Cloudflare：什么是DDoS 勒索攻擊？

什么是 DDoS 勒索攻擊？

DDoS 勒索（RDDoS）攻擊是指惡意方企圖通過以分布式拒絕服務(wù)（DDoS）攻擊威脅個(gè)人或組織來勒索金錢的行為。有關(guān)惡意方可能會(huì)發(fā)動(dòng) DDoS 攻擊，然后以勒索信跟進(jìn)，要求目標(biāo)支付贖金來停止攻擊；惡意方也可能先發(fā)送勒索信，威脅要發(fā)動(dòng) DDoS 攻擊。在第二種情形中，攻擊者可能實(shí)際上沒有能力發(fā)動(dòng)攻擊，但假定其只是虛言威脅并不明智。

若要防御 DDoS 勒索攻擊，最佳的途徑是強(qiáng)大的 DDoS 緩解服務(wù)。向發(fā)出威脅的個(gè)人或團(tuán)體支付贖金絕非好主意。

什么是 DDoS 攻擊？

DDoS 攻擊是耗盡應(yīng)用程序、網(wǎng)站或網(wǎng)絡(luò)的資源，使合法用戶無法獲得服務(wù)的企圖。DDoS 攻擊向目標(biāo)發(fā)送大量垃圾網(wǎng)絡(luò)流量，如同高速公路上的交通堵塞。DDoS 攻擊是“分布式的”，也就是說攻擊從多個(gè)來源發(fā)送流量，比單一來源的拒絕服務(wù)（DoS）攻擊更難阻止。

DDoS 攻擊者使用多種不同的網(wǎng)絡(luò)協(xié)議。在此處了解不同類型的 DDoS 攻擊。

DDoS 攻擊可對(duì)組織運(yùn)營造成嚴(yán)重影響。對(duì)許多企業(yè)來說，任何一次停機(jī)都意味著收入損失。如果遭遇長時(shí)間離線，組織也可能會(huì)失去信譽(yù)。

DDoS 勒索攻擊如何運(yùn)作？

大多數(shù) DDoS 勒索攻擊從攻擊者向目標(biāo)發(fā)送威脅企業(yè)或組織的勒索信開始。如果威脅并非虛張聲勢(shì)，攻擊者也決定付諸實(shí)施，則會(huì)按照以下方式來展開攻擊：

1. 攻擊者開始向目標(biāo)發(fā)送攻擊流量。他們可能使用自己的僵尸網(wǎng)絡(luò)或租用的 DDoS 服務(wù)來發(fā)動(dòng)攻擊。也可能是幾個(gè)人一起使用 DDoS 工具來生成攻擊流量。攻擊流量可以針對(duì) OSI 模型的第 3、第 4 或第 7 層。

2. 攻擊流量導(dǎo)致目標(biāo)應(yīng)用程序或服務(wù)不堪重負(fù)，使其運(yùn)行速度變得慢如蝸牛，甚至徹底崩潰。

3. 攻擊將持續(xù)進(jìn)行，直到攻擊者耗盡資源或出于其他原因停止攻擊，或者目標(biāo)能夠緩解攻擊。緩解方法包括速率限制、IP 阻止、黑洞路由或 DDoS 防護(hù)服務(wù)；前三種方法很難針對(duì)高度分散的攻擊實(shí)施。

4. 攻擊者可能會(huì)重新提出贖金要求或進(jìn)行后續(xù)攻擊，或者兩者同時(shí)進(jìn)行。

典型 DDoS 勒索信會(huì)包含什么內(nèi)容？

惡意方向企業(yè)發(fā)送 DDoS 勒索信以索要金錢，如不服從，惡意方將發(fā)動(dòng) DDoS 攻擊。這些消息往往通過電子郵件發(fā)送。有時(shí)候，攻擊者會(huì)發(fā)送多條消息，在每條消息中透露有關(guān)具體威脅或要求的更多細(xì)節(jié)。

威脅

DDoS 勒索信包含的威脅有幾種不同形式：

惡意方可能就之前的一次 DDoS 攻擊表示負(fù)責(zé)，并威脅再次發(fā)動(dòng)攻擊

他們可能就目標(biāo)當(dāng)前遭受的一次 DDoS 攻擊表示負(fù)責(zé)

他們可能威脅將在一個(gè)確定或未確定的時(shí)間發(fā)動(dòng) DDoS 攻擊

所威脅攻擊的詳細(xì)信息

為了使威脅聽起來更加危險(xiǎn)，攻擊者可能聲稱能夠發(fā)動(dòng)一次特定規(guī)模和持續(xù)時(shí)間的 DDoS 攻擊。這些宣稱不一定屬實(shí)：聲稱能夠發(fā)動(dòng)一次持續(xù) 24 小時(shí)的 3 Tbps 攻擊，并不表示實(shí)際上有足夠的資源來付諸實(shí)施。

組織聯(lián)系

為了增加威脅的可信度，攻擊者可能會(huì)聲稱與 Fancy Bear、Cozy Bear、Lazarus Group 和 Armada Collective 等著名“黑客”組織存在聯(lián)系。這些說法也許屬實(shí)，但難以核實(shí)。

