标签: DDoS 攻击

阿卡迈阻止了欧洲最大型 DDoS 攻击

本月早些时候,Akamai Technologies(阿卡迈技术公司,下称阿卡迈)平息了欧洲史上最大型分布式拒绝服务(DDoS)攻击,将一家东欧公司从30多天的持续重创中解救出来。 作为网络安全和云服务供应商,阿卡迈表示,攻击高潮出现在7月21日,14个小时内达到峰值每秒6.596亿数据包(Mpps)和每秒853.7千兆比特每秒(Gbps)。 在一篇博客文章中,阿卡迈云安全业务部门产品经理Craig Sparling写道:“该攻击针对大量客户IP地址,是阿卡迈Prolexic平台上历来挫败的最大型全球横向攻击。” Sparling没有透露遭攻击公司的名称,但表示这家公司是阿卡迈在东欧的客户。在30天的时间里,该客户遭到通过多种途径发起的75次攻击。用户数据报协议(UDP)是这场DDoS攻击中最常用的途径,创纪录的峰值中就有UDP攻击的身影。 其他攻击方法还包括:UDP分片、ICMP洪水、RESET洪水、SYN洪水、TCP异常、TCP分片、PSH ACK洪水、FIN洪水和PUSH洪水。数据清洗系统能够清除大部分危险流量。 DDoS攻击的流量表明,网络犯罪团伙“利用由被黑设备构成的复杂全球性僵尸网络来策划这场攻击活动。”Sparling写道。“整场攻击中没有哪个数据清洗中心处理了超过100Gbps的攻击。” Prolexic平台囊括全球20个大容量数据清洗中心,分布在世界各地,便于就近处理DDoS攻击和保护受害者。在攻击中,流量经阿卡迈Anycast网络流经最近的清理中心,阿卡迈安全运营指挥中心在此应用各种缓解控制措施来阻止攻击。 DDoS攻击的目的是用流量洪水冲击目标企业,使其无法再开展线上业务。应用层攻击可利用僵尸网络发起流量洪水,淹没Web服务器等联网软件,使其无法处理合法请求。网络层攻击通常针对系统处理入站网络数据包的能力。 “分布式拒绝服务攻击(DDoS)的风险从未像现在这样大。”Sparling写道,“过去几年里,企业遭遇了大量的DDoS勒索、新型威胁、国家支持的激进黑客行动,还有威胁领域前所未有的创新招数。而且攻击者毫无放缓迹象。” 今年4月,卡巴斯基发布报告称,一季度DDoS攻击创下历史新高,环比暴增46%,针对性攻击的数量甚至增加了81%。这家网络安全公司认为,俄乌冲突或许是DDoS威胁范围不断扩大的原因之一。 Cloudflare在4月挫败了创纪录的HTTPS DDoS攻击,仅仅两个月后又战胜了更大规模的攻击。这家公司同样在报告中称,第一季度DDoS攻击增加了645%之巨。 Cloudflare研究人员称,在4月和6月的网络安全事件中,DDoS攻击的持续演进得到了体现。攻击者在两起案例中都使用了垃圾HTTPS请求来淹没网站。此外,6月的网络流量洪水源自云服务提供商而非住宅互联网服务提供商,这表明攻击者不得不劫持虚拟机来放大攻击,而不是劫持更简单的物联网设备和家庭网关。 本月早些时候,Cloudflare表示,6月份每秒2600万次请求(RPS)的攻击是Mantis僵尸网络所为,而Mantis正是Meris僵尸网络的进化版。Meris在2021年9月攻击了俄罗斯科技巨头Yandex。 去年,微软两次报告称缓解了史上最大型DDoS攻击,其中包括2021年11月Azure客户遭受的一次攻击,该攻击峰值达到了每秒3.47兆兆比特(Tbps)。 转自 安全内参,原文链接:https://www.secrss.com/articles/45666 封面来源于网络,如有侵权请联系删除

