僵尸网络的DDOS攻击技术分析概况

作者：企业邮箱发布于：2013-08-02 点击量： 90

概要

在过去，DDOS攻击使用大量伪造的UDP, TCP SYN, 或者ICMP流量来意图淹没目标网络。各种供应商提供了不同的解决方案来对付他们，包括各种边界设备和服务提供商提供的防御服务，如，ISPs防火墙，云服务，CDN清洗平台。然而，当今的攻击平台已经进化到包含应用层的DDOS攻击，目标是Web系统和DNS系统。据预测，基于应用层的DDOS攻击每年以三倍的速度增长，Gartner预测DDOS攻击会占2013年所有的应用层攻击中的25%左右。
因为各企业和组织对应用层的DDOS攻击准备不足使这种攻击成为了趋势。大部分用户都会从他们已经部署的网络层防火墙寻求解决方案，殊不知网络层防火墙只有很有限的对应用层的识别功能。而且，从攻击者的角度来看，应用层的DDOS攻击需要更少的资源和可以更隐秘地进行，他们能使用网络基础设施仍然能有回应的情况下，秘密地使应用服务不可访问，达到拒绝服务的效果。
应用层流量的可视性和可控性是网络分层防御策略的关键元素，可有效地防御多元化的DDOS攻击。网络层的解决方案能防御网络层的各种攻击但是对应用层的攻击却是透明的，他们对于应用层的协议没有进行深度分析，并且没有对应用层会话进行终止和主动地清除危害。梭子鱼web应用防火墙可以提供对上述应用层攻击的防护解决方案，整合了实时状态分析技术和历史数据智能分析技术来防御应用层的DDOS攻击。

僵尸网络和应用层DDOS攻击

僵尸网络是感染了恶意程序的网络计算机被C&C服务器控制的一个庞大网络。在以前，大部分被感染的是网络计算机，然而现在更多的移动设备和基于云的设备也成为肉鸡。当计算机感染上恶意程序，这台计算机就成为僵尸网络的一部分。复杂的僵尸网络程序，如Mebroot，可以运行在操作系统之前，避免防病毒软件的检测，从而可以随心所欲地控制成为肉鸡的计算机。
僵尸网络与C&C服务器之间的通讯是在隐蔽的信道中进行的，并且经过加密，采用先进的逃逸技术来掩盖踪迹，可以轻易地穿过防火墙而不被察觉。控制僵尸网络的黑客，通过C&C僵尸网络控制服务器来发布攻击指令，如发送垃圾邮件，DDOS攻击，遍历银行个人用户密码信息或者信用卡号等信息。
目前，租用或者创建僵尸网络已经成为繁荣的地下市场。以下的DIY Zeus僵尸网络统计图显示了被感染计算机的地理位置分布情况：