吳明宜資安業者 Qrator Labs 本周揭露一起第七層分散式阻斷服務 (DDoS) 殭屍網路攻擊,駭入超過 576 萬台裝置使之成為攻擊武器。
Qrator Labs 發現,此一殭屍網路今年三月以來已發動三波大型攻擊,顯示 DDoS 攻擊的規模和量同步成長,考驗現有 DDoS 防護策略。
這個殭屍網路今年三月底現身,當時就糾集近 133 個 IP 流量以攻擊一個投注網站應用程式,受害的網路裝置來自巴西、阿根廷、墨西哥、俄羅斯和伊拉克。
2 個月後,這個殭屍網路再度肆虐,攫獲 460 萬台裝置,對開原碼入口網站或面向民眾的政府服務發動海嘯般的惡意請求流量。受駭裝置位於巴西、美國、越南、印度和阿根廷。第二次攻擊流量手法更高明,顯示有模組化 C&C 目錄可微調流量放大幅度。
而在本月初 Qrator Labs 又偵測到同一殭屍網路的攻擊,這次也是鎖定政府服務,但包含 2 波攻擊。第一波的攻擊流量來自 280 多萬個 IP,每秒發送數百萬次請求,耗盡應用程式端點。約 1 小時後,又有 300 萬台裝置加入這個殭屍網路,總數來到 576 萬台。這次依然以巴西為來源最大宗,141 萬台,其次為越南 (661 000) 、美國 (647 000) 、印度 (408 000) 和阿根廷 (162 000) 。越南和印度成了受駭裝置成長最快的 2 個地區。
Qrator Labs 技術長 Andrey Leskin 指出,這次事件是提醒企業更新安全防護能力的警鐘。 DDoS 殭屍網路可能發出每秒數千萬次請求,在幾分鐘內癱瘓伺服器。 L7 DDoS 攻擊使用應用層 HTTP flood 手法繞過網路防護,過去仰賴雲端 WAF 服務或第三方流量清服務 (scrubbing center) 的企業或組織必須檢驗其 DDoS 防禦工事能在短時間內擴大吸收海嘯般的流量。
此外,多層防禦應具備流量異常偵測、行為指紋和地區封鎖 (geo-blocking) 能力。企業平日也需實行事件演練,並和外部專家合作,改善閾值為基礎的流量清洗規則。
來源: GBHacker