就其本质而言,DDoS Booter 专门针对恶意目的而设计,是非法服务。但是,其底层技术类似于 IP Stresser 中使用的技术,可能有合法应用。例如,一些企业可能会使用经过授权的压力测试服务来评估其网络针对高流量的恢复能力。这些合法服务是在征得同意的情况进行的,并非旨在损害或中断服务。
按需 DDoS 攻击
分布式拒绝服务 (DDoS) Booter 是由网络犯罪分子提供的一种按需 IP Stresser 服务。DDoS Booter 本质上是软件即服务 (SaaS) 产品,任何人都可通过它对目标网络、网站或服务器发起拒绝服务攻击。 根据 FBI 的研究,“booter”一词最初由在线游戏玩家用于在输掉比赛后将对手非难下线或“踢”下线。
准确来说,什么是 DDoS 攻击?
什么是 IP Stresser?
IP Stresser 是一项服务,它通过模拟 DDoS 攻击来执行压力测试,以评估网络或服务器的恢复能力。当用于合法目的时,IP Stresser 可有助于 IT 团队确定系统应对攻击带来的额外负载或压力的能力。由于 IP Stresser 服务本身是合法的,因此网络犯罪分子通常会将其 DDoS Booter 服务伪装成在线提供的 IP Stresser 服务。
DDoS Booter 的工作原理是什么?
由于提供对 IP Stresser 的非法使用,因此 DDoS Booter 成为了租用型 DDoS 服务,在发起 网络攻击方面拥有很少经验甚至是没有经验的个人都可以在暗网上租用这些服务。与建立由数千乃至数百万台感染了恶意软件的设备所组成的僵尸网络相比,租用 DDoS Booter 的费用便宜得令人难以置信。这些服务可能每个月的费用不到 25 美元,通常可以通过 PayPal 或加密货币支付,并且一些 Stresser 网站还提供“试用”,让用户能够使用选定的攻击规模、持续时间和媒介等有限功能。Booter 网站可能会将其服务打包为提供教程和用户支持的订阅服务。出于此原因,DDoS Booter 在接受训练的网络犯罪分子中很受欢迎,这些刚开始探索 网络犯罪运作方式的人被称为“script kiddies(脚本小子)”或“skiddies”。此外,一些经验丰富的黑客会使用 DDoS 攻击作为掩护或入侵点,以发起更具破坏性的攻击来获取对网络的访问权限,进而窃取数据或钱财,他们也会使用 DDoS Booter。
DDoS Booter 与僵尸网络的区别是什么?
僵尸网络由众多感染了恶意软件或遭到入侵的设备组成,这些设备可被用于发起 DDoS 攻击或造成其他类型的网络威胁。DDoS Booter 提供 DDoS 攻击作为一种按需服务,它们使用僵尸网络或攻击者自己的功能更强大的服务器场。
DDoS Booter 可发起哪些类型的攻击?
黑客可以租用 Booter 来执行各种 DDoS 攻击。
- 容量耗尽型攻击。这些攻击旨在向目标发送大量流量来消耗其可用带宽,从而耗尽其资源并导致网络或网站不可用。
- TCP Out-of-State(即,状态表耗尽)攻击。这些攻击会利用 TCP(传输控制协议)的有状态性质来耗尽可用连接并消耗系统或网络资源,导致目标的资源不堪重负。
- 应用层攻击。其中包括 Slowloris 攻击和其他 HTTP 泛洪攻击,这些攻击会耗尽服务器或 API 资源。DNS 伪随机子域 (PRSD) 攻击是一种应用程序攻击,但它侧重于使用 DNS 协议(而那些使用 HTTP 协议的攻击则是更为传统的应用程序攻击)。
- 碎片攻击。这些攻击会发送必须重新组装的碎片 IP 数据包,不仅消耗目标的大量资源,还会耗尽其处理其他请求的能力。
- DNS 反射或放大攻击。这些攻击通过利用 DNS 服务器中的漏洞来加强攻击者的攻击效果。攻击者向 DNS 服务器发送请求,这些请求提示包含大量信息的响应,从而让目标 IP 地址不堪重负。
- 基于 IoT 的攻击。攻击者可以利用物联网 (IoT) 设备中的漏洞来建立僵尸网络,以发起能够产生大量流量的 DDoS 攻击。
DDoS Booter 是否违法?
