Anonymous Sudan事件
1 概述
Anonymous Sudan是一个以分布式拒绝服务(DDoS)攻击为主要手段的黑客组织,自2023年初开始活跃。先后对微软部分服务、ChatGPT和法国政府网站等用户量巨大的软件发起攻击,造成重大的影响。
2 事件背景
2023年2月开始,一个自称Anonymous Sudan的草根黑客组织开启了一系列威胁公共网络安全的行为,其自称以所谓“反穆斯林活动”的国家/地区的组织为目标。其主要攻击行为如下下表所示:
| 时间 | 受攻击目标 | 攻击手段 | 攻击原因 |
|---|---|---|---|
| 2023年1月 | 伦敦互联网交换中心(LINX) | DDoS攻击 | 反对英国支持以色列及对也门的军事行动 |
| 2023年2月 | 瑞典和丹麦网站 | DDoS攻击 | 报复瑞典和丹麦极右翼活动家焚烧《古兰经》 |
| 2023年3月 | 澳大利亚大学、医院和机场 | DDoS攻击 | 与俄罗斯/乌克兰战争相关 |
| 2023年4月 | 以色列网站 | DDoS攻击 | 反对以色列军队在巴勒斯坦地区的活动 |
| 2023年6月 | 微软(Outlook、OneDrive、Azure) | DDoS攻击(HTTP/HTTPS洪水攻击) | 引起关注 |
| 2023年7月 | AO3(同人小说网站) | DDoS攻击 | 网站内容引发宗教争议 |
| 2023年11月 | OpenAI(ChatGPT) | DDoS攻击 | 未明确,可能与政治动机相关 |
| 2023年11月 | Cloudflare | DDoS攻击 | 未明确,可能与政治动机相关 |
| 2023年12月 | 洛杉矶雪松西奈医学中心 | DDoS攻击 | 未明确,可能与政治动机相关 |
| 2024年3月 | 法国政府网站 | DDoS攻击 | 未明确,可能与政治动机相关 |
3 攻击手段及其原理
通过表1的总结不难发现,Anonymous Sudan所采用的主要攻击方式是DDos攻击,本章主要介绍对DDos攻击原理的调研。
3.1 简单理解
**DDos(Distributed Denial of Service Attack-分布式拒绝服务攻击)的前身是Dos(Denial of Service Attack-拒绝服务攻击)**,因此可以把DDos攻击理解为:“分布式技术”+Dos,即结合了分布式技术的Dos攻击。因此我们可以首先分别理解分布式技术和Dos,再结合对二者的理解实现对DDos的完整理解。
其中Dos为攻击的核心,分布式技术为促进该攻击的手段,因此下面的学习逻辑按照先Dos后分布式技术的顺序展开。
3.2 Dos
(1)形象理解
如果一个人开了一家小店,如果一个捣乱的人不断地咨询收银员商品的信息,却始终不结账离开,这样真正想买东西的顾客只能等待,而无法正常购物,小店也就无法正常营业了。如果这个捣乱的人始终喋喋不休,店员又无法赶走他,那么小店在实质上是与关门没有差异的。这就是“拒绝服务”的意思——通过制造混乱,让正常的服务无法进行。
(2)Dos
参照上面的形象理解,我们可以更好地理解Dos的攻击方式,即采取某种方式向目标服务器发送大量请求,使得目标服务器忙于处理这些无用需求,而无法处理真正用户的需求。
3.3 Dos+分布式技术
分布式技术是计算机领域的一项重要技术,这里只调研其在DDos中发挥的作用。
(1)Dos的局限性
在引入分布式技术前,Dos的攻击发起主要通过单个计算机实现,这将带来以下局限性:
- 发布请求量有限,攻击流量较小
- 容易溯源
- 相对容易防御,可通过防火墙或网络配置阻止攻击源
- 攻击范围较小,通常只影响目标服务器或网络的局部区域
(2)分布式技术的引入
分布式技术的引入可以在很大程度上解决上面提到的局限性。借助分布式,黑客可以在用户不知情的情况下控制大量计算机,同时向目标服务器发送海量请求。
