翻译:qqwe_01
稿费:200RMB
投稿方式:发送邮件至linwei#360.cn,或登陆网页版在线投稿
前言
分布式拒绝服务(DDoS)攻击是众多网络犯罪手段之一。这种攻击背后动机各异,从网络流氓行为到敲诈勒索不尽相同。许多情况下犯罪集团用DDOS攻击威胁受害者,让他们支付5个比特币(超过5000美元)。司空见惯地,犯罪集团使用DDoS攻击来分散IT人员的注意力,同时执行数据窃取或恶意软件注入等其他网络犯罪行为。
几乎任何人都可能成为DDoS攻击的受害者,因为这种攻击相对便宜且易于组织,如果没有可靠的保护,攻击将非常有效。基于从公开途径获得的数据(例如,在网络论坛或Tor中组织DDoS攻击的提议),我们设法了解了当前黑市上DDoS攻击的成本。我们还确定了DDoS攻击背后的网络犯罪者究竟是如何为其客户提供服务的。
DDoS即服务
订购DDoS攻击通常使用成熟的网络应用程序完成,组织者和客户之间无需直接联系。我们所能遇到的大部分DDOS服务广告也都是链接到这些网站,而不是具体的联系方式。客户可以使用它们进行付款,获取完成的工作报告或要求附加服务。事实上,这些提供DDOS攻击服务的网站看上去和提供合法服务的网站是十分相似的。
这是一个用于订购DDoS攻击的Web服务的示例,它看上去更像是一个IT公司的网页,而不是一个用于网络犯罪的网页。
这些Web服务是功能丰富的Web应用程序,它允许注册用户管理他们的收支和计划他们的DDoS攻击预算。一些开发商甚至为使用其服务而进行的每次攻击提供了积分。也就是说网络犯罪分子也有自己的忠诚度和客户服务机制。
在俄罗斯公共论坛上公布的DDoS服务,起价50美元一天
我们确认的一些服务提供商提供了其拥有的注册用户数量的信息和每天攻击次数的数据。许多提供DDoS攻击的网络服务声称拥有成千上万的注册帐户。然而,为了使资源看起来更受欢迎,这些服务提供者可能有些夸大其词了。
一家服务商提供的统计数据——用以显示其DDoS服务受客户欢迎的程度(479270个攻击)
一家服务提供的统计数据——用以展示DDoS攻击情况
关于DDoS服务流行度的信息
DDoS的价格
DDoS服务广告中强调的特色可以使特定服务比竞争对手更有优势,从而改变客户的选择:
1.目标及其特点。同意攻击政府资源的网络犯罪者将吸引对这一特殊服务感兴趣的客户,攻击者可以要求比攻击一家在线商店更多的钱来进行这种服务。服务成本还可能取决于潜在受害者的反DDoS保护类型:如果目标使用流量过滤系统来保护其资源,网络犯罪分子必须设法绕过它们以确保有效的攻击,这也意味着价格上涨。
2.攻击源及其特点。这个因素基本决定了攻击者进行攻击所要求的价格。犯罪者维护僵尸网络的成本(例如感染并控制设备的平均成本)越低,你就越有可能和他们讨价还价。例如,1000台监控摄像机的僵尸网络在组织上可能比100台服务器的僵尸网络成本更低。这是因为目前摄像机和其他物联网设备的安全性较低且这一点经常被业主忽视。
3.攻击场景。对非典型DDoS攻击的请求(例如,客户可能会要求僵尸网络所有者在短时间内使用不同方式进行DDoS攻击,或同时实施多种方法)可能增加成本。
4.特定国家的DDoS攻击服务的平均成本。竞争可能导致网络犯罪分子提高或降低其服务成本。他们还会根据客户的支付能力来定价(例如,两次相似的DDoS攻击,对美国客户的报价就会高于对俄罗斯客户的报价)。
除了特定的僵尸网络功能,DDoS服务的组织者还为客户提供了另一个收费制——买家按秒支付一定僵尸网络容量的租金,而不考虑其他攻击特征(功率和场景)。 例如,使用总体带宽为125Gbps的僵尸网络的300秒的DDoS攻击将花费5€,对所有情况都是这样。
最大的DDoS攻击服务之一的价目表
