CTI論壇(ctiforum)2月22日消息（記者 李文杰): 2016年1月2日，BBC遭受了針對其所有應用的網(wǎng)絡攻擊。此次攻擊導致了至少3個小時的應用不可用。此次DDoS攻擊超過600Gbps--這是有史以來規(guī)模最大的一次DDoS攻擊。NewWorldHackers黑客組織聲稱對此次攻擊負責，該組織中的成員還發(fā)表了多篇文章，詳述此次事件。其中一個主要觀點就是，該黑客組織成功避開了亞馬遜的安全措施，利用管理者權(quán)限發(fā)起了攻擊。

　　亞馬遜擁有巨大的供其用戶使用的基礎架構(gòu)資源，其存在的資源被濫用風險（如發(fā)起大型DDoS攻擊）一直以來都在被大家討論。

　　該組織是如何利用亞馬遜的基礎架構(gòu)生成高流量攻擊的？

　　亞馬遜的AWS安全白皮書中指出，亞馬遜已采用了多種技術來防止此類情況的發(fā)生。我們看一下幾個重要的技術及其對生成大型攻擊意味著什么：

　　防欺詐：亞馬遜彈性計算云(EC2)實例不能發(fā)送虛假的網(wǎng)絡流量。由AWS控制的托管防火墻基礎架構(gòu)不允許實例發(fā)送源IP或MAC地址不屬于自己地址范圍的的數(shù)據(jù)流。因此可以防御幾乎所有的大流量網(wǎng)絡層攻擊，如：欺詐洪水、反射和放大式洪水。

　　網(wǎng)絡監(jiān)控及防護措施：AWS采用了各種各樣的自動化監(jiān)控系統(tǒng)，可以提供很高的服務性能和可用性。AWS監(jiān)控工具可以在入口和出口通信點處檢測不尋常的或未經(jīng)授權(quán)的活動。這些工具可以監(jiān)控服務器和網(wǎng)絡的使用情況、端口掃描活動、應用使用情況和未經(jīng)授權(quán)的入侵嘗試。這些工具還可以設置針對于不尋�；顒拥淖远�義性能指標閾值。因此，任何在網(wǎng)絡中流動的不尋常流量都可以被檢測出來，并引發(fā)相關節(jié)點的關閉。

　　DDoS防護措施：部署了專有的防護系統(tǒng)。盡管關于系統(tǒng)的詳細描述沒有披露出來，但仍有一些用于保護這些系統(tǒng)的監(jiān)控和自動化防護措施。

　　濫用報告：亞馬遜的客戶可以向亞馬遜報告賬戶的濫用情況。亞馬遜調(diào)查團隊會研究每一份報告，并采取相應的行動。因此，一般可以認為，當一個攻擊被報告后，亞馬遜應該會針對攻擊采取及時的行動。

　　其它措施：部署了訪問控制、防掃描、加密和隔離措施，以防范此類情況的出現(xiàn)。

　　攻擊確實是由亞馬遜發(fā)起的可能性有多大呢？雖然我們已經(jīng)意識到，發(fā)起大流量攻擊是一個很具有挑戰(zhàn)性的任務，但我們不妨換個方法，如果攻擊容量不是那么高會怎樣呢？如果攻擊更復雜、更巧妙又會怎樣呢？

　　動態(tài)IP攻擊的目標是應用層。他們利用真實的IP地址完成與服務器之間的三次握手，也能夠規(guī)避諸如JavaScript質(zhì)詢等緩解技術。通過恰當?shù)姆椒ǚ职l(fā)這類攻擊，攻擊者能夠成功做到讓檢測措施幾乎無法區(qū)分攻擊者和合法用戶。

　　攻擊者會采用各種各樣的技術來規(guī)避常見的防御機制。無頭瀏覽器的使用、規(guī)避技術、加密和特定的模仿用戶行為都是這些技術的范例。當這樣的攻擊分布在海量源中時，每個源的速率就會變得很低，這使得應用速率限制機制也無法將其檢測出來。由于在不影響正常操作的前提下公有云不易被添加到訪問列表中，因此，如果這樣的攻擊源自于主要的公有云基礎架構(gòu)，就會給緩解系統(tǒng)帶來更多挑戰(zhàn)。

　　防欺詐：應用攻擊需要完整的會話，因此不會出現(xiàn)相關的IP欺詐，而且會創(chuàng)建真正的會話。然而，利用亞馬遜提供的地址范圍，IP可以頻繁改變。

　　網(wǎng)絡監(jiān)控及防護措施：復雜攻擊會在每個源節(jié)點采用低帶寬，但會進行高頻率分發(fā)來隱藏攻擊。這樣的話，每個信息源看起來都是合法的。

　　DDoS防護措施：低流量攻擊可以躲過任何監(jiān)控措施的檢測，只可能在最終目的地位置被發(fā)現(xiàn)。事實上，即使在最終目的地位置也還是難于進行朋友和敵人的區(qū)分。

　　濫用報告：為了報告濫用情況，首先需要確認的是被濫用的信息源，并將這些上報給亞馬遜。當信息源表現(xiàn)的像普通用戶一樣時，這幾乎是一個不可能完成的任務。

　　其它措施：當僅使用在通常執(zhí)行策略內(nèi)的可接受行為機制時，仍然可以生成帶有上述屬性但仍在合理使用標準內(nèi)的攻擊。

　　總而言之，考慮到現(xiàn)有的安全措施，利用亞馬遜或其它任何公有云服務生成攻擊并不容易實現(xiàn)，但同時我們也知道，多數(shù)安全措施都是為了防御傳統(tǒng)的、與網(wǎng)絡相關的DDoS攻擊類型。我們相信，越來越多的攻擊者正在快速掌握高復雜度攻擊方式，這種高復雜度攻擊變得越來越難于探測和控制，這就意味著毀滅性結(jié)果的風險越來越高。

　　Radware(NASDAQ:RDWR)是為虛擬數(shù)據(jù)中心和云數(shù)據(jù)中心提供應用交付和應用安全解決方案的全球領導者。Radware屢獲殊榮的解決方案為關鍵業(yè)務應用提供充分的彈性、最大的IT效率和完整的業(yè)務靈敏性。Radware解決方案幫助全球上萬家企業(yè)和運營商快速應對市場挑戰(zhàn)，保持業(yè)務的連續(xù)性，在實現(xiàn)最高生產(chǎn)效率的同時有效降低成本。