2016年1月2日,BBC遭受了针对其所有应用的网络攻击。此次攻击导致了至少3个小时的应用不可用。此次DDoS攻击超过600Gbps--这是有史以来规模最大的一次DDoS攻击。NewWorldHackers黑客组织声称对此次攻击负责,该组织中的成员还发表了多篇文章,详述此次事件。其中一个主要观点就是,该黑客组织成功避开了亚马逊的安全措施,利用管理者权限发起了攻击。
亚马逊拥有巨大的供其用户使用的基础架构资源,其存在的资源被滥用风险(如发起大型DDoS攻击)一直以来都在被大家讨论。
该组织是如何利用亚马逊的基础架构生成高流量攻击的?
亚马逊的AWS安全白皮书中指出,亚马逊已采用了多种技术来防止此类情况的发生。我们看一下几个重要的技术及其对生成大型攻击意味着什么:
防欺诈:亚马逊弹性计算云(EC2)实例不能发送虚假的网络流量。由AWS控制的托管防火墙基础架构不允许实例发送源IP或MAC地址不属于自己地址范围的的数据流。因此可以防御几乎所有的大流量网络层攻击,如:欺诈洪水、反射和放大式洪水。
网络监控及防护措施:AWS采用了各种各样的自动化监控系统,可以提供很高的服务性能和可用性。AWS监控工具可以在入口和出口通信点处检测不寻常的或未经授权的活动。这些工具可以监控服务器和网络的使用情况、端口扫描活动、应用使用情况和未经授权的入侵尝试。这些工具还可以设置针对于不寻常活动的自定义性能指标阈值。因此,任何在网络中流动的不寻常流量都可以被检测出来,并引发相关节点的关闭。
DDoS防护措施:部署了专有的防护系统。尽管关于系统的详细描述没有披露出来,但仍有一些用于保护这些系统的监控和自动化防护措施。
滥用报告:亚马逊的客户可以向亚马逊报告账户的滥用情况。亚马逊调查团队会研究每一份报告,并采取相应的行动。因此,一般可以认为,当一个攻击被报告后,亚马逊应该会针对攻击采取及时的行动。
其它措施:部署了访问控制、防扫描、加密和隔离措施,以防范此类情况的出现。
攻击确实是由亚马逊发起的可能性有多大呢?虽然我们已经意识到,发起大流量攻击是一个很具有挑战性的任务,但我们不妨换个方法,如果攻击容量不是那么高会怎样呢?如果攻击更复杂、更巧妙又会怎样呢?
开始动态IP攻击--带来同样的毁灭性结果
动态IP攻击的目标是应用层。他们利用真实的IP地址完成与服务器之间的三次握手,也能够规避诸如JavaScript质询等缓解技术。通过恰当的方法分发这类攻击,攻击者能够成功做到让检测措施几乎无法区分攻击者和合法用户。
攻击者会采用各种各样的技术来规避常见的防御机制。无头浏览器的使用、规避技术、加密和特定的模仿用户行为都是这些技术的范例。当这样的攻击分布在海量源中时,每个源的速率就会变得很低,这使得应用速率限制机制也无法将其检测出来。由于在不影响正常操作的前提下公有云不易被添加到访问列表中,因此,如果这样的攻击源自于主要的公有云基础架构,就会给缓解系统带来更多挑战。
我们再重新审视一下针对上述安全措施的动态IP攻击:
防欺诈:应用攻击需要完整的会话,因此不会出现相关的IP欺诈,而且会创建真正的会话。然而,利用亚马逊提供的地址范围,IP可以频繁改变。
网络监控及防护措施:复杂攻击会在每个源节点采用低带宽,但会进行高频率分发来隐藏攻击。这样的话,每个信息源看起来都是合法的。
DDoS防护措施:低流量攻击可以躲过任何监控措施的检测,只可能在最终目的地位置被发现。事实上,即使在最终目的地位置也还是难于进行朋友和敌人的区分。
滥用报告:为了报告滥用情况,首先需要确认的是被滥用的信息源,并将这些上报给亚马逊。当信息源表现的像普通用户一样时,这几乎是一个不可能完成的任务。
其它措施:当仅使用在通常执行策略内的可接受行为机制时,仍然可以生成带有上述属性但仍在合理使用标准内的攻击。
总而言之,考虑到现有的安全措施,利用亚马逊或其它任何公有云服务生成攻击并不容易实现,但同时我们也知道,多数安全措施都是为了防御传统的、与网络相关的DDoS攻击类型。我们相信,越来越多的攻击者正在快速掌握高复杂度攻击方式,这种高复杂度攻击变得越来越难于探测和控制,这就意味着毁灭性结果的风险越来越高。
本文转自d1net(转载)
