随着攻击者试图瘫痪或勒索特定系统或设备,ddos 攻击的数量也在不断增加。 这些攻击正在发展,并且随着攻击中使用的方法变得更加先进,许多以前不易受到 ddos 攻击的设备已经变得易受攻击。
一、macbook 系统变得易受攻击
最近的发现表明,用于租用服务的 ddos 正在攻击 macos 系统,用以发起各种 ddos 攻击。 这些服务,也被称为 ddos 引导程序,它们利用在 macos 上运行并启用了 apple 远程桌面(ard)功能的系统。此功能使 macos 计算机可以通过 internet 访问。当计算机不在本地网络中并且不受任何类型的防火墙保护时,就会发生这种情况。
进行ddos攻击的黑客针对的是 apple 远程管理服务(arms),这是 ard 功能的一部分。一旦 macos 用户在其设备上启用了 ard 功能,arms 就会在端口 3283 上运行一项服务。在该端口上运行该服务可使该设备侦听发送给它的,用于远程 macbook 的任何命令。
二、ddos 中的放大攻击
ddos 攻击有多种类型,而放大攻击就是通过这种方式进行攻击的一种方法。当攻击者从自己和受害者之间的中间点跳转流量时,就会发生放大攻击。流量从中间点跳转,然后中继到连接受害者计算机的服务器。在影响 macos 的攻击中,远程桌面充当从中流量跳转的中间点。
对于任何可能遭受 ddos 攻击的协议,都有一个危险级别,研究人员将其称为放大因子。放大因子是指数据包从目标反弹之前和之后反弹之间的比率差。对于大多数 ddos 攻击,放大倍数介于 5 到 10 之间,并且放大倍数越高,攻击越强大。
来自 netscout 的研究人员发现,macos 系统遭受的攻击放大系数 为 35.5。 也有类似的高放大倍数的攻击,有些甚至有更高的数字,但没有一个像目前的攻击这样稳定。 这些具有高放大效应的攻击对于攻击者来说通常是不稳定的,这使得它们不可能完成攻击者想要完成的任务。
在这些 macos 攻击的高放大使他们极其危险。攻击者通常需要 dns 和 ntp 才能使其攻击有效。 他们利用大量服务器的可用性来放大他们的攻击。可供攻击者使用的服务器数量越多,攻击增益就可能变得越大。 在 macos 攻击的情况下,已经存在一个高放大倍数协议,并且该协议可在多个主机上使用。这增加了攻击者可以利用的攻击范围。
三、成千上万的 macbook 易受攻击
关于可能利用 arms 进行 ddos 放大的发现的主要来源尚不清楚,但是众所周知,这些攻击已在现实世界中变得非常普遍。netscout 在 6 月的第二个星期发现了第一个这样的攻击,该公司表示此攻击达到了 70 gbps 的峰值。这是一种强大的攻击,如果其余的 arms 攻击都像这样,那么为抵御这些攻击所做的工作就很少。
binaryedge 的统计数据显示,近 40,000 台启用了远程桌面功能的 macbook 容易受到 ddos 攻击。上面提到的 macos 系统是可以通过 internet 访问的系统。这意味着攻击者可以将所有这些 macos 系统用作中介点,以抵消其执行 ddos 攻击时的不良流量。
来自 binaryedge 的统计数据显示,有近 4 万台 macbook 启用了远程桌面功能,因此很容易受到 ddos 攻击。 上面提到,macos 系统是可以通过 internet 访问的系统。这意味着攻击者可以将所有这些 macos 系统都用作中介点,在他们执行 ddos 攻击时将他们的攻击流量进行放大。