持续10,800秒的DDoS攻击将花费60美元,相当于每小时约20美元,攻击规格(使用的场景和计算能力)并不总是向客户声明。显然,并不是所有的网络犯罪分子都愿意披露僵尸网络的内部情况(某些所有者也可能并不了解其僵尸网络的技术特征)。特别是,他们不愿意透露僵尸网络中包含的机器的类型。
定价包括以下几种相当简单的方案:
SYN流量攻击
UDP流量攻击
NTP扩增攻击
多向量扩增(多个扩增方案同时进行)。
一个服务的价格表,只需点击几下,就可以让客户任意订购DDoS攻击,并附带详细的报告
一些服务提供了一种可选择的攻击场景,这样可以使网络犯罪分子结合不同的场景,并针对受害者的个人特征进行攻击。 例如,如果受害者成功地对抗SYN-flood,攻击者可以在控制面板上切换场景并评估受害者的反应。
各种收费制根据DDoS攻击持续的秒数改变其价格
在我们分析的报价中,有一些攻击者根据受害者的类型,为服务提供不同的报价。
在俄罗斯网站上发现的专门针对DDoS服务的信息
例如,网络犯罪分子要求400美元每天的价格来攻击使用反DDoS保护的站点/服务器,这是对未受保护站点的攻击的四倍。
此外,不是所有提供DDoS攻击的网络犯罪分子都同意攻击政府资源:这些网站由执法机构密切监控,组织者不想暴露其僵尸网络。不过,我们确实遇到了提供政府资源攻击的服务,不过这类服务在价目表中是被单独列出的。
“如果资源政治敏感,价格可能会改变”,一位DDoS攻击服务提供商如是说。
有趣的是,一些罪犯同时提供DDoS攻击服务以及DDoS攻击服务的保护而且觉得并无不妥。
一些提供DDoS攻击的服务商也可以提供免受这种攻击的保护
定价:一个“云”的例子
我们来考虑一个DNS放大攻击情形。这种类型的攻击包括将特殊形式的请求(比如100个字节)发送到易受攻击的DNS服务器,而DNS服务器将以较大(千字节)的数据量响应“发件人”(即受害者)。僵尸网络可能由数十甚至数百个这样的服务器或公共云服务提供商的资源组成。再加上可用于进行SaaS扩增攻击的公共Web负载测试服务,我们最终获得了相当沉重的“大锤”。
DDoS = Cloud + DNS扩增+ SaaS扩增
这项服务的成本取决于供应商资源的成本。我们以Amazon EC2为例 – 最低配置的虚拟专用服务器的价格(对于DDoS攻击,受感染工作站的配置与其带宽连接并不重要)每小时约0.0065美元。因此,在网络商店组织低功耗DDoS攻击的50台虚拟服务器每小时将花费网络罪犯0.325美元。考虑到额外费用(例如,SIM卡注册帐户并添加信用卡),使用云服务的一小时的DDoS攻击将花费这些罪犯大约4美元。
流行的云服务提供商的价格表
这意味着使用1000个工作站的僵尸网络的攻击的实际成本可以达到每小时7美元。我们设法找到的服务的要价平均每小时25美元,这意味着组织DDoS攻击的网络犯罪分子每一个小时的攻击利润约为18美元。
结论
这些DDOS服务的购买者非常了解DDoS攻击的好处以及它们的有效性。对大型在线商店进行五分钟攻击的费用约为5美元。然而,受害者可能会损失更多,因为潜在客户根本不能下订单。我们无法想象如果攻击持续了整整一天,网络商店将会失去多少客户。
与此同时,网络犯罪分子继续积极寻求新的、便宜的办法组织僵尸网络。在这方面,物联网确实使他们的生活更美好。目前的趋势之一是感染IoT设备(闭路电视摄像机,DVR系统,“智能”家用电器等)并随后用它们发动DDoS攻击。而只要存在易受攻击的物联网设备,网络犯罪分子就可以利用它们。
应该指出的是,DDoS攻击,特别是敲诈性质的DDoS已经变成高利润的业务:一次攻击的盈利能力可能超过95%。 而事实上,在线网站的所有者往往愿意支付赎金,甚至不检查攻击者是否可以实际进行攻击(因为其他欺诈者已经发动过攻击),这样的举措无异于火上浇油。所有这些都表明DDoS攻击的平均成本在不久的将来只会下降,而频率会增加。
发表评论
您还未登录,请先登录。
登录