Radware应急响应团队(ERT)有效制止循环CC(Circle-CC)DDoS攻击,这是一种新型CC DDoS攻击使得被攻击Web服务器无法利用其缓存机制而进一步扩大攻击效果
近日,韩国40多家政府及交易网站纷纷遭到大量拒绝式服务攻击,其中涉及韩国总统府、外交部、国家情报局、驻韩美国大使馆等机构和一些重要的金融网站。韩国通讯委员会(KCC)表示,在监测到40多家重要机构遭受DDoS攻击之后,韩国政府已经随即发布了“网络攻击危险警报”。
这次攻击是包含15,000至21,000台受远程控制的傀儡计算机组成的僵尸网络所发起,从多个层面发起攻击,包括网络淹没攻击、应用滥用攻击(高速SYN淹没攻击、TCP连接淹没攻击以及HTTP-GET淹没攻击),目的在于消耗web 服务器及TCP资源,从而无法为合法用户服务。
攻击者散布了一个名为NetBot的恶意代码,该代码在过去几天里被用于产生各种攻击。Radware ERT通过扫描一些被感染的傀儡机已经详细分析了该攻击工具。NetBot最初源于商业上的一种压力测试工具,但自从公开发布以来,就以一种强有力的DDoS攻击工具的形式出现。近来,NetBot版本已经能够远程控制被感染的傀儡机。
攻击分析显示:NetBot的攻击特点被称作Circle-CC。Circle-CC是一种针对应用层的DoS攻击,通过系统化地跨页面扫描站点淹没受感染的网站。这种针对应用层的DoS攻击能够阻止目标服务器正常使用缓存机制,从而进一步扩大不良影响。最重要的是,利用多页面进行的攻击是很难被标准的网络安全方案所检测的,这是因为网络安全方案通常是基于静态的URL请求淹没检测机制。
为了完全防止此类多层次攻击,包括如网络层DDoS攻击、应用层淹没攻击及直接利用服务器应用中的特定漏洞发起的先进DoS攻击,用户们需要部署多种防御技术,包括入侵防御系统(IPS)、DoS保护以及网络行为分析工具。这些安全技术与应急响应团队协同工作是抵御这些新兴的多层次攻击的唯一有效方式。为了防御这类DoS攻击,应急响应团队是在实际环境中经受过攻击缓解考验的,而且还能够分析各种攻击工具,找到阻止这些攻击工具的方法(即借助一种复杂的过滤措施使攻击工具无效)。
Radware的韩国用户,例如一些领先的电子商务网站,利用Radware的安全技术及其 ERT的独特能力为阻止攻击工具形成“counterattack(反攻)”,已有效抵御了近期攻击。
