圖片來源: 

維基共享資源;作者:At.morey.tota

隨著全球阻斷式服務(DDoS)攻擊的頻率與次數不斷增加,駭客要求被駭業者支付贖金以停止DDoS攻擊的勒索案例也愈來愈多,即使多數的資安專家皆建議業者不要妥協,但本周程式碼代管網站Code Spaces因遭攻擊而結束營運的事件卻佈下了陰霾。

根據Arbor Networks的2014年全球基礎結構安全報告,2013年最大一次的DDoS攻擊規模是先前紀錄的3倍,攻擊流量達到309Gbps,而超過20Gbps的攻擊次數則是2012年的8倍。Black Lotus則在今年第一季的DDoS研究報告中指出,DDoS攻擊不但頻率增高,而且規模愈來愈大,同時也愈趨精細。

↓ Arbor Networks的ATLAS監控報告顯示,DDoS攻擊的規模越來越大。圖為2009至今的趨勢。

其實有不少業者坦承經常遭受DDoS攻擊,但多半都能自行解決,然而,最近浮上檯面的案例都是因駭客成功擊潰了網站伺服器,進而傳出勒索事件。

早在去年就有媒體揭露此類的攻擊勒索趨勢。專門收藏言論自由、密碼,或國家安全等文件的數位圖書館Cryptome在去年6月就曾收到DDoS攻擊的勒索信件,駭客要求Cryptome支付1個比特幣(Bitcoin),否則就要針對該站展開攻擊。今年2月線上專案管理軟體業者Basecamp也傳出被勒索。3月社交網站Meetup亦遭受300美元的攻擊勒索。RSS服務供應商Feedly亦於本月面臨多次的勒索攻擊。

事實上,目前曝光的都是未實際支付贖金的案例,並無任何研究報告顯示遭到DDoS攻擊勒索的業者比例,或是業者選擇支出贖金的比例,也無業者所支付的平均金額。這也許是因為業者通常不願意透露自己屈服於駭客的威脅,而使得相關數據付之闕如。

業者最想問的是,到底要不要支付贖金?或是支付贖金究竟有沒有效?如同Meetup所說的,他們擔心駭客要求更高的贖金,而不少資安專家也建議業者別屈服。PhishLabs防禦情報總監Don Jackson即認為,當駭客意識到某些業者不會反擊時,這些業者就會成為經常性的攻擊目標,他建議業者應盡一切努力恢復網站並避免受到影響,但就是不能支付贖金。Arbor Networks安全研究總監Dan Holden亦說,支付贖金只能一時遠離痛苦,但贖金定會持續上揚,長期來看是不值得的。

真正能夠扼止DDoS攻擊所需支付的贖金可能遠高於已曝光的案例。InfoSec Institute指出,著眼於贖金的駭客經常相準賭博網站,特別是在各種大型運動賽事期間,諸如世足賽、NBA決賽或四大網球公開賽等,駭客對這類網站通常提出4萬~6萬美元的贖金要求。

Black Lotus警告,DDoS攻擊有逐漸轉為分散式反射阻斷式服務攻擊(distributed reflection denial of service,DrDoS)的情況,駭客除了藉以躲避追蹤外,還放大攻擊能量,預估DrDoS在未來的12~18個月的攻擊規模將愈來愈大,攻擊流量可能突破800Gbps。

雖然DDoS攻擊逐漸增加,然而DDoS防禦工具及服務的價格亦日漸下滑,專家認為,防禦DDoS攻擊已成為網路時代的業者必備的能力。(編譯/陳曉莉)

熱門新聞

Advertisement