占比超7成。

除了對游戲企業進行勒索，惡意游戲玩家作弊也是攻擊行為的一大動機。

自去年二季度起，國外一外掛團伙開發了一款“炸房掛”，調用第三方攻擊站點發起DDoS攻擊，并以數十美元的價格，將外掛批量售給惡意玩家，致使多地域游戲玩家掉線、游戲服務器宕機等后果。

對于游戲企業而言，除了直接的收益損失，還可能流失一大批無法接受任何延遲的玩家客戶。

同理，在金融行業，用戶可能無法完成線上交易，對平臺失去信任；

在互聯網行業，用戶可能因訪問速度過慢，甚至無法訪問頁面等體驗，對業務失去信任；

在零售行業，用戶可能因其新品發布活動受阻，對產品失去信任……

去年八月，就發生了兩起影響極大的攻擊事件。

被連續攻擊5日的新西蘭證交所多次被迫中斷交易；白俄國安委和內務部網站因遭攻擊影響了白俄總統選舉。

十月，Google公開宣布，2017年曾遭受峰值流量達2.54Tb的DDoS攻擊，表示“希望提高人們對國家黑客組織濫用 DDoS 攻擊趨勢的認知”。

DDoS攻擊還將攻往哪些領域，難以預判。

針對全球DDoS攻擊現狀，華為認為，其攻擊強度依然呈增長態勢，攻擊手法將更加復雜。

「洪水」無情，「防洪」有眼

隨著攻擊演變不斷，各企從識別、清洗和黑洞策略三個層面著手，數管齊下。

首先是負載均衡，識別檢測。

CDN作為網絡堵塞的有效緩解方法之一，博得各企業關注。

以其擁有的大量節點，CDN可代替源服務器為訪問者提供就近服務。

這一特性，實現了源服務器減負，用戶訪問快速響應，企業受DDoS攻擊的幾率也在一定程度上降低。

但同時，各CDN節點也成為了訪問者的把關人。

為進行自動識別調度，阿里云、華為云等企業都推出了CDN聯動DDoS高防方案。

高防CDN的原理是利用 CNAME記錄，將攻擊流量引至高防節點。

而高防節點IP是對源站點的業務轉發，即使追蹤業務交互也無法得知真正的用戶源站點，從而保障服務器安全。

其次是清洗閾值與黑洞閾值。

正如人的免疫力再好，也難免會生病；防護機制再完善，也難保就此萬無一失。

就算沒有生病，也可以買保險。

以正常流量基線設置閾值，據自身防御能力設置黑洞策略，借“同歸于盡”換最后的安全。

不同于固定閾值，阿里云基于其大數據能力，結合AI智能分析和算法學習用戶的業務流量基線，以此識別異常攻擊。

檢測到DDoS攻擊且請求流量達到清洗閾值時，DDoS防護就會觸發清洗。

華為云也有這樣的“底線”。

當流量攻擊超出其提供的基礎攻擊防御范圍，華為云將采取黑洞策略封堵IP，屏蔽該僵尸電腦的外網訪問。

物聯未來，變成僵尸電腦的風險有多大？

小到智能家居，大到智慧城市，在線IoT設備在各領域已大面積普及，包括配電、通信網絡等關鍵設施設備。

物聯網裝置雖逐步完善，但對于安全運維，仍受限于設備的各種形態和功能。

從終端、無線接入、網關，再到云平臺，許多設備使用的操作系統都不是統一的。

運維難度因此大大提升。

除此之外，“攻擊工具”的獲取門檻之低，使得DDoS攻擊成為一種“傻瓜式”網絡攻擊，物聯網下的各企極易受到威脅。

即便是沒有充足經驗的“黑客”，也可借助Mirai等公開惡意軟件，植入僵尸病毒發起攻擊。

據分析，Mirai和Gafgyt仍是目前主流的兩大僵尸網絡家族。

而Mirai的主要感染對象，就是路由器、網絡攝像頭、DVR設備等Linux物聯網設備。

物聯網設備的資源縱深價值，一方面為企業和個體帶來便利，另一方面也招致攻擊者的覬覦。

美國東海岸DNS服務商Dyn，曾因該僵尸網絡，影響了千萬量級的IP數量，其中大部分來自物聯網和智能設備。

總結

目前，對于DDoS攻擊其門檻低、易操作、高效率的特點，各行各業仍膽顫心驚。

利用負載均衡、閾值設置等方法，建立DDoS防護和相關應變團隊，定期進行安全監控演練，并檢視自身營運風險，是企業可參考的幾個方面。

有專家建議，在物聯網環境下，切割關鍵性業務、限制聯機來源或隱蔽聯機入口等方法，也有助于降低遭受攻擊的風險。雷鋒網雷鋒網雷鋒網

雷峰網原創文章，未經授權禁止轉載。詳情見轉載須知。