新技術、地緣政治目標使DDoS攻擊激增

新一波強大的DDoS攻擊已經在整個威脅領域出現，網絡安全供應商表示，以前的緩解措施變得越來越無效。

過去一年中，針對微軟和谷歌等知名供應商的攻擊代表著向應用層或第7層DDoS攻擊的轉變，但并不止于此。隨著攻擊者開始利用新攻擊技術（利用互聯網架構協議，例如HTTP 和 DNS）發起極具破壞性的攻擊，這種快速發展的威脅正在影響各種規模的企業。

新技術的采用、DDoS 即服務的增長、攻擊媒介的擴大以及對更強大的僵尸網絡的訪問，僅在過去幾個月內就導致破紀錄的 DDoS 攻擊。然而，供應商觀察到過去幾年的頻率、速度和復雜性都有所上升。

上周，Akamai Technologies發布了一篇名為《DDoS攻擊的無情演變》的博客。Akamai 產品經理 Craig Sparling 和 Max Gebhardt 強調DDoS威脅的發展速度。兩人警告說，“以最小成本提供最大影響的攻擊媒介將不可避免地越來越受歡迎”。

Sparling和Gebhardt在博客中寫道：“2010年排名前五的媒介占所有攻擊的90%，而今天的前五名僅占所有攻擊的55%。這種轉變不僅突顯了現代DDoS工具包的日益復雜，而且還突顯了安全團隊抵御蓬勃發展的威脅庫的巨大壓力。”

本月早些時候針對微軟的攻擊突顯了DDoS對企業構成的威脅，無論其規模和資源如何。這家科技巨頭證實，Microsoft 365和Azure等服務的廣泛中斷是由DDoS攻擊引起，并將其歸因于名為“Storm-1359”攻擊者。該團伙也被稱為Anonymous Sudan，使用技術來規避以前的緩解策略，包括Slowloris和緩存繞過攻擊。

今年2月，Cloudflare透露，他們已經緩解了“破紀錄”的每秒7100萬個請求（rps）DDoS攻擊。這次攻擊是一篇博客文章中強調的眾多攻擊之一，該文章顯示該公司在一個周末“檢測并緩解了數十次超容量DDoS攻擊”。大多數在 50 到 70 rps 之間達到峰值，但有一個脫穎而出。

Cloudflare 寫道：“這是有記錄以來報告的最大 HTTP DDoS 攻擊，比 2022 年 6 月報告的 46M rps 記錄高出 54% 以上。”

二月份的博客文章強調了過去幾個月攻擊的“規模，復雜性和頻率”在增加。此外，Cloudflare 的 2022 年第四季度 DDoS 威脅報告確定，HTTP DDoS 攻擊的數量同比增加了 79%。

2022 年的另一次重大 HTTP DDoS 攻擊針對的是Google Cloud Armor客戶，但沒有成功。在去年 8 月的一篇博客文章中，谷歌證實他們已在 6 月 1 日阻止了第 7 層 DDoS 攻擊，該攻擊的峰值為4600萬rps。與Cloudflare一樣，該供應商還觀察到，過去幾年DDoS攻擊的頻率有所增加，并且“呈指數級增長”。

近年來，隨著越來越多的企業將工作負載和應用程序轉移到云端，威脅參與者通過瞄準擴大的攻擊面來加快這一趨勢。直到最近，大部分DDoS活動都得到了緩解，造成的中斷最小。但專家表示，由于幾個因素，威脅格局已經改變。

地緣政治目標推動 DDoS 攻擊

除攻擊面的增長之外，供應商還確定了一系列導致DDoS危險增加的因素。Akamai的首席信息安全官Steve Winterfeld將其縮小到三個主要來源，包括更多系統受到感染成為僵尸網絡軍隊的一部分，他說僵尸網絡軍隊主要包括物聯網和聯網設備。

其次，他告訴TechTarget Editorial，網絡犯罪分子正在提供更多的DDoS工具和IaaS，這降低了進行攻擊所需的技能。第三，越來越多的民族國家威脅組織正在利用DDoS攻擊來實現政治目標。

Winterfeld 稱：“此外，攻擊會跟隨資金，因此他們對最關鍵的資產發起攻擊，即網站和API。隨著我們過渡到更高的員工和客戶在線參與度，這些保護措施比以往任何時候都更加重要。”

Radware高級安全解決方案負責人Eyal Arazi認同，地緣政治動機在DDoS攻擊的增加中發揮了重要作用。Radware 觀察到 2021 年至 2022 年間 DDoS 攻擊的數量增加150%。網絡安全供應商緩解了2 月至 4 月期間發生的一次攻擊，該攻擊總共產生了 150 億個請求。

