Cloudflare：什么是DDoS 勒索攻擊？

什么是 DDoS 勒索攻擊？

DDoS 勒索（RDDoS）攻擊是指惡意方企圖通過以分布式拒絕服務（DDoS）攻擊威脅個人或組織來勒索金錢的行為。有關惡意方可能會發(fā)動 DDoS 攻擊，然后以勒索信跟進，要求目標支付贖金來停止攻擊；惡意方也可能先發(fā)送勒索信，威脅要發(fā)動 DDoS 攻擊。在第二種情形中，攻擊者可能實際上沒有能力發(fā)動攻擊，但假定其只是虛言威脅并不明智。

若要防御 DDoS 勒索攻擊，最佳的途徑是強大的 DDoS 緩解服務。向發(fā)出威脅的個人或團體支付贖金絕非好主意。

什么是 DDoS 攻擊？

DDoS 攻擊是耗盡應用程序、網站或網絡的資源，使合法用戶無法獲得服務的企圖。DDoS 攻擊向目標發(fā)送大量垃圾網絡流量，如同高速公路上的交通堵塞。DDoS 攻擊是“分布式的”，也就是說攻擊從多個來源發(fā)送流量，比單一來源的拒絕服務（DoS）攻擊更難阻止。

DDoS 攻擊者使用多種不同的網絡協(xié)議。在此處了解不同類型的 DDoS 攻擊。

DDoS 攻擊可對組織運營造成嚴重影響。對許多企業(yè)來說，任何一次停機都意味著收入損失。如果遭遇長時間離線，組織也可能會失去信譽。

DDoS 勒索攻擊如何運作？

大多數 DDoS 勒索攻擊從攻擊者向目標發(fā)送威脅企業(yè)或組織的勒索信開始。如果威脅并非虛張聲勢，攻擊者也決定付諸實施，則會按照以下方式來展開攻擊：

1. 攻擊者開始向目標發(fā)送攻擊流量。他們可能使用自己的僵尸網絡或租用的 DDoS 服務來發(fā)動攻擊。也可能是幾個人一起使用 DDoS 工具來生成攻擊流量。攻擊流量可以針對 OSI 模型的第 3、第 4 或第 7 層。

2. 攻擊流量導致目標應用程序或服務不堪重負，使其運行速度變得慢如蝸牛，甚至徹底崩潰。

3. 攻擊將持續(xù)進行，直到攻擊者耗盡資源或出于其他原因停止攻擊，或者目標能夠緩解攻擊。緩解方法包括速率限制、IP 阻止、黑洞路由或 DDoS 防護服務；前三種方法很難針對高度分散的攻擊實施。

4. 攻擊者可能會重新提出贖金要求或進行后續(xù)攻擊，或者兩者同時進行。

典型 DDoS 勒索信會包含什么內容？

惡意方向企業(yè)發(fā)送 DDoS 勒索信以索要金錢，如不服從，惡意方將發(fā)動 DDoS 攻擊。這些消息往往通過電子郵件發(fā)送。有時候，攻擊者會發(fā)送多條消息，在每條消息中透露有關具體威脅或要求的更多細節(jié)。

威脅

DDoS 勒索信包含的威脅有幾種不同形式：

惡意方可能就之前的一次 DDoS 攻擊表示負責，并威脅再次發(fā)動攻擊

他們可能就目標當前遭受的一次 DDoS 攻擊表示負責

他們可能威脅將在一個確定或未確定的時間發(fā)動 DDoS 攻擊

所威脅攻擊的詳細信息

為了使威脅聽起來更加危險，攻擊者可能聲稱能夠發(fā)動一次特定規(guī)模和持續(xù)時間的 DDoS 攻擊。這些宣稱不一定屬實：聲稱能夠發(fā)動一次持續(xù) 24 小時的 3 Tbps 攻擊，并不表示實際上有足夠的資源來付諸實施。

組織聯(lián)系

為了增加威脅的可信度，攻擊者可能會聲稱與 Fancy Bear、Cozy Bear、Lazarus Group 和 Armada Collective 等著名“黑客”組織存在聯(lián)系。這些說法也許屬實，但難以核實。

