健康资讯 胡大V仅凭一张照片就攻击基层防役工作人员获取天量流量,自媒体人疯狂跟风谩骂,不明真相的,好事的跟着一起骂,真是寒了基层防役工作者的心。目的何在?光是为了流量换钱吗?
司马平邦著名时政、影视评论人至少以北京的情况,短期内,我看可能不会令张文宏、胡锡进、任泽平等这样的“激进放开派”们满意,我接触过一些公司的员工,很多大公司现在都是10%,甚至是5%到岗,员工能在家办公就在家办公,它们认为这样至少可以保存员工有生力量,不致于太耽误工作,否则一旦出现公司感染,或者员工在上下班途中被大量感染,企业会整体完蛋的。
俄罗斯国有银行遭受史上最大规模网络攻击
俄罗斯国有银行VTB银行(俄罗斯外贸银行)报告了其历史上最大规模的网络攻击。
官员们表示,俄罗斯外贸银行正在抵御分布式拒绝服务 (DDoS) 攻击,在这种攻击中,黑客试图用异常大量的数据流量淹没网络以使其瘫痪,VTB 表示,访问其移动应用程序和网站可能会受到阻碍。
俄罗斯政府实体和国有企业已成为因乌克兰事件被攻击的目标,克里姆林宫、俄罗斯国际航空公司(Aeroflot)和俄罗斯联邦储蓄银行(Sberbank)的网站都出现了中断或临时访问问题。
DDoS 威胁形势变得更糟
这些惊人的数据来自Prolexic最新的季度全球 DDoS 攻击报告。“很有可能,”报告指出,“这将被视为分布式拒绝服务 (DDoS) 攻击的里程碑式季度。攻击从未如此强大。” 事实上,增加的并不是攻击的总数(比上一季度的高点有所增加,但没有显着增加),而是攻击的强度发生了变化。
“这是一个经典的转变,”Prolexic 总裁 Stuart Scholly 说。“几乎每个人都关注带宽和每秒千兆位,但造成最大损害并提出最大挑战的是数据包速率。这些数据包速率高于除最昂贵的路由器和线卡之外的所有路由器和线卡的阈值,我们看到网络因此而崩溃。” 副作用是附带损害。“由于 DDoS 攻击者的目标是 ISP 和运营商路由器基础设施,每秒数据包的巨大洪流使它们不堪重负,因此当路由器出现故障时,您的站点可能会因附带损害而崩溃。更糟糕的是,您的服务提供商可能会将您的流量设置为黑洞或空路由以保存自己的网络,”Prolexic 警告说。
一件似乎很清楚的事情是,这种规模的攻击背后有相当多的资源,这使得它们看起来很可能不是“简单的”黑客活动抗议活动。对 Wordpress的最新攻击网站可能是指示性的。虽然攻击背后的目的尚不清楚,但攻击大量服务器而不是家用 PC 的尝试可能是为这种大规模 DDoS 攻击构建新的、更强大的僵尸网络的尝试。“这些攻击超出了普通脚本小子的范围,如收集主机、协调、时间表和选定攻击目标的细节所表明的那样。这些指标指出了意识形态以外的动机,而袭击的军事精确性暗示使用了由雇佣数字雇佣军组成的全球资深犯罪分子。” 它补充说,“下个季度,我们可以预期最大的攻击将继续来自这些受感染的 Web 服务器。”
未说明但明确暗示的是民族国家资源与犯罪雇佣军的合作——以及作为网络武器出现的高功率 DDoS 的潜力。“同样值得注意的是,本季度伊朗成为恶意流量来源的前 10 个国家之一。这很有趣,因为伊朗执行类似于古巴和朝鲜的严格浏览政策。” 同样,这意味着如果没有官方的批准或指示,就无法做到这一点。值得注意的是,Izz ad-Din al-Qassam Cyber Fighters 声称对美国银行的持续大规模攻击声称该组织通过哈马斯与伊朗有联系。
Prolexic 预计情况不会有所改善。“就在 9 月,Prolexic 发现 50 Gbps 是一种很容易实现的攻击特性。我们现在看到超过 10% 的攻击超过了 60 Gbps 的阈值。早在 2013 年第二季度,我们就已经缓解了超过 160 Gbps 的攻击。如果到本季度末我们看到攻击突破 200 Gbps 大关,PLXsert(Prolexic 安全工程和响应团队)不会感到惊讶。”