他說，新一波強大的攻擊可以追溯到2022年2月俄羅斯入侵烏克蘭，特別是與Killnet和NoName等俄羅斯國家贊助的團體有關。在國家的支持下，包括Anonymous Sudan在內的組織擁有建立更大、更強大的僵尸網絡的資源，現在這種攻擊資源正在傳播。

Arazi說，針對以色列、印度、澳大利亞和其他國家發生了一波出于政治動機的DDoS攻擊。Radware的威脅情報發現黑客在2月中旬至4月中旬期間聲稱的1800多次DDoS攻擊。

他提出的一個重大問題是，新攻擊會偽裝成合法流量，因為它們是用HTTPS加密，這使得緩解服務更難檢測到惡意請求。

Arazi 稱：“這些新攻擊的最大變化之一是轉向第7層DDoS攻擊，特別是HTTP / S DDoS攻擊。這種轉變帶來新的復雜性，使攻擊者能夠發起比以往任何時候都更具破壞性的攻擊。這些攻擊每秒的請求數很高，行為復雜，偽裝成合法流量，解密后不會被注意到。”

DDoS攻擊在以破壞為目標的政治動機的網絡犯罪分子中特別受歡迎。風險管理供應商Vulcan Cyber公司高級技術工程師Mike Parkin表示，鑒于目前的地緣政治局勢，他對看到復雜且極具破壞性的攻擊并不感到驚訝。Parkin告訴TechTarget Editorial ：“也就是說，網絡犯罪分子有時仍然會使用DDoS并要求付款以將其關閉，而州級威脅可能會使用勒索軟件來隱藏他們的動機。”

當前的緩解措施旨在防御批量攻擊，但Parkin指出，威脅參與者已經從簡單的洪水轉向更復雜的技術。一種更高級的方法涉及攻擊者使用 Web 服務器的行為來對付它。

Parkin說：“與其說100000個機器人發送洪水，不如說我有50個機器人快速連續發送簡單的查詢，從而打擊目標的資源。當攻擊者找到通過內容分發網絡并直接攻擊源服務器時，情況會更糟。”

改進緩解策略

本月針對微軟的DDoS攻擊凸顯了當前緩解措施中的漏洞。為了遏制攻擊，微軟建議客戶配置其 Azure Web 應用程序防火墻，以啟用機器人保護并阻止惡意 IP 地址。一些安全專家質疑，當科技巨頭成為受到攻擊的企業時，為什么客戶需要采取行動。

但Arazi表示，問題不在于微軟本身，而在于整個傳統的DDoS保護方法。雖然大多數 DDoS 緩解措施依賴于已知攻擊的靜態簽名并應用暴力緩解技術，但新一代攻擊工具使用規避技術，例如隨機標頭參數、動態請求參數、IP 欺騙等。

Arazi稱：“傳統上，DDoS緩解解決方案集中在第3層和第4層，以防止容量耗盡網絡層攻擊。但是，當你在應用層發起攻擊時，很難區分合法請求和惡意請求。此外，今天的大多數網絡流量都是在HTTPS下加密的，這意味著默認情況下數據包的有效載荷被加密給外部觀察者。這使得傳統的緩解工具更難識別惡意請求。”

TechTarget企業戰略集團高級分析師John Grady表示，第7層DDoS攻擊通常功能不那么強大，但更難緩解，因為它們專門針對合法的應用程序進程。考慮到威脅行為者可用的計算資源、工具和技術的數量，他們可以使用多種方法造成長期中斷，就像Storm-1359對微軟所做的那樣。

Grady說：“這些橫向或地毯式轟炸攻擊迫使安全團隊評估更廣泛的資源，以了解正在發生的事情并確定如何補救。”

由于攻擊模式在不斷變化，Arazi說新方法應該基于動態行為檢測和緩解。

Akamai 六月的博客文章中強調了新興的 DDoS 威脅。一種被供應商稱為“PhoneHome”的攻擊媒介是一種新的反射DDoS媒介，具有“破紀錄的潛在放大率”。Akamai觀察到PhoneHome部署在野外以發起多次DDoS攻擊。第二個名為“TCP Middlebox Reflection”，Akamai 歸類為放大向量。它利用公司和國家防火墻來反映針對受害者的流量。

為了防范新興媒介，Akamai 建議審查關鍵子網和 IP 空間，確保 DDoS 安全控制處于始終在線的緩解態勢，并組建一個危機響應團隊，準備好事件響應計劃。

Winterfeld 稱：“重要的是，在受到攻擊之前測試你的DDoS保護并驗證你的保護機制。”