目 录
[3.2 知名攻击案例](#3.2 知名攻击案例)
[3.2.1 举例说明一些著名的DoS和DDoS攻击事件](#3.2.1 举例说明一些著名的DoS和DDoS攻击事件)
[3.2.1.1 GitHub: 1.35 Tbps](#3.2.1.1 GitHub: 1.35 Tbps)
[3.2.1.2 对根域名服务器发动攻击](#3.2.1.2 对根域名服务器发动攻击)
[3.2.1.3 勒索比特币](#3.2.1.3 勒索比特币)
[编辑3.2.1.4 WannaCry勒索软件攻击](#编辑3.2.1.4 WannaCry勒索软件攻击)
[3.2.1.5 Shamoon计算机病毒攻击](#3.2.1.5 Shamoon计算机病毒攻击)
[3.2.1.6 泰坦雨](#3.2.1.6 泰坦雨)
[3.2.1.7 2007年爱沙尼亚网络攻击](#3.2.1.7 2007年爱沙尼亚网络攻击)
[3.2.1.8 2009年7月网络攻击](#3.2.1.8 2009年7月网络攻击)
[3.2.1.9 以色列受攻击](#3.2.1.9 以色列受攻击)
[3.2.1.10 2010年对缅甸的网络攻击](#3.2.1.10 2010年对缅甸的网络攻击)
[3.2.1.11 2013年新加坡网络攻击](#3.2.1.11 2013年新加坡网络攻击)
[3.2.1.12 暴雪DDoS攻击](#3.2.1.12 暴雪DDoS攻击)
[3.2.1.13 珠宝店遭遇25000个摄像头组成的僵尸网络攻击](#3.2.1.13 珠宝店遭遇25000个摄像头组成的僵尸网络攻击)
[3.2.1.14 精准的NS1攻击](#3.2.1.14 精准的NS1攻击)
[3.2.1.15 五家俄罗斯银行遭遇DDoS攻击](#3.2.1.15 五家俄罗斯银行遭遇DDoS攻击)
[3.2.1.16 Mirai僵尸网络攻击KrebsonSecurity](#3.2.1.16 Mirai僵尸网络攻击KrebsonSecurity)
[3.2.1.17 搜狐视频事件](#3.2.1.17 搜狐视频事件)
[3.2.2 分析这些案例的攻击手法和造成的后果](#3.2.2 分析这些案例的攻击手法和造成的后果)
[3.2.2.1 GitHub: 1.35 Tbps](#3.2.2.1 GitHub: 1.35 Tbps)
[3.2.2.2 对根域名服务器发动攻击](#3.2.2.2 对根域名服务器发动攻击)
[3.2.2.3 勒索比特币](#3.2.2.3 勒索比特币)
[3.2.2.4 WannaCry勒索软件攻击](#3.2.2.4 WannaCry勒索软件攻击)
[3.2.2.5 Shamoon计算机病毒攻击](#3.2.2.5 Shamoon计算机病毒攻击)
3.2 知名攻击案例
3.2.1 举例说明一些著名的DoS和DDoS攻击事件
3.2.1.1 GitHub: 1.35 Tbps
2018年2月28日,知名开发者平台GitHub突然遭受了一场规模庞大的攻击,攻击造成的数据流量高达1.35Tbps。GitHub的报告显示,这些通信量源自超过一千个不同的自治系统,影响了数以万计的独立终端。下图清晰展示了正常流量水平和DDoS攻击期间流量的明显差异,显示了攻击对GitHub服务的影响。
更糟糕的是,GitHub并非毫无准备地面对这次DDoS攻击。据他们后来的报告解释,尽管他们并不知道会发生这种规模的攻击,但他们一直在为网络基础设施部署额外的通路。近年来,他们已经将通路规模翻倍,以确保能够抵御一定规模的攻击。
GitHub使用了DDoS保护服务,该服务在攻击开始后的10分钟内自动触发警报。这使得GitHub能够快速采取缓解措施来阻止攻击。结果,这次世界上最大的DDoS攻击仅持续了大约20分钟。
3.2.1.2 对根域名服务器发动攻击
