|
我要入营,结交更多好友,开启更多功能,轻松玩转服务器大本营!
您需要 登录 才可以下载或查看,没有账号?我要入营
x
提起DDoS攻击,人们首先会想到的会是Anonymous的面具、格鲁吉亚的战火和无法访问的雅虎主页。在媒体报道中,黑客都是一些“疯狂”的人。他们要么是躲在阴暗小屋里的程序员,要么是双眼通红的恐怖分子。
然而现实中,绝大多数攻击者并不是疯子和变态。隐藏在“疯狂”面具后面的往往只是一个“冷酷”的逐利者。攻击是手段,如何从中获利才是他们真正关心的。带入攻击者的视角,我们会发现,“黑客”们会精确计算每次攻击的成本和收益,选择最合适的时机和形式,从而将自己的利益最大化。
一、攻击成本
提到攻击者的成本,也许有人会问:“发起网络攻击,需要成本吗?‘黑客’不是无所不能吗?他们控制那么多僵尸网络,拿来发起攻击就行了,怎么会需要成本?”
上面的疑问很常见。从媒体报道中,“黑客”给人的印象就是如此:现实世界里的“宅男”,网络世界中的超人。然而这只是一个误区,实际上攻击者早已有了成熟的分工模式。
误区:只有“黑客”才能发起DDoS。
“只有‘黑客’才能发起DDoS”这个问题有些类似“只有士兵才能持枪射击”。技术的发展必然会促进分工,当前枪械的制造和使用早已完全分离,使用的难度也大幅降低。如果对准确度要求不高,射击就不再是一项专业技能,普通人经过少许练习就能够使用枪支。
网络攻击同样如此。当前大部分“黑客”都专注于特定领域,有的擅长发现漏洞,有的善于开发工具,有的负责入侵过程,有的专门处理账户信息。就DDoS攻击来说,一些“黑客”会建立和维护所谓的“攻击网络”。他们有的利用僵尸网络,有的控制高性能服务器,形成攻击能力后对外提供租用服务。而最终的租用者很可能只是不具备任何专业知识的普通人。这些服务使用方便,只要输入攻击目标的地址就可以完成整个攻击过程。发起DDoS攻击的可能是本地的网络黑帮,可能是对街的竞争对手,可能是上周被开除的员工,甚至可能是某个老朋友有些过火的玩笑。潜在的攻击者并不遥远,他们也许就在你的身边。
近年来,软件即服务(SaaS)的方式早已经深入人心,而“黑客”们作为技术的先行者,自然不吝于尝试这种方法。攻击即服务(Attack as a Service,AaaS)甚至分布式拒绝服务攻击即服务(DDoS as a Service,DaaS)正变得越来越流行。而且以攻击即服务这种方式提供的服务价格非常低廉。收费主要分按次计费和长期租用两种形式。大部分情况下,每小时攻击不到10美元,而长时间租用的价格则更低。
采用按次计费的形式,具体金额与时间及流量相关。时间越长或流量越大,费用就越高,但并不完全成正比关系。威胁研究员Dancho Danchev在他的博客中介绍了一个DDoS租用服务的细节。从图1中可以看出,1小时的攻击费用是5美元,而一星期则只要260美元。
攻击服务器需要成本吗?
一个名为Gwapo的网站在互联网上提供DaaS服务。他们在YouTube上公布了一段视频广告,一个男孩介绍了服务的功能和付款方式。根据目标对象的不同,每小时的费用从10到100美元不等。
攻击服务器需要成本吗?
攻击服务器需要成本吗?
对于此类收费方式的服务,Vicente Segura通过针对性的研究总结了其一般规律(见图4)。他根据调研的具体价格情况,模拟了一个价格公式。公式中的C表示价格,A表示要求的带宽(Mbit/s),t表示攻击时间,C=0.9640·A。
攻击服务器需要成本吗?
另一种方式是按照租用时间付费,例如支付月租甚至购买终身使用权。RageBooter就是这样的一个站点。该站点提供了种类繁多的选择方案,不同价位的区别主要在于单次攻击的持续时间(见图5)。有趣的是,网站的拥有者声称这种服务是完全合法的,并直言他为FBI提供服务。遗憾的是FBI对这种说法不太认同。
攻击服务器需要成本吗?
