自今年9月以来,为了帮助大家理解其差异,安碁资讯用一张图表来分类DDoS攻击,方便大家能够快速了解不同的手法。
基本上,骇客发动的DDoS攻击,可分成两大攻击型态,一种是「洪水型攻击」,也就是用流量塞爆频宽,设法消耗频宽,或称为频宽消耗型;一种是「资源型攻击」,则是设法耗尽资源,像是让CPU负载过高而当机,或称为资源消耗型。
在这两种攻击型态之下,还有针对网路层(Layer 3)、传输层(Layer 4)与应用层(Layer 7)的不同攻击方式,也就是流量攻击、针对通讯协定攻击,以及针对应用层攻击,当中并有多种不同攻击手法:
消耗频宽的洪水型攻击
针对网路层主要是ICMP/IGMP洪水攻击,针对传输层攻击的具体手法,则有TCP洪水攻击、SYN洪水攻击等7种,在我们过去资安新闻报导中,这类手法也经常可见。
针对应用层的攻击也不少,这方面手法包含DNS Query洪水攻击、DNS NXDomain洪水攻击、DNS放大/反射攻击,其他还有针对SNMP与NTP的放大/反射攻击。前述提到DNS放大攻击,利用DNS的特性来放大流量,进而瘫痪目标伺服器或网路资源,就是属于这类。
消耗资源的资源型攻击
针对传输层的攻击方式,有Sockstress攻击与THC SSL DOS这两种手法。蔡东霖进一步解释,前者这种慢速的资源耗尽手法,像是可以一次传送1个Byte,用很慢的方式大量占用网站服务的资源,进而让新的连线无法建立;后者主要是利用建立连线时SSL需要加解密金钥的交换,耗用这方面的运算资源,以大量连线让整体处理变慢。
在针对应用层的攻击方式中,则有HTTP洪水攻击(HTTP/HTTPS连线攻击、POST/GET大量请求)、ReDoS等DDoS攻击手法。最近亲俄骇客的攻击,最主要就是使用此类手法。
同时发动3种DDoS攻击手法,主要以HTTP洪水攻击为主
亲俄骇客这波攻击有何特殊之处?蔡东霖指出,这两波攻击目标范围广泛,涵盖多个政府与地方机构,以及部分民间企业,不过影响程度算小,主要就是干扰网站服务的正常运作。
更准确来说,对方只是要让目标网站的服务短暂无法运作,即使仅几秒钟,攻击者只要能够取得服务中断的画面,作为其攻击成功的证据,以宣扬其行动已达预期效果。
他们从实际遭受攻击的组织中观察到,NoName057混用了3种DDoS手法,包括针对Layer 7的HTTP洪水攻击、ReDoS(Regular expression Denial of Service),以及针对Layer 4的TCP、SYN洪水攻击。而且攻击者不是轮流使用这些手法,而是针对同一目标同时发动这些攻击。
值得注意的是,在这3种DDoS手法中,NoName057最主要是使用HTTP洪水攻击,针对网站上需花运算资源去处理的网页,发动大量HTTP请求,企图网站伺服器资源耗尽,进而造成阻断服务。
他进一步解释,这种攻击并不会塞爆频宽,但可以造成伺服器因无法及时处理所有请求,而使网站运作速度显著变慢,甚至完全无法回应用户请求。当伺服器超过负荷时,可能出现错误状态码500,表示伺服器遇到未预期的情况,无法完成请求,或是出现错误状态码503,表示伺服器可能因资源不足暂时无法处理请求。
攻击者锁定4到10个特定网页就可奏效!安碁解析五大原因
这样的HTTP洪水攻击之所以奏效,安碁资讯有重要发现。在攻击过程中,此亲俄骇客利用VPS虚拟主机或VPN隐匿其IP位址,因此几乎都是利用跳板从其他国家的IP位址发动攻击,攻击来源来自北美、欧洲、澳洲等国,只有1%是台湾的IP位址,特别的是,攻击者在锁定目标企业组织网站后,只集中针对网站上的4到10个关键网页,发动DDoS攻击。
原因在于,这些页面能消耗大量伺服器资源,适合他们发动HTTP洪水攻击。换言之,攻击者在发动攻击之前,其实是会先对目标网站进行探索,以找出合适的攻击目标页面。
有哪些是HTTP洪水攻击的可能目标页面?安碁资讯进一步剖析5种手段:
(一)锁定新闻资讯查询机制
这类攻击主要针对网站中提供新闻主题与日期查询的功能,细分为以下三种方式:
输入乱码查询:当伺服器将请求送交资料库检查时,若缺乏查询次数限制或效能不足,像是一次可查询10年的资料,网站伺服器就要从后端资料库拉出大量资料,便可能导致网站伺服器超过负荷。
反向日期查询:设定不合理的查询起迄日期,例如起始日期晚于结束日期,使系统需要额外检查。
错误日期格式:输入无效日期格式,增加伺服器检查的运算负担。
(二)锁定电子报订阅页面
攻击者透过大量HTTP POST请求来订阅电子报,让伺服器处理大量订阅请求,而每次请求都会导致伺服器进行资料库登录、运算及跳出视窗等操作,以消耗伺服器资源。
(三)锁定新闻导览页面的显示机制
这类攻击针对多笔新闻显示的页面,骇客透过指定URL分页参数方式,如指定显示第几页、每页显示笔数,甚至设定不存在的页面,迫使伺服器需要大量运算,导致效能下降。
(四)锁定大型档案下载
骇客借由下载网站上存放的大型档案(例如内嵌影片或高容量文件),以此让网路流量暴增,此为较传统的手法,但仍有效的攻击方式。
(五)锁定Email格式验证机制
这类攻击主要针对网站的Email输入验证功能,利用网站开发者使用了设计不良的正规表示式,发送大量错误输入请求。例如,提供超长或复杂的字元串,导致伺服器需进行繁琐的字元检查,以大量耗用网站伺服器的CPU使用率。