本APNIC文摘原標題為DDoS hide and seek: on the effectiveness of a booter service takedown,由德國商業網際網路交換中心(DE-CIX)研究與開發團隊的Daniel Kopp撰文。
網路已是現代社會不可或缺的關鍵元素,而網路攻擊亦無可避免成為現代人的日常課題。常見的攻擊如分散式阻斷服務攻擊(Distributed Denial of Service,DDoS),甚至出現大量「代理攻擊」服務網站,只要付費成為會員,就可利用這些網站的「啟動器」(booter)服務發動DDoS攻擊。
作者及合作團隊透過親身體驗分析市面上的代理攻擊服務樣態,亦檢視2018年美國聯邦調查局(Federal Bureau of Investigation,FBI)下架15個DDoS代理攻擊網站的實際效果。本研究除了於今(2020)年RIPE 80發表外,完整研究論文亦於計算機協會(Association for Computing Machinery,ACM)的2019年網際網路量測會議(Internet Measurement Conference,IMC)發表。
為此研究,作者團隊註冊購買市面上的DDoS攻擊代理服務,並利用該服務攻擊自身位於DE-CIX的網際網路基礎建設。研究團隊不僅在4個不同的攻擊代理服務網站購買服務,更不惜以10倍高價購入VIP服務;業者宣稱VIP服務的DDoS服務攻擊訊務頻率高達每秒80-100Gb,遠高於非VIP的每秒8-12Gb,而作者團隊也親身驗證此言不虛。
在親自購買並體驗被攻擊的滋味後,研究團隊發現VIP及非VIP代理攻擊服務利用的是同一組反射器(reflector)。換句話說,VIP的高頻率攻擊僅來自更高的封包傳送率,與放大器無關。研究團隊也無法透過DDoS攻擊使用的放大器,找出攻擊背後的代理攻擊服務網站。
FBI於2018年12月查封了15個代理攻擊服務網站的網域。同年間,歐洲刑警組織(Europool)也查封多筆類似網站的域名。但這些來自執法機關的動作,究竟是否有效減少了DDoS攻擊?
根據作者團隊研究結果,執法機關的查封沒有任何顯著成效。主要是因為執法單位查封的僅是代理攻擊服務的入口網站,而業者真正用來發動攻擊的反射器和放大器域名都仍完好存在於網際網路。換句話說,業者僅須重新註冊用來招攬顧客和說明服務費用的網站,就可以無痛重起爐灶。
作者最後說明,此研究之目的是提供更清楚、現實的網路威脅概況,希望執法單位認知目前取締行動的不足。
*台灣網路資訊中心(TWNIC)與亞太網路資訊中心(APNIC)合作,定期精選APNIC Blog文章翻譯摘要,提供中心部落格讀者了解目前亞太地區網路發展之最新趨勢。原文標題為DDoS hide and seek: on the effectiveness of a booter service takedown。
圖片來源:APNIC網站