DDoS 威胁形势变得更糟
这些惊人的数据来自Prolexic最新的季度全球 DDoS 攻击报告。“很有可能,”报告指出,“这将被视为分布式拒绝服务 (DDoS) 攻击的里程碑式季度。攻击从未如此强大。” 事实上,增加的并不是攻击的总数(比上一季度的高点有所增加,但没有显着增加),而是攻击的强度发生了变化。
“这是一个经典的转变,”Prolexic 总裁 Stuart Scholly 说。“几乎每个人都关注带宽和每秒千兆位,但造成最大损害并提出最大挑战的是数据包速率。这些数据包速率高于除最昂贵的路由器和线卡之外的所有路由器和线卡的阈值,我们看到网络因此而崩溃。” 副作用是附带损害。“由于 DDoS 攻击者的目标是 ISP 和运营商路由器基础设施,每秒数据包的巨大洪流使它们不堪重负,因此当路由器出现故障时,您的站点可能会因附带损害而崩溃。更糟糕的是,您的服务提供商可能会将您的流量设置为黑洞或空路由以保存自己的网络,”Prolexic 警告说。
一件似乎很清楚的事情是,这种规模的攻击背后有相当多的资源,这使得它们看起来很可能不是“简单的”黑客活动抗议活动。对 Wordpress的最新攻击网站可能是指示性的。虽然攻击背后的目的尚不清楚,但攻击大量服务器而不是家用 PC 的尝试可能是为这种大规模 DDoS 攻击构建新的、更强大的僵尸网络的尝试。“这些攻击超出了普通脚本小子的范围,如收集主机、协调、时间表和选定攻击目标的细节所表明的那样。这些指标指出了意识形态以外的动机,而袭击的军事精确性暗示使用了由雇佣数字雇佣军组成的全球资深犯罪分子。” 它补充说,“下个季度,我们可以预期最大的攻击将继续来自这些受感染的 Web 服务器。”
未说明但明确暗示的是民族国家资源与犯罪雇佣军的合作——以及作为网络武器出现的高功率 DDoS 的潜力。“同样值得注意的是,本季度伊朗成为恶意流量来源的前 10 个国家之一。这很有趣,因为伊朗执行类似于古巴和朝鲜的严格浏览政策。” 同样,这意味着如果没有官方的批准或指示,就无法做到这一点。值得注意的是,Izz ad-Din al-Qassam Cyber Fighters 声称对美国银行的持续大规模攻击声称该组织通过哈马斯与伊朗有联系。
Prolexic 预计情况不会有所改善。“就在 9 月,Prolexic 发现 50 Gbps 是一种很容易实现的攻击特性。我们现在看到超过 10% 的攻击超过了 60 Gbps 的阈值。早在 2013 年第二季度,我们就已经缓解了超过 160 Gbps 的攻击。如果到本季度末我们看到攻击突破 200 Gbps 大关,PLXsert(Prolexic 安全工程和响应团队)不会感到惊讶。”
行为分析:如何在 DDoS 攻击下保护用户体验
想象以下场景。在 Covid-19 爆发后,当地政府网站成为向其公民传达政府信息的可靠中心枢纽。这些信息可能与在锁定期间预约接种疫苗的说明不同。一天晚上,在九点钟的新闻中,新闻主播称数千种疫苗刚刚上市。所有公民都应访问当地政府网站以获取更多信息。与此同时,一群 hacktivist DDoS 攻击者抗议政府处理这场健康危机的方式,他们决定对将关闭网站的服务器发起攻击。
下一代网络攻击者
当今的网络攻击者在不断寻求新方法来发起分布式拒绝服务 (DDoS) 攻击以危及服务可用性、破坏网络、服务器和网站的过程中变得越来越老练。虽然他们的动机各不相同,但他们的针对性是一致的。
速率限制不是最好的方法
在这样的对手面前,领先一步的需求每天都在增长。最近 DDoS 攻击的规模和多样性已经达到了任何人都无法想象的水平。
话虽如此,令人惊讶的是,大多数 DDoS 攻击缓解解决方案主要使用速率限制技术。也就是说,所有超过一定流量阈值的流量都会被拦截,不区分是否恶意,导致部分合法用户无法获得服务。通过这样做,许多组织在受到 DDoS 攻击时牺牲了用户体验和生产力。
