DDoS攻击的新趋势：移动设备是新一代僵尸网络

几个月前，阿里巴巴云安全团队观察到DDoS攻击的新趋势，常见的日常移动应用程序成为DDoS攻击工具。事实证明，传统的缓解策略对这些移动僵尸网络发起的攻击并不有效。

本文进一步分析了阿里云防御DDoS服务智能保护引擎减轻DDoS攻击的特征。

跟踪分析显示，这些DDoS攻击是由于大量用户安装了伪装成手机上的普通应用程序的恶意应用程序而引起的。这些恶意应用程序动态地向目标网站发起攻击 在过去几个月中，使用这些DDoS攻击工具看到了超过500,000个移动设备，使得单次攻击的严重程度与PC僵尸网络DDoS攻击相同。这种模式表明，黑客正在升级他们的技术，以便在攻击期间提供更高级别的伤害。

这种移动僵尸网络DDoS攻击的特点是什么？

1.均匀分布的移动设备操作系统受到影响：大约40％的设备在IOS上运行，60％在Android上运行。

2.对大量移动设备的巨大攻击：在单次攻击中，每秒请求的峰值数（QPS）可以达到数百万，这是通过超过500,000个移动设备启动的，每个请求的源IP地址重复很少攻击实例。

3.地理位置分散的攻击源IP地址：攻击源IP地址来自全球160多个国家的近40个不同的ISP。

分发攻击源IP地址

4.提供最多攻击源IP地址的蜂窝基站：近一半的攻击源IP地址来自大型蜂窝基站网关IP地址，这意味着相同的源IP地址同时携带攻击流量和大量正常用户流量。

5.不规则的攻击调度

由于移动电话不断改变与网络的连接以及应用程序启动和停止的方式，我们观察到异常多的攻击源IP地址。超过一半的攻击源IP地址没有被攻击的启动; 每个源IP地址的攻击持续时间不同，单个攻击源IP地址的请求频率也不高。

攻击持续时间和IP地址和请求数

传统的减灾政策不再有效

在PC僵尸网络时代，速率限制和黑名单的结合是一种有效的缓解策略。但是，移动设备比PC普遍存在，导致恶意应用程序伪装成普通应用程序而发起的大量攻击。即使单个设备的请求频率较低，来自所有设备的聚合请求数也可能超过目标站点，这使得黑客很容易攻击目标站点而不会触发任何速率限制策略。

大多数攻击源是大型蜂窝基站网关IP地址，呈现传统的防御策略，例如黑名单无用，因为将蜂窝基站列入黑名单将导致大量普通用户无法访问蜂窝服务。僵尸网络的新移动设备在攻击过程中不断添加，因此黑名单机制可能不足以有效阻止攻击。在新的攻击面前，曾经有效的缓解政策现在无效。

黑客如何利用恶意应用程序启动攻击

1.黑客将WebView嵌入到应用程序中，该应用程序将在启动后请求中央控制链接。链接指向的页面嵌入并加载了三个JS文件，这些文件以异步JAVAScript和XML（AJAX）模式动态获取JSON指令。

2.当不涉及攻击时，收到的JSON指令的内容如下：{“message”：“no data”，“code”：404}。在这种情况下，JS文件在加载后会进入连续循环并定期重新读取JSON指令。

连续循环

3.在黑客发出攻击类型JSON指令后，JS文件退出循环，并在解析JSON指令后将消息传递回WebView。JSON指令指定攻击所需的数据包内容，例如目标URL，请求方法和标头，并指定调度参数，例如攻击频率，启动攻击的条件和攻击结束时间，使攻击更多复杂而灵活。

4. WebView通过UserAgent检索设备信息，以确定设备是使用iOS还是Android系统。它为不同的设备系统调用不同的函数来触发恶意应用程序中的Java代码加载，并使设备基于JSON指令启动攻击。

通过上面使用的方法和技术，我们可以考虑在黑市中安装这种欺诈应用程序的用户作为木偶成功地向目标企业发起DDoS攻击。

这也揭示了黑市行业。恶意应用程序的所有者吸引用户通过各种渠道安装和使用这些应用程序以及欺骗性广告。所有者通过使用欺诈性应用程序获利，并通过使用受影响的用户设备作为僵尸网络提供DDOS攻击服务来寻求进一步的利润。

根据攻击流程图，黑客可以发出JSON指令，使移动设备以特定方式攻击特定目标，以用于任何特定目的。

除了恶意控制移动设备发起攻击外，欺诈性应用还可以植入恶意代码私下发送付费短信，使用ISP的短信支付渠道窃取用户费用，访问用户地址簿，地理位置，身份证，银行账户和其他敏感信息。他们可以通过广告和电信欺诈来骚扰用户，甚至造成更大的损失，例如身份盗用。

用户如何应对此类DDoS攻击

在PC僵尸网络时代，企业Anti-DDoS策略相对无效

1. 检测：请求频率
2. 行动：限速和黑名单
3. 防御逻辑：当请求频率过高时，启动源速率限制或黑名单IP地址

如果缓解无效，则需要手动干预以进行数据包捕获和分析。然后根据特定的攻击条件配置保护规则。但是，这种方法响应速度慢，对业务造成严重损害。

当大量移动设备成为新的攻击源时，攻击很容易绕过前面的防御逻辑。企业不能再依赖速率限制和黑名单，而必须采用更智能的保护手段：

1. 扩展攻击流量识别维度，并将每个请求实时解析为多维检测。
2. 将保护策略与多维识别匹配，实现精细，灵活，丰富的访问控制单元，并有机地组合各种维度，逐层过滤掉攻击流量。
3. 将人工故障排除替换为机器智能，以提高响应速度并减少业务中断时间。

虽然黑客只升级了他们的攻击源，但企业面临着沉重的安全防御工作量，必须尽早采取行动做好充分准备。或者，企业可以购买阿里云安全防御DDoS产品，有效防御容量DDoS攻击和应用DDoS攻击，实现专业和智能保护。

如果您是个人用户，为了确保设备安全和数据隐私，阿里云安全团队建议您从授权渠道安装经过批准的应用程序，以避免将您的手机变成DDoS攻击工具。安装应用程序时，请始终仔细检查其请求的权限。如果您发现该应用请求与其功能不匹配的高风险权限，例如访问您的地址簿和发送短信，请谨慎操作，因为它可能会使您面临风险。