台湾四大网站遭到 DDoS 攻击

据悉,蔡英文办公室网站和台湾政府运营的几个网站遭到分布式拒绝服务 (DDoS) 攻击。据美国全国广播公司新闻报道,共袭击了四个网站,分别是蔡英文办公室网站、台防部网站、外交部网站和台湾最大的机场台湾桃园国际机场网站。美国东部时间周二下午可以访问台防部网站和外交部的网站,但台湾桃园国际机场的网站仍然没有响应。 对网站的 DDoS 攻击 黑客指挥大量计算机同时访问网站,使网站不堪重负最终导致无法访问。DDoS 类型的攻击难以检测,但需要最少的技能或基础设施来进行攻击。专家说,这些类型的攻击不会造成任何永久性损害。 蔡英文的一位发言人在 Facebook 上表示,蔡英文办公室官网遭受境外分布式拒绝服务攻击(DDoS),攻击流量为平日的200倍,导致官网一度无法显示。经处置后,已恢复正常运作。监控网站流量的公司 Kentik 的互联网分析主管 Doug Madory 表示,他可以在那些间歇性无法访问的网站上看到“DDoS 攻击的证据”。 当局表示,网站经抢修后已于20分钟内恢复正常运作,强调会持续加强监控,以维护信息通讯安全,以及各关键基础设施稳定运作。然而至晚上9时,有关网站再次无法登入,页面空白仅显示“NOT ALLOW”字眼。 “大到足以有效但不是破纪录,”马多里在一条短信中说。 网络安全公司 Mandiant 情报分析副总裁 John Hultquist 表示:“虽然这些黑客有时会进行 DDoS 攻击,但此类攻击通常也是黑客活动家的名片”。 目前仍不确定是谁发动了袭击。 转自 E安全 ,原文链接:https://mp.weixin.qq.com/s/Cto3gxLoau2g-cYniR2TMA 封面来源于网络,如有侵权请联系删除

Akamai 阻止了针对其欧洲客户的最大规模 DDoS 攻击

Hackernews 编译,转载请注明出处: 本月,Akamai阻止了攻击欧洲一家组织的最大规模分布式拒绝服务(DDoS)攻击。 该攻击针对东欧的一位Akamai客户,该客户在过去30天内遭受了75次多种类型的DDoS攻击,包括UDP、UDP碎片、ICMP洪水、RESET洪水、SYN洪水、TCP异常、TCP碎片、PSH ACK洪水、FIN推送洪水和PUSH洪水。 Akamai发布的帖子中写道:“2022年7月21日星期四,Akamai检测到并缓解了有史以来在Prolexic平台上针对欧洲客户发起的最大DDoS攻击,全球分布式攻击流量在14小时内达到峰值853.7 Gbps和659.6 Mpps。该攻击以大量客户IP地址为目标,形成了Prolexic平台上最大的全球横向攻击。” 据Akamai称,黑客使用由受感染设备组成的高度复杂的全球僵尸网络来发起攻击。 去年9月,俄罗斯互联网巨头Yandex遭受了Runet历史上最大规模的DDoS攻击。Runet是独立于万维网的俄罗斯互联网,旨在确保该国对互联网关闭的恢复能力。该攻击由Mēris僵尸网络发起,达到2180万RPS(每秒请求数)。   消息来源:securityaffairs,译者:Shirley; 本文由 HackerNews.cc 翻译整理,封面来源于网络; 转载请注明“转自 HackerNews.cc ” 并附上原文

Cloudflare 成功阻止针对其客户最大规模的 HTTPS DDoS 攻击

Cloudflare 透露公司已经阻止了来自多个国家的大规模 HTTPS DDoS 攻击。该公司表示,该僵尸网络每秒发出 1530 万个请求(rps),使其成为针对其客户的最大 HTTPS DDoS 攻击。 Cloudflare 表示本次攻击的目标是针对一家 The Crypto Launchpad(TCL)公司,该客户使用的是 Cloudflare 的 Professional 计划,在攻击发生的不到 15 秒内,Cloudflare 为其提供了防御。其他 Cloudflare 客户也自动受到保护,不受这个僵尸网络的影响,不需要采取任何行动。 The Crypto Launchpad 是为所有新的加密货币项目提供的一站式解决方案。它协助其客户从开发代币到上市和营销。CL是一个领先的机构,帮助其客户以低于官方的价格在世界顶级交易所上市其硬币/代币。 据报道,Cloudflare 有史以来遇到的最大攻击是在去年 8 月,当时一个僵尸网络进行了 1720 万 rps 的 DDoS 攻击,但这是用 HTTP 流量进行的,而在最新攻击中使用了 HTTPS 流量。Cloudflare 表示,使用 HTTPS 使攻击者和试图缓解攻击的受害者付出更多代价。 Cloudflare 指出,这次攻击主要来自数据中心,它注意到更多的攻击来自云计算 ISP,而不是住宅网络 ISP。这个僵尸网络涉及 6000 个独特的僵尸,来自世界各地的 112 个国家。托管机器人最多的国家包括印度尼西亚、俄罗斯、巴西、印度、哥伦比亚和美国。攻击来自 1300 多个网络,其中最主要的网络包括 Hetzner Online GmbH, Azteca Comunicaciones Colombia 和 OVH。     转自cnBeta,原文链接:https://www.cnbeta.com/articles/tech/1263411.htm 封面来源于网络,如有侵权请联系删除