全世界一共有13台根域名服务器,它们是互联网关键的基础部件。如果这些根域名服务器遭受攻击,将会影响全球的域名系统。在历史上,曾经发生过一次非常严重的,针对根域名服务器的攻击。
在2002年10月21日下午,互联网平静如常,此时却发生了有史以来最为严重、规模最为庞大的针对根域名服务器的攻击。在这次攻击持续的一个多小时里,有超过常规数量30多倍的数据向这些服务器袭来,导致了7台根域名服务器丧失了网络通信处理能力,其中2台完全瘫痪。当时每台攻击流量为50~100Mbit/s,总流量为900Mbit/s。虽然这次攻击方式比较简单,但幸运的是很容易被防御住了。然而,对根服务器进行攻击的行为实属罕见。
3.2.1.3 勒索比特币
2020年比特币价格大涨,这导致黑客利用DDoS攻击对网站进行勒索。根据安全公司Radware的统计数据显示,在2020年12月到2021年1月的第一周,已经发生了多起DDoS攻击勒索事件。
3.2.1.4 WannaCry勒索软件攻击
WannaCry是一种网络攻击,利用计算机蠕虫感染了Microsoft Windows系统。这次攻击规模空前,影响了全球150多个国家/地区的23万多台计算机。勒索软件对易受攻击的计算机中的文件进行加密,并要求受害者支付约600美元的勒索赎金(使用加密货币支付)。
攻击背后的感染媒介是"永恒之蓝"(EternalBlue),由美国国家安全局(NSA)开发,但被泄露给了黑客组织Shadow Brokers。幸运的是,后来人们发现了一个终止开关,勒索软件的传播得到了最小化。
3.2.1.5 Shamoon计算机病毒攻击
Shamoon,又称为Disttrack,是一种计算机病毒,被认为与能源部门的计算机系统感染和网络间谍活动有关。在2012年8月15日,一群自称为"正义之剑"的黑客使用Shamoon病毒,对能源巨头SaudiAramco公司的计算机系统进行了破坏。
据称,该组织对这次攻击负责,影响了公司30,000个工作站的运营。此外,另一家受到Shamoon病毒袭击的公司是卡塔尔拉斯加斯公司(Qatari RasGas Company)和液化天然气公司(LNGCompany),它们的计算机系统被迫暂时关闭,导致公司的运营中断。
3.2.1.6 泰坦雨
Titan Rain是在2000年代初针对美国计算机系统的一系列网络攻击的代号。这些袭击主要针对美国国防部的主要承包商,包括红石兵工厂、美国宇航局和洛克希德·马丁公司。这些网络攻击的形式为网络间谍,攻击者试图从计算机系统中获取敏感信息。
调查显示,中国军方可能与这些袭击有关,但中国政府坚决否认了这一指控。除了针对美国的袭击外,还发生了一些零星的袭击,其中一些针对英国国防部,这加剧了英中之间的外交关系紧张。
3.2.1.7 2007年爱沙尼亚网络攻击
2007年4月27日,爱沙尼亚遭受了一系列前所未有的网络攻击,导致爱沙尼亚议会、政府各部门、银行和媒体的计算机网络瘫痪。这些攻击是为了回应将塔林的前苏联青铜士兵和首都战争公墓搬迁的决定。爱沙尼亚政府指责俄罗斯克里姆林宫对此负有责任,但俄罗斯方面坚决否认了这一指责。爱沙尼亚政府随后增加了对网络安全的投资,并设立了位于塔林的北约专家组,起草了《塔林国际适用于网络战的国际法手册》,该手册概述了有关网络战的国际法规定。
3.2.1.8 2009年7月网络攻击
2009年7月发生了一系列网络攻击,针对韩国和美国。这些攻击分为三波,影响了两国超过100,000台计算机,并有针对性地攻击了政府机构的网站,包括白宫、韩国国会、五角大楼和媒体网站。尽管攻击的确切来源尚不明确,但许多分析人士将矛头指向了朝鲜。
3.2.1.9 以色列受攻击
OpIsrael是对被认为是以色列的网站进行的一系列网络攻击的首字母缩写。这些网络攻击始于2013年4月7日大屠杀纪念日的前夕,攻击手段包括数据库泄漏、数据库劫持和网站毁损。袭击的目标涵盖了学校、以色列报纸、小型企业、非营利组织和银行的网站。
3.2.1.10 2010年对缅甸的网络攻击
