17年专业服务器托管租用服务商!
咨询热线 : 400-880-5868
帮助中心

从攻防两端视角看DDoS的应对策略

发布时间:2021-4-7 15:04:26    返回首页

受全球新冠疫情的重大影响,DDoS攻击的量级也在不断加大,业内遭受DDoS攻击的频率创下了新高。过去一年,DDoS攻击的手法变得多样化,超过50Gbps的攻击数量也急剧增加。对于许多行业和企业来说,抗D之路任重道远,还有更加严峻的安全形势需要面对。

Q1:《白皮书》提到,2020年是DDoS攻击增幅最大的一年,其背后原因是什么?
我们可以从攻击者视角来看这个问题。首先,从意愿、动机的角度来看,去年突发的新冠疫情,给人们的生活方式带来了巨大的变化,很多活动都从线下切换到了线上,同时带来了互联网服务的高速发展。业务高速发展,就会给黑产攻击者带来更多可乘之机,他们的获利空间变大;第二,在于攻击者的能力,即资源。近几年IoT、5G等基础设施在快速发展,与此同时,安全问题也会伴随产生,比如弱口令或者一些漏洞问题,很容易引发黑客攻击,使得设备沦为“肉鸡”,导致DDoS攻击;而且,现在DDoS攻击还有一个趋势,就是它的攻击逐渐工具化,现在叫做攻击的SaaS化服务,它能让攻击者的门槛变低。假设在网页上注册账号,只要点一下鼠标或者调用API接口就可以发起攻击;此外,疫情也会使攻击者的动机变强。疫情刺激需求,需求带来资源,资源又在一个持续的增长过程中,而持续增长的资源在动机的强烈驱动下,就能够令攻击者更好地利用资源。综上,攻击动机跟攻击资源这两个因素使得20年的攻击趋势有了很大的增长。

Q2: DDoS攻击走势与疫情防控形势显著相关,其关联度体现在哪里?

数据当中体现的关联度在于,疫情期间大家都宅在家里,线上业务爆发,这时对于黑产团伙来说,就是一个绝佳的攻击机会,势必比居家隔离前的时段获利更大、效果更明显。举一个更简单的例子,游戏。在凌晨或半夜,很少有人去玩,所以此时对攻击者来说,他们是没有太大动力去作恶的,因为用户越少,获利越低;反之,在游戏高峰期,比如晚上七八点或者中午,此时在线用户多,如果这时发起攻击,会让攻击者获取更大的利益,对用户和游戏行业也都能造成更大的影响。

Q3: 游戏行业仍然是主要被攻击行业。2020年游戏行业因DDoS攻击造成的威胁有多大?国内的游戏企业受到的影响是否严重?

游戏行业一直都是DDoS威胁的一个重灾区,数据显示,2020年游戏行业攻击占比已达78%,较2019年上升28%。这个原因在于,受DDoS攻击的区域跟与游戏行业的高度发展是比较契合的,放在全球范围看也是一样的,也就是说,游戏行业对DDoS攻击感受到的影响是最明显的。举例说明,一个玩家在游戏过程中遭到攻击,有可能简单卡顿一下,也有可能直接掉线,再重连就连不上了,此时玩家对产品的体验以及产品本身的口碑都会受到很大影响。而且,国内的游戏企业在出海时也会遇到同样的问题,在海外可能会遇到更加恶劣的环境。一方面是海外黑产团伙的能力有可能更强,另一方面是在海外想要采取溯源等措施也许会更加困难。因此,国内的游戏在出海过程中受DDoS攻击的影响会更大,比如近几年很常见的敲诈勒索,以及一些不正当的竞争,甚至是有些玩家在游戏中恶意牟取利益,都会影响游戏行业。目前对于黑产来说,DDoS攻击依然是他们的惯用手段。

Q4: 去年出现了新型的UDP反射攻击,原因是什么?为什么这些新型的反射攻击依然集中在游戏行业?

其实UDP的反射攻击是一个比较老的攻击手法了,但去年我们还是看到UDP反射这里有一些新情况。去年7月有研究者发现,黑客通过几种新的IoT设备,利用UDP反射手法发起攻击,然后美国FBI就对这一威胁进行了一次安全预警,通报给了美国企业,导致黑产了解到这一手法,那么它就会大范围地使用这种手法,这也是7月份之后占比偏高的原因,映射出UDP攻击手法的一些变化。为什么还是游戏?有几个原因,第一,游戏要保证很好的用户体验,需要保持低延时,所以在网络协议开发上面永远都会采用UDP协议,UDP反射正好也是用UDP协议,其实两个场景下协议是相同的;第二,新的UDP反射手法与以往不同,以往的可能会有一个反射比,发十几字节的小包之后产生几百字节的攻击包,形成流量放大。但是这几种UDP手法,它的包长不算特别大,它的包长与正常游戏协议的行为包长大小是差不多的,包括我们看到黑客使用的攻击源也是这种,比如家里面的路由器或者一些其他的智能设备。从服务端来看,这些IP就是正常用户的IP,因为就是从家庭网络出来的。所以从防护端的角度来看,这几个层面就导致我们很难防御这样的一些情况,或者说它对于防御系统的挑战会变大。因为攻击者也喜欢以假乱真的效果,所以就会变本加厉,一旦发现他突破这个点,就会大肆使用这种东西。

Q5: 在安全情报的披露上面,要披露到什么程度会比较合适?