对比上面对Dos的形象理解,DDos则是一个人为了扰乱小店的生意,从各地找来了各式各样的大量帮手,涌进这个小店,导致真正的顾客无法正常购买物品甚至无法进入小店,这样大量的帮手显然能更大程度地组织店员为真正的顾客服务,他们相貌各异,不容易辨别阻拦,而且即便你抓到了几个捣乱的人,他们身份各不相同,你也很难溯源找到幕后主使。以这种方式捣乱,显然比先前的仅一人来小店捣乱更能起到影响小店生意的效果。
4 造成影响
| 时间 | 受攻击目标 | 造成的影响 |
|---|---|---|
| 2023年1月 | 伦敦互联网交换中心(LINX) | 网站瘫痪,但未得到官方证实。 |
| 2023年2月 | 瑞典和丹麦网站 | 网站瘫痪。 |
| 2023年3月 | 澳大利亚大学、医院和机场 | 网站瘫痪。 |
| 2023年4月 | 以色列网站 | 网站瘫痪。 |
| 2023年6月 | 微软(Outlook、OneDrive、Azure) | 服务瘫痪,持续1~2小时。 |
| 2023年7月 | AO3(同人小说网站) | 网站瘫痪。 |
| 2023年11月 | OpenAI(ChatGPT) | 服务瘫痪。 |
| 2023年11月 | Cloudflare | 主网站瘫痪。 |
| 2023年12月 | 洛杉矶雪松西奈医学中心 | 医院急诊科瘫痪,患者被转移。 |
| 2024年3月 | 法国政府网站 | 网站瘫痪。 |
5 防御措施
根据调研结果,防御手段主要通过一下两大原理实现,具有丰富的实现方式
- 流量清洗:检测异常流量,拒绝异常请求
- 扩充带宽,提升服务器设备性能:增大攻击成本,迫使攻击停止
下表是在Anonymous Sudan引发的事件中,不同受攻击者所采取的防御措施:
| 时间 | 受攻击目标 | 防御措施 |
|---|---|---|
| 2023年1月 | 伦敦互联网交换中心(LINX) | 配置防火墙和入侵检测系统以限制异常流量,实施流量分析来识别异常流量模式,启用流量清洗服务,如通过ISP或DDoS防御提供商。 |
| 2023年2月 | 瑞典和丹麦网站 | 部署Web应用防火墙(WAF)来识别和过滤异常请求,使用机器学习技术进行安全分析,识别不正常的访问模式,限制请求速率,对可疑IP地址进行封禁。 |
| 2023年3月 | 澳大利亚大学、医院和机场 | 增强网络基础设施,利用CDN(Content Delivery Network)和WAF(Web Application Firewall)等服务,分散流量压力。 |
| 2023年4月 | 以色列网站 | 实施SYN cookies技术减少半开连接的资源消耗,部署入侵检测系统(IDS)以识别异常的SYN请求,动态调整防火墙规则,阻止恶意IP地址。 |
| 2023年6月 | 微软(Outlook、OneDrive、Azure) | 部署流量清洗服务,如通过ISP或专门的DDoS防御提供商,实时阻断异常ICMP流量,可能需要ISP的协助进行流量清洗。 |
| 2023年7月 | AO3(同人小说网站) | 减少开放的DNS递归查询,防止被利用作为放大器,部署流量分析工具,识别异常的流量模式和放大行为,利用基于云的DDoS保护服务进行流量清洗。 |
| 2023年11月 | OpenAI(ChatGPT) | 利用CDN的全球分布,攻击者即使能够发起大规模流量攻击,也难以对单一节点造成致命冲击。 |
| 2023年11月 | Cloudflare | 许多云服务提供商,如AWS、阿里云、Google Cloud,都具备强大的DDoS防护能力。将关键服务迁移到这些云基础设施上,可以利用其全球分布的基础设施和先进的防护技术。 |
| 2023年12月 | 洛杉矶雪松西奈医学中心 | 建立全面的网络监控和警报系统是防止DDoS攻击的一项重要措施。通过系统实时监控流量、带宽和网络设备状态,一旦出现异常流量,系统会触发警报。 |
| 2024年3月 | 法国政府网站 | 专门的DDoS防护服务提供商,如Cloudflare、Akamai等,具有强大的技术能力和专用硬件,能够有效缓解大规模DDoS攻击。 |