付款要求和指示

勒索信通常會要求以某種形式付款。常見要求是用比特幣付款，但攻擊者也可能要求以其他加密貨幣或法定貨幣（美元、歐元等）支付贖金。在某個時點上，他們通常會提出具體的金額以及支付說明。

時間限制或截止時間

最后，為了增加其要求的緊迫性和目標方服從的可能性，勒索信可能會包括支付贖金的硬性截止時間，否則將發(fā)動所威脅的攻擊或不停止繼續(xù)當前攻擊。

支付贖金是不是好主意？

否。支付贖金除了涉及向犯罪分子貢獻金錢外，并不能保證攻擊者會停止其活動。相反，支付贖金的組織是一個更理想的目標：表明其愿意滿足攻擊者的要求，因而日后也更可能會滿足要求。

此外，攻擊者獲得的金錢越多，就會有越多資金來從事勒索行動，進而增強了未來發(fā)動攻擊的能力。

最后，總是存在威脅并不可信的可能，企業(yè)白白支付了贖金。

企業(yè)收到 DDoS 勒索要求后，應向適當的執(zhí)法機構報告并采取防范攻擊的措施，以防攻擊者付諸實施。例如，Cloudflare DDoS 防護是一項能夠防御任何規(guī)模 DDoS 攻擊的服務。

大多數 DDoS 勒索威脅都是可信的嗎？

所有安全威脅都應當認真對待。但是，并非所有 DDoS 勒索威脅都能付諸實施。輸入和發(fā)送一份簡短的電子郵件非常容易。但要發(fā)動大型 DDoS 攻擊，需要遠多于此的資源來維護、管理和激活一個由受侵害設備組成的大型網絡（稱為僵尸網絡）。

盡管如此，暗網中提供很多 DDoS 租用服務，攻擊者可以租用其中之一來發(fā)動攻擊。這自然需要攻擊者花錢，但他們可以通過 DDoS 勒索威脅獲得金錢。

通常，DDoS 勒索攻擊是一種數字游戲。不論索要贖金的一方是否確有能力兌現(xiàn)威脅，他們只期待一小部分目標會支付贖金。

與其試圖評估威脅的可信度，最安全的做法是使用 DDoS 防護服務；不管情況如何，這種服務都可以使 Web 資產或網絡保持在線。

Cloudflare 如何防御 RDDoS 攻擊？

所有 Cloudflare 客戶（包括免費客戶）都可以使用 DDoS 防護服務，即使規(guī)模非常大的 DDoS 攻擊也能緩解。此外，Cloudflare Magic Transit 可為企業(yè)客戶的網絡基礎設施提供保護，使其免受第 3 層 DDoS 攻擊的危害。Cloudflare 網絡的容量達到 59 Tbps，比有記錄以來的最大 DDoS 攻擊還要大很多倍。雖然所有安全威脅都應得到記錄和監(jiān)控，但這種保護級別意味著 Cloudflare 客戶不必為 DDoS 勒索信和其他 DDoS 相關威脅而擔憂。

DDoS 勒索攻擊和勒索軟件有什么區(qū)別？

勒索軟件攻擊是在線勒索的另一種常見形式。勒索軟件屬于惡意軟件，可對組織的系統(tǒng)和數據庫進行加密，使它們無法使用。完成加密后，攻擊者便會提出要求，讓組織通過支付金錢來換取給系統(tǒng)解密。勒索軟件必須以某種方式進入企業(yè)的內部系統(tǒng)或網絡；惡意電子郵件附件與網絡釣魚攻擊相結合是常見的威脅手段。

與勒索軟件攻擊不同，DDoS 勒索攻擊不會對公司的系統(tǒng)進行加密；其目的只是讓這些系統(tǒng)離線癱瘓。攻擊者也不需要在發(fā)動攻擊前進入企業(yè)的內部系統(tǒng)。但是，只要擁有了足夠強大的 DDoS 防護，DDoS 勒索攻擊幾乎不會影響企業(yè)的運作。