五次DDOS攻击 看懂2015年的“网络战场”

搜索一下网络安全的相关新闻，你会发现发迹于1999年的DDOS攻击在今天依旧风生水起、猛料不断，作为网络空间中最为简单粗暴、也最声名狼藉的攻击方式，分布式拒绝服务攻击(DDOS攻击) 常常与大规模挂马、业务中断、敲诈勒索挂钩，也正是因为如此，DDOS攻击仍然是全球大型服务提供商谈虎色变的话题。

为了更好地了解今年的DDOS攻击趋势，我们采访了360安全专家李丰沛，他所在的研究部门拥有着业界领先的DDOS攻击可视化能力，虽然受制于很多原因，诸多案例尚不能公布，不过从对方提供的材料与评述里，我们依然可以通过几个案例勾勒出今年DDOS攻击的趋势。

1、跨年之际，一场不精准的攻击事件

2014年年末，当全世界都在喜迎新年时，DNS服务提供商 1&1 和 dnsmadeeasy.com 受到猛烈DDOS攻击，这无疑给2015年开了个坏头。受到该攻击的波及，国内用户普遍感觉上网速度变慢。

在这次攻击事件中，攻击者攻击的域名是 "随机字符串.getfastinstagram

followers.net|com" 和 "随机字符串.arkhamnetwork.com"。使用随机字符串.域名的攻击机制，目标是让DNS服务器的缓存耗尽，进而无法对外提供流畅的服务。

李丰沛：通常我们都认为攻击者的能力是非常高的，事实上在DDOS战场未必总是这样。以上述事件为例，两个服务商虽然在国外很有名，但在国内使用它们解析的域名并不是太多，按说我国用户不应该受到很多影响。但实际上，由于DNS递归查询的链条机制，攻击者并非每次都在国外的权威解析服务器查询，而是选择在就近DNS服务器查询，我国用户就受到了连带伤害。在我们看到的案例中，由于攻击者水平良莠不齐，“误伤”时有发生。

2、借力用力，打瘫“软件代码之家” GitHub

谈到GitHub也许你并不了解，但是在技术圈里它却是全球知名。它提供了的软件代码托管服务，也程序员们交流的重要社区。

今年3月GitHub遭遇大流量DDOS攻击，攻击者通过“借力”百度广告联盟的方式发起了攻击，挟持后者的JS脚本并将其替换成恶意代码，最后利用访问中国网站的海外用户对GitHub发动大规模分布式拒绝服务攻击。

由于Github的特殊地位，该事件很快在安全技术圈发酵，百度也很快在全站启用https代替了http，这个多出来的s让攻击者的挟持难度大大增加，很多知名网站也做了类似的调整，未雨绸缪。

李丰沛：这些被挟持的脚本原本是百度用来做广告统计的，被劫持后，会在网民的浏览器上持续刷新github 的相关页面。由于百度统计的脚本覆盖面积大，即使只有部分地区用户访问，给github带来的负载也是其难以承受的。因此，对百度统计脚本的挟持事实上造成了对github的DDoS攻击。由于事件各相关方的地位特殊，技术圈内对此事的讨论持久而细致。

3、那段时间，我们哪儿也去不了

5月份发生了多次互联网厂商服务中断事件，尤其是针对提供旅行、酒店服务的厂商。但从奇虎360对流量的监测中，并非所有的事件都与DDOS相关，以携程为例，其服务中断就并不像外界最初猜测的那样是DDOS攻击造成的。

另一方面，相关的旅游服务商艺龙、去哪儿、途牛则是确确实实的遭到了攻击，且手法极其类似，可以大致推测这是这是一起针对行业的攻击事件。

李丰沛：虽然不能直接下最终定论，但是艺龙、去哪儿、途牛先后被DDoS，发起时间相邻、攻击手法类似，让人不由得担心。这次事件证明黑产组织有攻击整个行业能力，那么黑产真的会攻击某个行业么?什么时候?

4、高危警报，DNS根服务器异常流量事件

在2015.11.30～2015.12.01期间，DNS根服务器收到的流量高的异乎寻常。根服务器维护者特意为这个事件撰写了说明，虽然文档里并未将其定义为一次攻击事件，反而特别强调了访问量大、来源均匀、请求的域名单一，这些特点与常见的DNS flood DDoS并不一致。

李丰沛：DNS根服务器在DNS系统中的重要性不言而喻，任何针对根服务器的攻击都需要相关安全人员的高度重视与谨慎应对。

5、攻击者的新玩具，基于 PortMapper/UDP 111 的攻击出现

UDP反射放大攻击，是DDoS攻击的一种常见手段。这种攻击是基于特定UDP服务、端口的，是否能够大规模使用，要取决于反射源、反射放大系数是否够大。

目前比较常见被利用的服务主要是 NTP/DNS/SSDP，分别对应UDP端口 123/53/1900，我们在大量的攻击事件中也看到上述三种攻击手段的身影。此外还有较老的服务Chargen，对应端口UDP 19。

然而在今年，基于 PortMapper/UDP 111 的攻击开始出现，并不断扩大规模。2015年4月至6月期间，UDP 111 的流量多次出现了短时、量大的脉冲，7月份开始出现基于PortMapper/UDP111的DDoS事件，8月份国外电信运营商level3发布blog，向工业界发出早期警告，之后PortMapper/UDP111的流量逐月攀升，到12月份已经接近Chargen/UDP19的流量，成为攻击者的“新玩具”。

李丰沛：攻击者在实战场地上向我们演示了新的攻击武器，对于网络安全从业者而言，这毫无疑问是个坏消息。在可预见的未来，还会有更多的新型DDOS攻击手段被开发出来，2016年这个领域的攻防还会继续动态对抗下去。

编辑：CIT03