NETSCOUT 系统公司2021《威胁情报报告》发布:DDoS 攻击亟需关注

NETSCOUT系统公司每两年发布一次的《威胁情报报告》的结果已经公布,报告强调了网络攻击对全球私营和公共组织以及政府造成的巨大影响。根据威胁情报报告,在2021年上半年,网络犯罪分子发动了大约540万次DDoS攻击,比2020年上半年增加了11%。此外,NETSCOUT的主动级别威胁分析系统安全工程和响应团队(ASERT)的数据预测指出,2021年将是另一个创纪录的一年,全球DDoS攻击将超过1100万次。 ASERT预计,攻击者层出不穷的攻击手段的长尾效应将持续下去,日益加剧网络安全危机,并将继续影响公共和私人组织。 在经历了Colonial Pipeline、JBS、Harris Federation、澳大利亚广播公司第九频道、CNA Financial以及其他几次备受瞩目的攻击之后,DDoS和其他网络安全攻击的影响已经在全球范围内显现。因此,各国政府正在引入新的项目和政策来防范攻击,而警备机构正以前所未有的合作努力来应对危机。 2021年上半年,网络犯罪分子武器化并利用了新的反射/放大DDoS攻击载体,使组织面临更大的风险。这种攻击向量暴增刺激了多向量DDoS攻击的增长,针对一个组织的一次攻击中部署了创纪录的31个攻击向量。 NETSCOUT 1H2021威胁情报报告的其他关键发现包括: 新的自适应DDoS攻击技术规避了传统的防御。通过改变他们的策略,网络犯罪分子的攻击可以绕过基于云计算和内部的静态DDoS防御,攻击商业银行和信用卡处理器。 连通性供应链受到越来越多攻击。攻击者希望造成最大附带损害,他们在重要的互联网组件上集中发力,包括DNS服务器、VPN集中器、服务和互联网交换,从而破坏了重要的网关。 网络犯罪分子将DDoS添加到他们的工具包中,以发起三重勒索活动。勒索软件能带来巨大利益,勒索者将DDoS加入他们的攻击方案,以加大对受害者和安全团队的压力。“三重勒索”将文件加密、数据盗窃、DDoS攻击结合在一起,使网络犯罪分子收到款项的几率增加。 DDoS攻击的最快速度同比增长16.17%。一名巴西互联网用户发起了攻击,采用DNS反射/放大、TCP ACK flood、TCP RST flood、TCP SYN/ACK反射/放大矢量技术,速度为675mpps。 最大规模的DDoS攻击为1.5 Tbps,同比增长169%。ASERT数据识别出该攻击针对一家德国ISP,部署了DNS反射/放大向量。与2020年上半年记录的任何一次攻击相比,此次攻击规模显著增加。 僵尸网络参与了大多的DDoS攻击。通过对全球范围内僵尸网络集群和高密度攻击源区域的跟踪,我们可以看到恶意攻击者如何利用这些僵尸网络参与了280多万次DDoS攻击。此外,知名的物联网僵尸网络Gafgyt和Mirai依然构成严重威胁,占DDoS攻击总数的一半以上。 NETSCOUT威胁情报主管理查德•哈梅尔表示:“网络犯罪分子利用疫情情况下的工作远程化,破坏连接供应链的重要组成部分,发起了数量空前的DDoS攻击,引起重度关注。”勒索软件团伙还使用了三重DDoS勒索战术。与此同时,Fancy Lazarus DDoS勒索活动日益猖狂,威胁多个行业组织,他们重点关注互联网服务提供商,特别是权威的DNS服务器。”   消息来源:TheFintechTimes,译者:Zoeppo; 本文由 HackerNews.cc 翻译整理,封面来源于网络; 转载请注明“转自 HackerNews.cc ” 并附上原文链接