合法用户不应在网络攻击期间受到影响
合法用户看不到(也不关心)整个画面。他们没有被告知服务器受到严重攻击,目前无法向他提供服务。他们只看到一件事——他们需要一项服务并且被拒绝访问它。
今天,组织不再接受导致阻止真实用户的误报。就像平时他们不接受一样,他们也不应该受到攻击。即使是少量,它们也不应该接受到达服务器的恶意流量。
即使在重大攻击期间,也需要更复杂的技术来确保客户体验。
行为分析是新标准
随着越来越多的供应商明白这正在成为 DDoS 缓解的新标准,行为方法开始扩展。致力于保护其资产并确保为用户提供持续的服务可用性的组织不会满足于更少。
让我们回到我们的政府网站场景。现在是九点钟,无数市民试图访问该网站,但大规模的 DDoS 攻击已将其关闭。
一种先进而复杂的行为 DDoS 缓解工具可以阻止黑客试图在网站上发起的攻击,并允许公民继续访问。阻止可疑 IP 地址或特定恶意来源并不是行为分析的唯一作用。它还分析每个请求背后的动机,而不仅仅依赖于特定时间的流量。该站点可能受到大规模攻击;然而,与此同时,一群想要接种疫苗的市民需要访问该网站。两者之间的区别在于基于行为的 DDoS 缓解的整个概念。
企业的目标是通过确保可用性来确保用户体验。我们不应该让对大规模 DDoS 攻击的恐惧成为选择阻止合法用户并影响他们体验的方法的催化剂,而是推动解决方案变得更加智能。
DDoS 攻击——我们真的在打仗吗?
Arbor Networks的首席安全科学家 Craig Labovitz使用公司的 ATLAS 互联网映射技术分析了 DDoS 攻击,据他说,这些网站面临的最大问题是洪水攻击问题。
他说,在 2010 年期间,Arbor Networks 观察到了 50+ Gbps 范围内的许多 DDoS 攻击。
“这些大型泛洪攻击通常超过数据中心和运营商骨干链路的入站总带宽容量(通常为 OC192 / 10 Gbps)”,他在他的安全博客中说。
而且,他继续补充说,尽管有成千上万的推文、新闻文章和无休止的炒作,但上周的大多数攻击都相对较小且简单。
他解释说:“简而言之,除了媒体的严格审查外,这些袭击并不引人注目”。
例如,在 Cablegate 文件最初发布后的第三天(12 月 1 日) ,他的公司分析了针对多个WikiLeaks 托管站点的 DDoS 活动,他说,DDoS 流量从未超过 3-4 Gbps。
他声称,减轻这种规模的攻击对于 1/2 层 ISP 和大型内容/托管服务提供商来说是相当常规的,而且比迫在眉睫的关键基础设施威胁更令人烦恼——“或者正如一位互联网工程师所解释的那样‘容易阻止’ ”。
Labovitz 表示,在上周的一次事件中,大约 20% 的报复性攻击 DDoS HTTP 请求来自一种新的LOIC变体,可以预见的是,LOIC-2。
“LOIC 的新版本——对 LOIC 的完全重写——支持额外的‘蜂巢’远程控制命令通道,包括 RSS、Twitter 和 Facebook”,他说。
“更重要的是,LOIC-2 支持两种新的‘慢速’攻击方法(即客户端故意延长 HTTP 事务时间以增加受害服务器负担的 DDoS 策略)”,他补充道。
而且,Arbor Networks 首席科学家接着说,虽然上一轮攻击导致短暂中断,但大多数运营商和托管服务提供商都能够快速过滤攻击流量。
此外,他说,这些攻击主要针对网页或轻度阅读博客,而不是为商业交易服务的更为关键的后端基础设施。
“到本周末,匿名追随者大多因为无效而放弃了他们的攻击计划,”他说。
“因此,最终,我建议上周围绕维基解密支持者和反对者的 DDoS 攻击远非一场网络战,”他补充道。
“虽然它的标题远不那么性感,但网络破坏行为可能是一个更贴切的描述。类似地,外交政策专栏将 hactivist DDoS 称为数字相当于世界各地年轻人的静坐。”