这个问题更多的是站在防护者视角,或者说以正向的视角去披露。因为我们不能披露做坏事的手法,而是要告诉大家,做坏事的手法我们是掌握的,抑或是在防护的过程中,也能同时解决安全问题。但是作为防守端,并不代表我们可以去滥用安全情报的披露手法,而是在于对情况的掌控。对于整个大盘来说,包括攻防两端,我们都能掌握威胁情报,也正是体现了我们的专业能力。

Q6: TCP反射攻击威胁持续扩大,原因是什么?

TCP反射是近两三年才出现的一个新手法,它在前一两年更多的是利用网上开源的Web服务,例如依靠通用的CDN来进行反射。从去年开始,办公形势发生变化,通用的CDN已经不能满足攻击需求了,于是就开始利用DNS设备,包括其他智能设备来发起。这个跟UDP反射会有一些差别,UDP反射更多是希望反射发起流量放大,达到四两拨千斤的效果;而TCP反射没有明显的放大比,没法放大流量,但是可以让包量或者PPS达到很大的程度。包量或者PPS参数对于网络设备或防护设备的性能体验挑战是比较大的,这也是TCP反射攻击的威胁比UDP反射更难解决的原因所在,它所造成的PPS包量吞吐量会比较大,这对于我们设备的性能来说是很大的考验。另外,TCP反射使用的是一个正常的通信协议栈,它还是以假乱真,正常的协议栈很难去区别对待,到底是正常用户?还是一个攻击者?这一利用点会给我们的防护体系和防护策略带来更高的挑战。所以不法黑客更加愿意利用从简到难的方式,慢慢用UDP反射,再到TCP反射,一步步加强,一步步试图突破。

Q7:《白皮书》显示,应用层攻击呈现海量化趋势,这个点指的是什么?

去年我们捕获到一例接近300万QPS的加密流量攻击,之前捕获的最大规模也就几万,这其实是一个几十倍的增长。我们发现加密流量的威胁突然间变大,应用层的威胁也随之突增,然后再增。还有一个有趣的点,这些攻击源使用的都是秒拨IP,即秒拨代理IP,它是说在业务安全领域,欺诈、黄牛、薅羊毛的场景可能会比较多地用到秒拨IP,因为它不停切换,必须绕过我们的风控策略。我们发现秒拨IP已经应用于传统的安全对抗领域,如果还是以IP的角度去做拦截防护,就会有很多弊端,因为秒拨IP的特性就是不停地变,如果再用旧方法对抗它,就会发现我们永远落后于攻击者,永远都是在被别人打了一波之后再去分析。

Q8:XOR.DDoS僵尸网络最为活跃,原因有哪些?

XOR僵尸网络是比较经典的一个僵尸网络,已经10多年了,这个僵尸网络感染Linux服务器,通过密码爆破或者弱口令的方式去感染,感染之后在上面种植木马后门,里面会种植一个DDoS攻击工具,这个攻击工具会被类似的“肉鸡”加入到坏人的僵尸网络,去发起对外攻击。这个攻击手法是最经典的手法,其实就是SYNFLOOD,而且是SYN大包攻击,一般单个网络的规模应该是在100~300G左右,去年下半年由于IoT这种设备的发展,所以活跃度在下半年也会变大。去年12月份,我们在一个开源的软件供应链里面发现有僵尸网络通过投毒的方式进行传播,这相对来说还是比较大的、新的趋势。以往的传播可能还是通过黑客去黑新“肉鸡”,控制“肉鸡”,然后上传木马、后门,上传工具,发起攻击,但当时我们发现软件园的安全监控里面,它通过伪造某一个软件供应链里的一个软件,在里面捆绑一个后门,一旦在用开源软件搭建自己的业务体系时,发现这个软件是被投毒的,那机器可能也就被种上了这样的木马。

Q9:未来有哪些行业可能会成为DDoS攻击的高发领域,如果这些行业需要提前部署、提前应对的话,应该通过哪些方面来建立自身的行业体系?
理论上看,所有互联网业务都会存在DDoS攻击的可能,因为它不像是漏洞或者入侵,漏洞跟入侵是说自身存在弱点,坏人才有机会进来;但DDoS是说,只要在网上就存在这种可能,因为网络可达就会存在这个问题,而且DDoS的攻击效果是最明显的,就是让用户断网,同时给业务造成负面影响。未来,在一些新兴行业当中,可能会存在这种安全风险。比如在线教育,网络断了,学生就没法上网课;或者是在线医疗,这是真正与生命紧密相连的,所以会有很大的风险存在。对于此类行业的客户或企业主来说,我们的建议是:第一,企业自身要具备抗攻击能力。如同普通人得感冒,或许不是全靠吃药来解决问题,而是身体首先要具备一定的抵抗力。同理,业务首先要在程序、代码开发、架构等方面具备一定的抗攻击能力;第二,对于架构层面来说,当真正出现问题时,要有快速的调度或热备切换,这是容灾的问题,也可以叫做快速恢复业务的能力;第三,专业的人干专业的事,当真正影响到企业的生存发展时,还是要找专业的安全服务团队来解决这个问题。

在线咨询
QQ 咨询
服务热线
扫一扫

扫一扫
关注我们

全国免费服务热线
400-880-5868

返回顶部