亚马逊云服务在二月中旬挡下了 2.3 Tbps的 DDoS 攻击

亚马逊表示,其 AWS Shield 防火墙曾于今年 2 月中旬挡下了迄今为止最猛烈的分布式拒绝服务(DDoS)攻击。该公司在近日发布的《威胁纵览》(AWS Shield Threat Landscape)报告中进行了披露。与 2018 年 3 月记录的 1.7 Tbps 峰值相比,本次攻击的规模达到了创纪录的 2.3 Tbps 。 虽然没有提及客户的名称,但亚马逊透露本次攻击利用了被劫持的 CLDAP Web 服务器,该公司 AWS Shield 部门员工花了三天时间来应对威胁的升级。 CLDAP 全称为“无连接轻量级目录访问协议”,作为较早的 LDAP 协议的替代,其主要被用于连接、搜索和修改互联网上的共享目录。 自 2016 年底以来,该协议已被广泛应用于分布式拒绝服务攻击,因为 CLDAP 服务器会将 DDoS 流量放大到初始的 56~70 倍。 2018 年 3 月的时候,Netscout Arbor 挡下了当时创纪录的 1.7 Tbps DDoS 攻击,一个月前袭击 GitHub 的攻击流量也达到了 1.3 Tbps 。 这两起事件主要涉及互联网上暴露的 Memcached 服务器的滥用,当时这种攻击形式算是相当新颖,但很快被许多黑客和兜售 DDoS 服务的组织所盯上。 好消息是,得益于互联网服务提供商(ISP)、内容交付网络(CDN)和其它互联网基础设施企业的共同努力,现下的大规模 DDoS 攻击已变得相当罕见。 Link 11 在其 2020 年 1 季度报告中指出,其缓解的最大一次 DDoS 攻击的流量为 406 Gbps 。如果取平均值的话,今年 1 季度的单次 DDoS 攻击规模仅在 5 Gbps 左右。 同期 Cloudflare 应付的 DDoS 攻击峰值略超 550 Gbps,Akamai 今早公布的 2020 年 6 月首周的那起 DDoS 攻击,挡下的流量也才 1.44 Tbps 。 CloudFlare 表示,今年 1 季度的 DDoS 攻击中,有 92% 的流量低于 10 Gbps,其中 47% 甚至不到 500 Mbps 。     (稿源:cnBeta,封面源自网络。)

在维基百科遭遇 DDoS 攻击后 维基媒体宣布获 250 万美元资金支持

据外媒报道,上周五,维基百科在遭遇恶意DDOS攻击后在数个国家下线。维基媒体基金会之后证实了这一事件并开始着手调查。很快,维基百科在这些国家恢复正常。不过几日后该非营利组织仍未就这起网络攻击事件是否已经得到彻底解决做出证实。 现在,维基媒体宣布克雷格·纽马克慈善基金会(Craig Newmark Philanthropies)获得了250万美元的资金支持,这在时间点上是一个相当有趣的举动。据悉,这笔来自Craigslist创始人基金会的捐款则是为了帮助维基媒体保护其项目和志愿者免受网络威胁。 维基媒体基金会安全主管John Bennett就这笔投资的必要性发表了以下言论:“维基百科拥有数亿用户的十大网站的持续成功使其成为了破坏、黑客攻击和其他网络安全威胁的目标,这些威胁损害到了自由知识运动和社区。这就是为什么我们在问题出现之前就积极地与之斗争。这笔投资将使我们能进一步扩大我们的安全计划进而识别当前和未来的威胁、制定有效的对策,并改善我们的整体安全控制。” 这项慈善投资将有助于提供对该组织服务包括维基百科的安全访问。另外,该非营利组织还指出,这笔捐款可以更好地缓解上周发生的袭击事件。   (稿源:cnBeta,封面源自网络。)

维基百科遭遇 DDoS 攻击,NCSC 提醒其他公司加强防范

在维基百科遭遇 DDoS 攻击并停运后,NCSC(英国国家网络安全中心)敦促其他组织对 DoS 攻击组织采取应对措施。 根据维基媒体德国公司(Wikimedia Deutschland),大规模 DDoS 攻击导致维基百科的大多数服务器瘫痪,美国,欧洲,英国和中东地区的用户在 9 月 6 日和 9 月 7 日期间无法进入维基百科网站。 根据非政府组织 NetBlocks,维基百科的网站大约停机了 9 个小时,其中 DDoS 攻击的目标是美国和欧洲的维基媒体基础设施。   恢复正常运行 “今天,维基百科遭遇恶意攻击,导致部分国家的用户在相当一段时间内无法访问我们的网站。”  维基百科的非营利性基金会发表推特称,“攻击仍在持续。为了使用户可以正常访问我们的网站,我们的团队正在努力阻止攻击。” “在遭遇此次攻击后,维基媒体社区和维基媒体基金会已经创建了专门的系统和员工来定期监控和解决风险。我们会从问题中吸取经验,并且提高防范能力。” 维基媒体基金会称。 NSCC强调,为了更好地应对 DoS 攻击,企业应将其运行模式设置为可扩展的,以便在大量流量涌入网站时,基础设施可以自动核算并分配更多资源来容纳这些流量。   消息来源:BleepingComputer, 译者:r4938n,校审:吴烦恼 本文由 HackerNews.cc 翻译整理,封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接

