僵尸网络的功能正在增强。充分组织和全球化的僵尸网络将破坏互联网的各个部分,而不仅仅是单个站点,这就是它们所具有的力量。尽管具有强大的功能,但最大的DDoS攻击并没有使用传统的僵尸网络结构。
让我们看看僵尸网络的能力如何扩展将比上一个更大。
如何做僵尸网络增长了吗?
SearchSecurity僵尸网络定义指出:“僵尸网络是与互联网连接的设备的集合,其中可能包括PC,服务器,移动设备和受普通计算机感染和控制的物联网设备。恶意软件类型。
僵尸网络与其他恶意软件类型的不同之处在于,僵尸网络是协作感染机器的集合。僵尸网络使用恶意软件将网络扩展到其他系统,主要是使用带有受感染附件的垃圾邮件。它们还具有一些主要功能,例如发送垃圾邮件,数据收集,点击欺诈和DDoS攻击。
僵尸网络的快速扩展攻击力
直到最近,僵尸网络仍具有很少有安全研究人员熟悉的常见结构。但是在2016年末,情况发生了变化。一系列巨大的DDoS攻击使研究人员坐下来注意。
随着时间的流逝,这些攻击的力量不断增强。但是在此之前,有史以来最大的DDoS是在香港占领中心的抗议活动中对民主地区的500Gbps攻击。
这种力量持续增长的部分原因是完全不同的DDoS技术不需要成千上万受恶意软件感染的设备。
Memcached DDoS
新的DDoS技术利用了 memcached 服务。在这六种攻击中,GitHub和ATLAS攻击使用内存缓存将网络流量扩大到新的高度。但是,什么是memcached?
好吧,memcached是在许多Linux系统上运行的合法服务。它缓存数据并减轻对磁盘和数据库等数据存储的压力,从而减少了必须读取数据源的次数。通常在服务器环境中找到它,而不是Linux桌面。此外,运行memcached的系统不应直接建立互联网连接(您会看到原因)。
Memcached使用用户数据协议(UDP)进行通信,从而无需身份验证即可进行通信。反过来,这意味着基本上任何可以使用内存缓存服务访问联网计算机的人都可以直接与其通信,并可以从中请求数据(这就是为什么它不应该连接至互联网!)。
此功能的不幸缺点是,攻击者可以欺骗发出请求的计算机的Internet地址。因此,攻击者将站点或服务的地址欺骗到DDoS,并将请求发送到尽可能多的Memcached服务器。内存缓存服务器的组合响应成为DDoS,使站点不堪重负。
这种意外的功能本身已经很糟糕。但是memcached具有另一个独特的“功能"。Memcached可以将少量的网络流量大量放大到惊人的数量。某些使用UDP协议的命令所产生的响应要比原始请求大得多。
所得到的放大称为带宽放大因子,其攻击放大范围是原始请求的10,000到52,000倍。 (Akami认为Memcached攻击“可能会放大50万以上!")
然后,您会看到,常规僵尸网络DDoS和Memcached DDoS之间的主要区别在于它们的基础结构。 Memcached DDoS攻击不需要庞大的受感染系统网络,而是依靠不安全的Linux系统。
高价值目标
现在,强大的Memcached DDoS攻击的潜力是在野外,期望看到更多这种性质的攻击。但是已经发生的Memcached攻击(与GitHub攻击的规模不同)已经引发了与正常情况不同的事情。
安全公司Cybereason密切跟踪了Memcached攻击的发展。在分析过程中,他们发现了用作缓存勒索工具的内存缓存攻击。攻击者在Monero(一种加密货币)中嵌入了一个小的赎金票据,要求付款,然后将该文件放到内存缓存的服务器上。当DDoS启动时,攻击者会请求赎金记录文件,导致目标反复接收该记录。
保持安全性吗?
实际上,您无能为力阻止内存缓存攻击。实际上,直到完成,您才知道。或者,至少直到您最喜欢的服务和网站不可用为止。除非您有权访问运行memcached的Linux系统或数据库。然后,您应该真正检查一下网络安全性。
对于普通用户,重点实际上仍然是通过恶意软件传播的常规僵尸网络。这意味着
保持安全不是一件烦事,只需要保持警惕即可。
图片来源:BeeBright / Depositphotos