本周披露的两项创纪录的DDoS突显了它们日益增长的威胁

分布式拒绝服务攻击--犯罪分子用来扰乱或完全关闭网站和服务的垃圾流量洪流--长期以来一直是互联网的祸害，经常会导致新闻机构和软件库瘫痪，在某些情况下，还会让互联网上的大部分内容瘫痪数小时。现在有证据表明，随着过去一周曝光的两起破纪录的攻击事件，通常被称为DDoS的DDoS正在变得更加强大。

DDoS运营商侵入数千、数十万，在某些情况下甚至数百万连接到互联网的设备，并利用它们的带宽和处理能力。攻击者利用这些非法所得资源，用大量数据包轰炸网站，目的是摧毁目标。更高级的攻击者通过将来自第三方服务的恶意流量反弹来扩大他们的火力，在某些情况下，这些服务可以将其放大到5.1万倍，这一壮举至少在理论上允许一台上传能力为100兆比特每秒的家用计算机提供一度难以想象的5万亿比特每秒的流量。

这些类型的DDoS称为体积攻击。其目标是使用分布在互联网上的机器向电路发送超出其处理能力数量级的通信量。第二类攻击称为每秒数据包数集中攻击，迫使机器用超出其处理能力的数据包轰炸目标数据中心内的网络设备或应用程序。这两种攻击的目的是相同的。网络或处理能力用完后，合法用户将无法再访问目标的资源，从而导致拒绝服务。

在过去的二十年里，DDoS攻击变得越来越强大。2000年，一名15岁的加拿大人用它们关闭了雅虎ETrade和Buy.com，单位为每秒数百兆比特，大致相当于今天的许多家庭宽带连接，但足以用足够的流量堵塞网站的管道，完全阻止合法连接。

到2011年，攻击者已将DDoS增加到每秒数百千兆位。2013年、2016年和2018年的创纪录攻击分别达到300Gbps、1.1Tabits/秒和1.7Tbps。虽然不太常见，但每秒数据包数攻击也遵循类似的上升轨迹。

向上的竞赛没有显示出放缓的迹象。上周，亚马逊报告称，其AWS Shield DDoS缓解服务与2.3Tbps的攻击正面交锋，比2018年的纪录增加了35%。与此同时，网络提供商Akamai周四表示，其Prolexic服务击退了每秒产生8.09亿个数据包的DDoS。这比竞争对手缓解服务Netscout Arbor的首席工程师罗兰·多宾斯(Roland Dobbins)表示，这比他的公司处理的600 Mbps DDoS之前的最高纪录增加了35%。

多宾斯告诉我：“由于攻击者的各种金融、意识形态和社会动机，我们预计DDoS攻击载体领域将继续创新。”“DDoS攻击允许攻击者对预定攻击目标以及未参与攻击的旁观者产生极不成比例的负面影响。”

Akamai表示，这次攻击击中了一家未具名的欧洲银行，值得注意的是攻击速度如此之快。如下图所示，攻击者只用了不到3分钟就释放了809 Mpps的峰值。

DDoSers最近偶然发现的一项创新是利用运行CLDAP(无连接轻量级目录访问协议)的错误配置的服务器。作为LDAP标准的Microsoft派生，该机制使用用户数据报协议数据包从Microsoft服务器查询和检索数据。

虽然CLDAP应该只能从网络内部访问，但Dobbins说，Netscout已经确定了大约33万台服务器，这些服务器的机制暴露在整个互联网上。袭击者抓住了这一大规模失误。通过向配置错误的服务器发送带有欺骗IP地址的CLDAP请求，服务器会在不知不觉中用大50倍或更多的响应轰炸目标。

Akamai负责全球安全业务的副总裁罗杰·巴兰科(Roger Barranco)说，“往往是管理上的疏忽导致了这种攻击的存在。”他补充说，锁定389等网络端口并安装补丁通常可以防止服务器以这种方式被滥用。

在过去，DDoSer滥用运行其他被错误配置的广泛使用协议的服务器。当设置不正确时，用于加快网站和网络速度的数据库缓存系统Memcached可以将DDoS放大51,000倍，这一创新推动了2018年1.7Tbps的创纪录。四年前，攻击者滥用了网络时间协议，服务器依靠该协议在互联网上保持时钟同步。这项技术将垃圾流量放大了约19倍，导致2014年的DDoS导致英雄联盟、艺电和其他在线游戏服务的服务器瘫痪。

通常，当广泛使用的协议或服务的错误配置被集体滥用时，互联网监管机构会敦促管理员清理它们。当管理员最终这么做时，攻击者会找到新的方法来增加他们的火力。这个循环还在继续。

除了掌握放大方法之外，DDoS规模的不断扩大也是攻击者控制了数量不断增加的设备的结果。虽然Windows和后来的Linux计算机曾经是向目标发送垃圾流量的僵尸网络的唯一统治者，但如雨后春笋般涌现的路由器、联网摄像头和其他所谓的物联网设备现在也成为了活跃的参与者。

在周四的报告中，Akamai表示，周末用于交付创纪录的8.09亿包/秒的DDoS的IP地址中，96%以前从未被观察到。越来越多的受损物联网设备可能会推动这一增长。

最常见的DDoS目标是在线游戏玩家及其使用的公司、平台和宽带ISP。游戏玩家之间的竞争是一个动机。另一个目标是扰乱经常在游戏中下注的大笔资金流动。

金融机构、政府机构、政治倡导组织和零售商也经常成为目标，通常是受意识形态驱使的黑客活动家。DDoSer有时会罢工，这样他们就可以要求赎金来阻止攻击。其他时候，DDoSers的攻击是出于卑鄙。

预期的目标并不是唯一遭受DDoS不利影响的人。一度难以想象的数据风暴可能会使ISP对等连接、DNS服务器和其他基础设施不堪重负，而日常人们和企业购物、发送电子邮件和完成其他重要任务都依赖这些基础设施。

多宾斯说：“DDoS攻击的附带损害足迹往往远远大于对预定目标的影响。”“可以说，与这些攻击的实际目标相比，经常受到DDoS攻击附带损害的不参与的个人和组织的活动受到干扰的人和组织要多得多。”