安全研究人员警告 WS-Discovery 协议被被用于大规模 DDoS 攻击

早在今年五月,外媒就已经报道过 WS-Discovery 协议被滥用于发起 DDoS 攻击。为了防止被更多别有用心者利用,研究人员只能相对克制地不披露更多细节。然而最近一个月,滥用 WS-Discovery 协议发起的大规模 DDoS 攻击已经愈演愈烈,频度几乎达到了一周一次。作为一种多播协议,该协议原本用于在本地网络上“发现”通过特定协议或接口进行通信的附近其它设备。 (题图 via ZDNet) 鉴于该协议通过 SOAP 消息传递格式来支持设备间的发现和通信,并且使用了 UDP 数据包,因此有时也被称作 SOAP-over-UDP 。 尽管普通人不太熟悉,但 WS-Discovery 已被 ONVIF 所采用。作为一个行业组织,ONVIF 致力于促进网络产品互操作性的标准化接口。 其成员包括 Axis、Sony、Bosch 等业内巨头,为 ONVIF 的标准化奠定了基础。作为即插即用互操作性的一部分,该组织从 2010 年中期开始,在标准中推荐用于设备发现的 WS-Discovery 协议。 作为标准持续化工作的一部分,WS-Discovery 协议已被用到一系列产品上,涵盖 IP 摄像头、打印机、家用电器、DVR 等各种类别。 根据互联网搜索引擎 BinaryEdge 检索结果,目前有近 63 万台基于 ONVIF WS-Discovery 发现协议的设备在线,这让它们处于极大的风险之中。 问题在于这是一个基于 UDP 的协议,意味着数据包目的地可被欺骗。攻击者能够伪造返回 IP 地址,将 UDP 数据包发送到设备的 WS-Discovery 服务端。 当设备传递回复时,就会将数据包发送到被篡改的 IP 地址,使得攻击者能够在 WS-Discovery 设备上反弹流量,将之瞄向所需的 DDoS 攻击目标。 其次,WS-Discovery 的响应,会比初始输入大许多倍。基于这项原理的 DDoS 攻击,会对受害者造成极大的伤害。研究人员称之为 DDoS 放大因子。 2019 年 5 月数据(图自:Tucker Preston) ZDNet 指出,该协议已在世界各地的 DDoS 攻击中被观察到,放大倍数高达 300~500 。相比之下,其它基于 UDP 协议的攻击,平均也只有 10 倍。 网络安全公司 ZeroBS GmbH 一直在追踪本月发生的一起事件,庆幸的是,其发现超大倍数的 WS-Discovery DDoS 攻击并非常态。 即便如此,2018 年末在 GitHub 上发布的用于启动 WS-Discovery DDoS 攻击的概念验证脚本,还是声称可实现 70~150 的放大倍数。 (图自:ZeroBS GmbH) 今年 5 月的时候,安全研究人员 Tucker Preston 首次公布了基于滥用 WS-Discovery 协议的大规模攻击事件。通过对 130 起事件的观察,可知其中一些攻击的规模超过了 350 Gbps 。 接下来几个月的攻击有所减少,但在 8 月份又再次升级。与第一波攻击不同的是,这次的攻击要小得多,很可能是不怎么了解该协议的普通攻击者所发起的。 放大系数不超过 10,最高只冲到 40 Gbps,且只有 5000 台设备(主要是 IP 摄像头和打印机)被纳入发起 WS-Discovery DDoS 攻击的僵尸网络中。   (稿源:cnBeta,封面源自网络。)

黑客因对 Daybreak Game 服务器发起 DDoS 攻击而被判入狱两年

据外媒MSPoweruser报道,曾于2013年年底和2014年年初对游戏开发商Daybreak Game Company(前索尼在线娱乐公司)发起DDoS攻击的Austin Thompson被判入狱两年,此外他需要向该公司支付至少95000美元的赔偿金。 23岁 Thompson于2018年11月对攻击事件认罪。他承认自己是黑客组织DerpTrolling的一员,并被指控造成“受保护计算机受损,触犯了美国联邦法律18USC§1030(a)(5)(A)”。 官方新闻发布称Thompson“通常使用Twitter帐户@DerpTrolling宣布即将发起攻击,然后发布”scalps“(截图或其他照片显示受害者的服务器已经被攻击)”。 虽然汤普森目前保释在外,但他已被命令于8月23日向当局投降,以便开始服刑。该最新最高可判处十年监禁和25万美元的罚款。 Polygon报告称,美国和芬兰的检察官也成功地确认了Lizard Squad的两名成员的定罪,Lizard Squad也在2014年对Daybreak Game Company进行了DDoS攻击。   (稿源:cnBeta,封面源自网络。)