提供或租用 DDoS Booter 是违法行为。包括美国司法部 (DOJ) 和国际执法机构在内的执法部门正在积极捣毁 Booter 网站并逮捕提供和使用它们(例如,Operation PowerOFF )的人员。
防范 DDoS Booter 的最佳措施是什么?
各企业可以利用抵御 DDoS 攻击的多层次网络安全措施来防范 DDoS Booter 服务。实施 DDoS 防护的最佳实践包括:
- 使用 DDoS 抵御服务。可靠的 DDoS 抵御服务提供商可帮助检测和过滤掉 DDoS 攻击期间的恶意流量,并在防止这些流量到达服务器的同时确保合法用户仍然能够访问网络或网站。云端 DDoS 净化服务是一种常用的策略。
- 监控流量是否存在异常。用于检测和分析流量模式的工具可有助于识别正常流量并检测出可能包含在 DDoS 攻击中的异常流量。
- 部署速率限制。速率限制工具能够限制来自单个 IP 地址的请求数量或拦截来自已知恶意 IP 地址的流量,从而最大限度降低 DDoS 攻击的影响。
- 提高容量。增加带宽、提高负载均衡能力以及增加冗余系统可有助于吸收 DDoS 攻击期间激增的流量。
- 使用内容交付网络 (CDN)。 CDN 可有助于在遍布各个地方的多个服务器和数据中心之间分配流量,同时提供可以吸收和抵御 DDoS 攻击的附加网络容量。
- 部署防火墙和 IPS。使用最新威胁情报进行更新的防火墙和入侵防护系统 (IPS) 能够过滤掉恶意流量并阻止可疑的 IP 地址。
常见问题
DDoS Booter 对所有规模的企业都是一个重大威胁,但对中小型企业 (SME) 的影响可能会特别严重。与通常拥有强大网络安全基础架构和专门 IT 团队的大型企业不同,中小型企业可能缺少实施广泛保护所需的资源。这导致他们更容易受到 DDoS 攻击,这些攻击会中断其在线服务、侵蚀客户信任并导致重大经济损失。对中小型企业来说,投资于符合其特定需求和资源的可扩展 DDoS 防护解决方案至关重要。
由于 DDoS 攻击的分布式性质,追踪这些攻击的实施者颇具挑战性。DDoS Booter 使用由众多遭到入侵的设备组成的网络,导致难以准确找到原始来源。但是,利用先进的监控和取证分析,有时也可以确定指向攻击者的模式或线索。执法机构和网络安全公司不断致力于改进追踪方法,以追究攻击者的责任。
DDoS Booter 攻击的长期影响可能不限于直接的运营中断。这些攻击会损害公司的声誉,导致失去客户信任并且可能会导致业务下滑。从此类攻击中恢复往往需要在安全升级方面进行大量投资,而且可能涉及法律和监管问题,尤其是在客户数据遭到泄露的情况下更是如此。因此,有必要采用主动措施和强有力的应对计划来减轻这些长期风险。
IoT 设备的激增对 DDoS Booter 攻击形势产生了重大影响。很多 IoT 设备都缺乏足够的安全措施,很容易被纳入到 DDoS 攻击中使用的僵尸网络中。这导致 DDoS 攻击的规模和频率增加。这凸显出提高 IoT 设备安全标准并增强用户的设备保护意识的必要性。
客户为什么选择 Akamai
Akamai 支持并保护网络生活。全球各大优秀公司纷纷选择 Akamai 来打造并提供安全的数字化体验,为数十亿人每天的生活、工作和娱乐提供助力。 Akamai Connected Cloud是一个大规模分布式边缘和 云平台,让应用程序和体验更靠近用户,帮助用户远离威胁。