从上述实例可以看出,无论是哪种付费方式,都称不上昂贵。对于希望打垮竞争对手的企业来说,实施攻击的成本远低于一次广告。而对于那些因为被解雇而怀恨在心的前员工,或单纯想搞恶作剧的年轻人,这样的价格也并不是很大的负担。
二、获取收益
相对于成本,另一个需要考虑的因素是收益。毫无疑问,只有收益大于成本,攻击行为才有意义。当收益足够大时,攻击者就敢于冒任何风险。除了探索时代的少数“黑客”外,大部分DDoS攻击都有明确的目的。
误区:DDoS攻击的目的就是单纯破坏。
在很多人眼中,“黑客”其实是天才和白痴的混合体。一方面,他们在网络中如超人般无所不能;另一方面,他们却像“哥斯拉”般四处喷火,为了破坏而破坏,完全是损人不利己。
毋庸置疑,DDoS攻击的直接后果是破坏服务的可用性,简直是这一看法的完美证据。可实际上,这些隐藏在面具后的是一双双能够计算比特币的眼睛。当今时代的攻击者,对计算收益的敏感性远超常人。他们会用破坏的威力换取对等的利润,会用破坏的威慑避免自身可能受到的损失,会用破坏的杠杆撬起胜负的天平。更有时候,只需提示一下破坏的可能性,他们就可以坐地收银。
破坏,只是DDoS攻击的手段;最终的目的,永远是利益。
如何评估DDoS攻击的收益是一个有争议的问题。笔者认为,获利方式可以分为三类:敲诈勒索、实施报复以及获取竞争优势。
1、敲诈勒索
敲诈勒索自古以来就存在,现在不过是从现实世界延伸到网络中。最典型的形式是攻击者选取目标网站进行DDoS攻击,对其业务造成影响,然后再发送勒索信,如果受害者不按照要求支付,就会继续遭受攻击。
有的攻击者并不直接从受害者处获利。例如,一些受到攻击的游戏运营者被要求在其游戏中植入广告。对于一些依靠用户购买来获利的运营者,广告收益并不显著,所以很容易屈服。但是对于攻击者来说,一旦掌握的广告投放渠道形成规模,就可以从中渔利。另一个例子是,一些网吧被攻击者胁迫,要求植入僵尸程序,借此建立可以进行更大规模攻击的僵尸网络。攻击者一般会和网吧经营者约定,僵尸网络只是有限制地使用流量,不会对网吧业务造成明显影响。在不损害根本利益的情况下,大部分受害者都会屈服。
2、实施报复
“实施报复”是否可以算是一种收益?这的确是一个有争议的问题。在缺乏秩序的环境下,“以眼还眼,以血还血”的习俗往往很容易被人接受。因为在这种环境下,弱势群体的利益很容易遭受侵犯,报复的根本目的是试图避免下一次的迫害。从这个角度来看,实施报复的确是有收益的。
2012年7月,一部关于伊斯兰教先知穆罕默德的影片的预告片被放到YouTube上,任何人都可以观看,也可以评价“赞许”或“反感”。同年9月18日,一个自称“伊兹丁·哈桑网络战士”的伊斯兰黑客组织要求移除相关视频,否则就对美国金融行业实施报复性攻击,这就是著名的“燕子行动”。那么问题是,什么程度的报复才能补偿他们受到的侮辱呢?这个黑客组织通过给出一套看起来很有逻辑的计算方法来回答这个问题。他们认为,侮辱视频每被观看或“赞许”一次,都是对伊斯兰教的侮辱;而每次“反感”则相反,两者的加权差再乘以代价因子(由哈桑陪审团裁定),就是美国金融行业应付的代价。而后他们估算了美国金融行业遭受DDoS攻击时每分钟的损失,以及进行攻击时每天的有效时长。最终,得出每个阶段行动应当持续的时间。下面给出了“燕子行动”第三阶段的计算公式,最终结论是该轮攻击将在2个月中的25天执行。
怎样计算“燕子行动”的持续时间?
T=视频的观看人数
L=评价为“赞许”的人数
D=评价为“反对”的人数
DF=10(一个“反对”者可以抵消的“赞许”人数)
CF=100美元(对于每次观看或“赞许”,美国金融行业应付的代价,基于哈桑陪审团的判决)
TC=(T+L–DF×D)×CF(美国金融行业应该付出的代价总额)
C=30000美元(美国银行遭受DDoS每分钟的大致损失)
TM=TC/C(即将进行的总DDoS分钟数)
S=平均每天DDoS的成功时间
TD=TM/S(进行攻击的总天数)
PD=已经攻击的总天数
TP=PD×S×C(美国银行已经付出的代价)
REM=TD–PD(即将对美国银行发动DDoS的天数)
3、获取竞争优势
物理学中有“不稳定平衡”的概念,是指“处于平衡状态的物体,由于受到某种外界微小的作用,如果物体稍有偏离就不能恢复到原来的平衡状态”。社会生活中同样存在这样的现象,在商业、军事和政治竞争中,势均力敌的状态最容易被意外的袭击打破。
利用DDoS进行商业竞争已经成为一种低成本和普遍的现象。这种竞争主要存在于中小型企业之间,因为它们的安全防护方面往往投入不足。形式上可以分为两种,第一种是妨碍对手的业务活动,造成客户流失。例如,中国的城市中普遍存在大量网吧,当同一地区的经营者过多,就会展开竞争。典型的场景是,一家新开张的网吧正在以较低的价格促销。而被招揽的顾客却发现网速非常慢或根本无法上网,于是渐渐离开这里,回归以往的网吧。一个月后,新开的网吧因无力支持而关闭,它的经营者最终也没明白自己遭受了竞争者的DDoS攻击。竞争者想要打击对手并不困难,并不需要自己了解“黑客”技术。由于教育和就业环节的缺失,大量没能接受高等教育但是足够聪明的年轻人,希望通过学习“黑客”技术来改变自己的命运。如图6所示,进入一些黑客论坛,可以找到大量这样的广告。
攻击服务器需要成本吗?
美国Damballa公司公布了一份报告,其中描述了中国的一个僵尸网络:“IMDDOS BOTNET”。Damballa声称,他们是在2010年9月13日发现的这个僵尸网络。与以往不同的是,这个僵尸网络的所有者建立了自己的主页(见图7),并发布广告提供DDoS攻击。网站声称,只对那些违法的站点,例如赌博站点,进行攻击。
攻击服务器需要成本吗?
利用DDoS进行商业竞争的第二种形式是打击对手的声誉,例如在访问量较大的时间点使主页瘫痪。国际上的一些商业黑客组织会提供更专业的服务。2012年6月,威胁研究员Dancho Danchev在他的博客中对一个DDoS租用服务的细节进行了介绍。由图8可见,从最早的SYN FLOOD到流行的HTTP FLOOD,各种类型的攻击都可以提供。
感谢您的阅读,服务器大本营-技术文章内容集合站,助您成为更专业的服务器管理员! |
|