2010年是缅甸20年来首次举行选举的一年,然而,在选举前的几个月,该国遭受了一系列网络攻击,影响了全国许多互联网用户。这些攻击属于DDoS(分布式拒绝服务)类型,始于2010年10月25日。这些攻击使得该国主要的互联网服务提供商邮电部(Ministry of Post and Television)的信息门户遭受淹没,并超出了其带宽容量。据推测,该国的执政党可能参与了这些网络攻击,以压制异议人士的声音。
3.2.1.11 2013年新加坡网络攻击
2013年,新加坡遭遇了一系列网络攻击,据称是由黑客组织Anonymous针对政府发起的。这些攻击被称为对政府建立网络审查法规的回应,攻击持续了几天,主要针对政府网站以及一些有影响力人士的社交媒体账户。
3.2.1.12 暴雪DDoS攻击
在4月份,Lizard Squad组织对暴雪公司的战网服务器发起了DDoS攻击,影响了《星际争霸2》、《魔兽世界》和《暗黑破坏神3》等重要游戏的在线服务,导致玩家无法登录游戏。
同时,名为"Poodle Corp"的黑客组织也曾在8月和9月多次对暴雪发起DDoS攻击,造成了类似的影响。这些攻击不仅使战网服务器下线,还影响了平台上多款游戏,包括《守望先锋》、《魔兽世界》、《暗黑破坏神3》和《炉石传说》等,甚至连主机平台的玩家也遭遇了登录困难。
3.2.1.13 珠宝店遭遇25000个摄像头组成的僵尸网络攻击
已知最大的CCTV(闭路电视摄像头)僵尸网络是由25000台摄像头组成,被用来发起DDoS攻击。
3.2.1.14 精准的NS1攻击
5月份,DNS和流量管理供应商NS1(ns1.com)遭受了长达10天的有针对性的大规模DDoS攻击。尽管攻击者没有使用流行的DNS放大攻击,而是发送了经过编程生成的DNS查询请求,但NS1通过执行上游流量过滤和采用基于行为的规则成功地屏蔽了大部分攻击流量。
这些攻击流量每秒达到5000万到6000万个数据包,看起来像是真正的查询请求,但实际上是用来解析NS1客户网络中不存在的主机名。攻击源头轮换于东欧、俄罗斯和美国的不同僵尸网络[15]中。
3.2.1.15 五家俄罗斯银行遭遇DDoS攻击
11月10日,俄罗斯五家主流大型银行遭遇了长达两天的DDoS攻击。这次攻击由来自30个国家的2.4万台计算机组成的僵尸网络持续不断地发动强大的DDoS攻击。
据卡巴斯基实验室提供的分析显示,超过50%的僵尸网络位于以色列、台湾、印度和美国。每次攻击持续至少一个小时,最长的一次攻击甚至持续超过12个小时。攻击的强度达到每秒发送66万次请求,卡巴斯基实验室还指出,一些银行多次遭受了攻击的袭击。
3.2.1.16 Mirai僵尸网络攻击KrebsonSecurity
9月20日,安全研究机构KrebsonSecurity遭受了Mirai攻击,这被认为是有史以来规模最大的网络攻击之一。不久之后,法国主机服务供应商OVH也遭遇了两次Mirai攻击,其中第二次攻击的流量超过了1TB,而KrebsonSecurity的流量达到了665GB。
Mirai是一个庞大的僵尸网络,由互联网上的物联网设备(例如网络摄像头)构成,该网络于8月开始建立,9月达到高峰。攻击者通过猜测设备的默认用户名和密码来控制系统,将其纳入Botnet,并在需要时执行各种恶意操作,包括发起DDoS攻击,对互联网构成巨大威胁。
3.2.1.17 搜狐视频事件
2014年5月,当大众还沉浸在搜狐视频的热门内容中时,这家颇有名气的视频平台却意外地成为了一起DDoS攻击事件的焦点。
当时,日本CDN服务商Incapsula透露,其一位客户的服务器遭到了疑似由搜狐视频发起的DDoS攻击。期间,超过2万名网民通过搜狐视频向该客户发送了高达2000万次的HTTP Get请求。然而,这样一个备受瞩目的网站,怎会轻易发起攻击呢?后经查明,搜狐视频在不知不觉中成为了黑客的利用对象,成为了攻击的源头。