付款要求和指示

勒索信通常會(huì)要求以某種形式付款。常見要求是用比特幣付款，但攻擊者也可能要求以其他加密貨幣或法定貨幣（美元、歐元等）支付贖金。在某個(gè)時(shí)點(diǎn)上，他們通常會(huì)提出具體的金額以及支付說明。

時(shí)間限制或截止時(shí)間

最后，為了增加其要求的緊迫性和目標(biāo)方服從的可能性，勒索信可能會(huì)包括支付贖金的硬性截止時(shí)間，否則將發(fā)動(dòng)所威脅的攻擊或不停止繼續(xù)當(dāng)前攻擊。

支付贖金是不是好主意？

否。支付贖金除了涉及向犯罪分子貢獻(xiàn)金錢外，并不能保證攻擊者會(huì)停止其活動(dòng)。相反，支付贖金的組織是一個(gè)更理想的目標(biāo)：表明其愿意滿足攻擊者的要求，因而日后也更可能會(huì)滿足要求。

此外，攻擊者獲得的金錢越多，就會(huì)有越多資金來從事勒索行動(dòng)，進(jìn)而增強(qiáng)了未來發(fā)動(dòng)攻擊的能力。

最后，總是存在威脅并不可信的可能，企業(yè)白白支付了贖金。

企業(yè)收到 DDoS 勒索要求后，應(yīng)向適當(dāng)?shù)膱?zhí)法機(jī)構(gòu)報(bào)告并采取防范攻擊的措施，以防攻擊者付諸實(shí)施。例如，Cloudflare DDoS 防護(hù)是一項(xiàng)能夠防御任何規(guī)模 DDoS 攻擊的服務(wù)。

大多數(shù) DDoS 勒索威脅都是可信的嗎？

所有安全威脅都應(yīng)當(dāng)認(rèn)真對(duì)待。但是，并非所有 DDoS 勒索威脅都能付諸實(shí)施。輸入和發(fā)送一份簡短的電子郵件非常容易。但要發(fā)動(dòng)大型 DDoS 攻擊，需要遠(yuǎn)多于此的資源來維護(hù)、管理和激活一個(gè)由受侵害設(shè)備組成的大型網(wǎng)絡(luò)（稱為僵尸網(wǎng)絡(luò)）。

盡管如此，暗網(wǎng)中提供很多 DDoS 租用服務(wù)，攻擊者可以租用其中之一來發(fā)動(dòng)攻擊。這自然需要攻擊者花錢，但他們可以通過 DDoS 勒索威脅獲得金錢。

通常，DDoS 勒索攻擊是一種數(shù)字游戲。不論索要贖金的一方是否確有能力兌現(xiàn)威脅，他們只期待一小部分目標(biāo)會(huì)支付贖金。

與其試圖評(píng)估威脅的可信度，最安全的做法是使用 DDoS 防護(hù)服務(wù)；不管情況如何，這種服務(wù)都可以使 Web 資產(chǎn)或網(wǎng)絡(luò)保持在線。

Cloudflare 如何防御 RDDoS 攻擊？

所有 Cloudflare 客戶（包括免費(fèi)客戶）都可以使用 DDoS 防護(hù)服務(wù)，即使規(guī)模非常大的 DDoS 攻擊也能緩解。此外，Cloudflare Magic Transit 可為企業(yè)客戶的網(wǎng)絡(luò)基礎(chǔ)設(shè)施提供保護(hù)，使其免受第 3 層 DDoS 攻擊的危害。Cloudflare 網(wǎng)絡(luò)的容量達(dá)到 59 Tbps，比有記錄以來的最大 DDoS 攻擊還要大很多倍。雖然所有安全威脅都應(yīng)得到記錄和監(jiān)控，但這種保護(hù)級(jí)別意味著 Cloudflare 客戶不必為 DDoS 勒索信和其他 DDoS 相關(guān)威脅而擔(dān)憂。

DDoS 勒索攻擊和勒索軟件有什么區(qū)別？

勒索軟件攻擊是在線勒索的另一種常見形式。勒索軟件屬于惡意軟件，可對(duì)組織的系統(tǒng)和數(shù)據(jù)庫進(jìn)行加密，使它們無法使用。完成加密后，攻擊者便會(huì)提出要求，讓組織通過支付金錢來換取給系統(tǒng)解密。勒索軟件必須以某種方式進(jìn)入企業(yè)的內(nèi)部系統(tǒng)或網(wǎng)絡(luò)；惡意電子郵件附件與網(wǎng)絡(luò)釣魚攻擊相結(jié)合是常見的威脅手段。

與勒索軟件攻擊不同，DDoS 勒索攻擊不會(huì)對(duì)公司的系統(tǒng)進(jìn)行加密；其目的只是讓這些系統(tǒng)離線癱瘓。攻擊者也不需要在發(fā)動(dòng)攻擊前進(jìn)入企業(yè)的內(nèi)部系統(tǒng)。但是，只要擁有了足夠強(qiáng)大的 DDoS 防護(hù)，DDoS 勒索攻擊幾乎不會(huì)影響企業(yè)的運(yùn)作。