正所谓"趁虚而入",搜狐视频网站上的一个安全漏洞为黑客提供了可乘之机。黑客利用这个漏洞,创建了一个搜狐视频账户,并在头像中植入了恶意代码(JavaScript)。随后,他们用这个账户在视频评论区发布了大量评论。每条评论都带有用户头像,而这些头像中潜藏了恶意代码。因此,每当用户浏览这些视频页面时,恶意代码就会被触发,实际上控制了用户的浏览器。
3.2.2 分析这些案例的攻击手法和造成的后果
3.2.2.1 GitHub: 1.35 Tbps
攻击手法
利用了memcached协议的放大效应进行的。攻击者通过发送大量的伪造请求到memcached服务器,利用memcached的反射特性,使得返回的响应数据远大于请求数据,从而放大了攻击流量。
memcached是一种在内存中缓存数据和对象的开源系统,广泛用于提升网站和应用的速度。如果memcached服务器没有正确配置或保护,攻击者就可以利用它来进行DDoS攻击。
攻击者向memcached服务器发送带有伪造源IP地址(即GitHub的IP地址)的查询请求,memcached服务器在接收到请求后会返回大量的数据到伪造的源IP地址,即GitHub的服务器。由于memcached的响应通常比请求大得多,这种攻击方式可以极大地放大攻击流量,从而对目标造成巨大的压力。
造成的后果
攻击流量高达1.35Tbps,这是非常庞大的数据量,远远超过了大多数网络基础设施的承受能力。即使GitHub已经预先部署了额外的网络通路,并进行了扩容,但仍然无法完全抵御如此规模的攻击。这导致了GitHub服务的阻塞和不稳定,影响了数以万计的独立终端用户。
由于攻击流量如此之大,GitHub不得不迅速采取缓解措施来阻止攻击。虽然GitHub使用了DDoS保护服务,并在攻击开始后的10分钟内得到了警报,但这次攻击仍然持续了大约20分钟,对GitHub的服务造成了一定程度的损害。
这次攻击也迫使GitHub进一步扩大了网络通路规模,并加强了网络安全防护措施,以更好地应对未来可能发生的类似攻击。这不仅增加了GitHub的运营成本,还可能对其业务运营和用户信任造成一定的影响。
3.2.2.2 对根域名服务器发动攻击
攻击手法:
攻击者采用了DDoS攻击手法。这种攻击通过控制大量的计算机或设备(通常称为"僵尸"或"肉鸡"),让它们同时向目标服务器发送大量的网络请求,从而导致目标服务器过载并无法响应正常的服务请求。
攻击者向根域名服务器发送了超过常规数量30多倍的数据,每台服务器的攻击流量达到50~100Mbit/s,总流量高达900Mbit/s。这种高流量的攻击方式旨在耗尽服务器的网络带宽和处理能力。
造成的后果:
由于大量的攻击流量,7台根域名服务器丧失了网络通信处理能力,其中2台完全瘫痪。这导致这些服务器在攻击期间无法为全球的域名解析提供服务。
根域名服务器是互联网的关键基础部件,它们的正常运行对于整个互联网的稳定性和可用性至关重要。因此,这次攻击不仅影响了被攻击的服务器,还对全球的互联网服务产生了潜在的影响。
虽然这次攻击最终被成功防御,但它向全球互联网社区敲响了警钟,提醒人们需要加强网络安全防护,特别是针对关键基础设施的保护。
3.2.2.3 勒索比特币
攻击手法:
随着2020年比特币价格的大涨,黑客发现了利用DDoS攻击进行勒索的新商机。在这种攻击手法中,黑客利用DDoS(分布式拒绝服务)攻击技术,向目标网站发送大量无效或高流量的网络请求,导致目标服务器过载,无法正常提供服务。黑客随后向受害者发送勒索信,要求支付一定数量的比特币,以停止攻击并恢复网站的正常运行。
安全公司Radware的统计数据显示,在2020年12月到2021年1月的第一周,已经发生了多起DDoS攻击勒索事件。这些攻击通常具有高度的针对性和组织性,黑客利用先进的网络技术和工具,精确地对目标进行定位和攻击。
造成的后果:
受害者网站由于遭受DDoS攻击而无法正常运营,这可能导致业务中断、客户流失和收入减少。同时,为了恢复网站运行并避免进一步的损失,受害者往往需要支付高额的比特币赎金给黑客。
受到DDoS攻击的网站可能会遭受声誉上的损害,因为用户可能会认为该网站存在安全隐患或服务质量不佳。这可能对网站的长期发展造成负面影响。
DDoS攻击勒索不仅是对受害者的直接威胁,也对整个互联网安全环境构成了挑战。黑客利用比特币的匿名性和去中心化特点,使得追踪和打击这类犯罪行为变得更加困难。
3.2.2.4 WannaCry勒索软件攻击
攻击手法:
WannaCry勒索软件采用了一种网络攻击方式,具体是利用计算机蠕虫来感染运行Microsoft Windows系统的计算机,该蠕虫通过"永恒之蓝"(EternalBlue)漏洞进行传播,这是由美国国家安全局(NSA)开发但后被黑客组织Shadow Brokers泄露的一个关键漏洞。通过这个漏洞,WannaCry能够远程执行代码,进而控制并感染易受攻击的计算机。
一旦计算机被感染,WannaCry会对系统中的文件进行加密,使得用户无法访问这些文件。加密完成后,软件会向受害者显示一条勒索信息,要求支付约600美元的赎金(通过加密货币支付)以获取解密密钥。
造成的后果:
WannaCry攻击规模空前,影响了全球150多个国家/地区的23万多台计算机。这次攻击的范围之广、影响之大,使其成为近年来最为严重的网络安全事件之一。
由于受害者的文件被加密,许多个人和企业面临数据丢失的风险。为了恢复对这些重要文件的访问,受害者可能不得不支付高额的赎金。此外,受影响的组织还可能因业务中断、系统恢复和加强安全措施而产生额外的成本。
该事件引起了公众对网络安全问题的广泛关注,人们对个人数据安全和企业机密信息的保护意识得到了提高。同时,该事件也促使政府和企业更加重视网络安全防御措施的建设和完善。
虽然WannaCry主要针对的是个人计算机,但其利用的漏洞和攻击手法对关键基础设施也构成了潜在威胁。如果类似的攻击被用于针对医院、能源设施或政府机构等关键部门,后果将不堪设想。
3.2.2.5 Shamoon计算机病毒攻击
攻击手法:
Shamoon,也被称为Disttrack,是一种精心设计的计算机病毒,特别针对能源部门的计算机系统。该病毒的主要攻击手法包括感染目标系统的文件,并随后执行恶意操作,如删除感染机器上的硬盘数据。
在2012年8月15日的攻击中,黑客组织"正义之剑"利用Shamoon病毒对Saudi Aramco公司的计算机系统进行了定向攻击。攻击者首先通过某种方式获得了对目标系统的访问权限,可能是通过钓鱼攻击、恶意软件下载或其他网络渗透手段。一旦获得访问权限,攻击者便部署了Shamoon病毒,该病毒在感染机器上执行了一系列恶意操作。
Shamoon病毒的一个显著特点是它能够删除受感染Windows机器上的所有数据,包括硬盘上的文件、启动引导记录(MBR)以及分区表。这一操作直接导致系统瘫痪,无法正常启动,从而造成数据永久丢失和系统完全崩溃。
造成的后果:
由于Shamoon病毒删除硬盘数据的特性,受攻击的机器上的所有数据都被永久删除,导致系统完全崩溃。对于Saudi Aramco公司来说,这影响了其30,000个工作站的运营,数据丢失和系统停机无疑对公司的业务造成了重大损失。
卡塔尔拉斯加斯公司(Qatari RasGas Company)和液化天然气公司(LNG Company)同样遭受了Shamoon病毒的攻击,它们的计算机系统被迫暂时关闭。这导致了公司的运营中断,可能涉及生产延误、供应链中断以及客户服务受阻等一系列问题。
受影响的公司不仅面临直接的财务损失,如修复系统的成本、业务中断导致的收入损失等,还可能遭受声誉损害。因为客户可能会对公司的数据安全和业务能力产生怀疑,进而影响公司的长期发展。
Shamoon病毒[16]攻击事件对整个能源行业乃至全球企业都发出了安全警示。它提醒人们必须重视网络安全问题,加强网络防御措施,防止类似攻击再次发生。