DDoS攻擊的無情演變
鑒于威脅領域的不斷創新,與12年、10年甚至5年前的攻擊相比,現代分布式拒絕服務 (DDoS)攻擊幾乎已經無法識別。防御快速變化的攻擊媒介和創紀錄的攻擊,對于保護在線基礎設施至關重要,但對于缺乏適當資源、專業知識或技術的安全團隊來說,這可能是一項艱巨的挑戰。
昨天VS今天的DDoS攻擊
下圖描繪了過去十年中50多個攻擊媒介的活動,并概括了DDoS日益復雜的情況。
【圖1:過去10年的DDoS 活動】
4個值得注意的關鍵信息:
1、攻擊向量“持久性獎”得主:由于其簡單性和可靠性,UDP洪水(UDP flood)、SYN洪水(SYN flood)和UDP分片(UDP fragmentation)長期存在且持續有效,通常與其他媒介一起出現。
【圖2:UDP洪水、SYN洪水和UDP分片持續有效】
2、一些曾經很受歡迎的攻擊向量已經失寵:ICMP洪水(ICMP flood),作為一種易于訪問的DDoS載體而廣受歡迎,但它幾乎不像其他允許放大和反射的向量那樣具有沖擊力(圖3)。我們觀察到的有史以來最大的“純ICMP(ICMP-only )”攻擊只有28 gbps。這些ping可以加起來,但平均ICMP攻擊僅為5 gbps,這對于今天的DDoS攻擊而言幾乎是“涓涓細流”,而且它們幾乎需要完全與其他向量一起使用。在所有ICMP攻擊中,平均有兩個額外的向量。
【圖3:ICMP攻擊不再像以前那樣流行】
3、其他攻擊從嶄露頭角到變得突出,但最終以失敗告終。從2015年到2018年,CharGEN攻擊和SSDP洪水的數量有所增加,但今天卻很少能夠觀察到。造成這種情況的部分原因可能在于更好的可用反射器出現,以及使用這些可利用協議的暴露服務器越來越少。
4、隨著過濾實踐的改進、新型反射器的減少以及攻擊者偏好更新、更具成本效益的向量,CLDAP反射(出現于2016年底并在2018年達到頂峰,位列Top5向量)的使用可能會從DDoS工具包中消失。
從這四個見解中可以看出,DDoS的威脅正在迅速演變。如下圖所示,2010年排名前五的向量占所有攻擊的90%,而今天排名前五的向量僅占所有攻擊的55%。這種轉變不僅突顯了現代DDoS工具包日益增長的復雜化,也突顯了安全團隊所面臨抵御蓬勃發展的威脅庫的巨大壓力。
【圖4:按年份劃分的向量分布比較,左為2010年向量分布;右為2022年】
正所謂“適者生存”,任何最有效的東西——無論是適應良好的身體特征還是有效的產品策略——都會持續存在并不斷演進。同樣地,以最小的成本提供最大影響的攻擊向量將總是越來越受歡迎,并且較它們的“同行”更長壽。與此同時,攻擊者也在不斷尋求新工具以最大限度地實現破壞并提高成本效率。
深入了解當今的新型DDoS威脅
2022年上半年,兩個來勢洶洶的新型載體首次現身,讓我們窺見了DDoS 的進化方向。它們分別為:
PhoneHome:一種新的反射/放大DDoS向量,具有創紀錄的潛在放大比4,294,967,296:1,已在野觀察到發起多次DDoS攻擊。
潛力:存在巨大的放大潛力:單個微小的入站數據包可以發起巨大的出戰攻擊。
局限:有限的攻擊面——2600個被錯誤配置的系統,使得未經認證的系統測試設施無意中暴露在公共互聯網上,允許攻擊者利用這些PBX VoIP網關作為DDoS反射器/放大器;此外,攻擊效果還可能與這些機器的連接和功率以及惡意行為者妥協它們的能力有關。
TCP中間盒反射(TCP Middlebox Reflection):這種新的放大向量利用中間盒(例如公司和國家防火墻)來反射針對受害者的流量。
潛力:根據ShadowServer的研究,作為潛在反射器的中間盒無處不在,涉及超過1880萬個 IP。這些公開暴露的服務中的大多數本質上都是功能強大的,且可以訪問主要的連接中心。
局限:雖然這里的放大系數是65倍,但上限并不明確。目前,攻擊者可能正在對可用的反射器進行分類并測試如何可靠地大規模利用它們。雖然從單個命令和控制生成請求以觸發響應數據包可能會受到限制,但從僵尸網絡向反射器生成請求可能會增加新記錄的規模。
我們不知道上述任何一個向量是否會變得突出或創下新高。但我們可以肯定的是,進化的道路將繼續前行,網絡上將出現下一代威脅。
與不斷變化的威脅保持同步的建議
DDoS威脅領域的持續創新迫使組織面臨持續的風險,同時也強調了加強防護最新攻擊的必要性。為了減少DDoS攻擊造成的停機影響并有效抵御惡意行為者,請考慮執行以下操作:
審核關鍵子網和IP空間,并確保它們具有適當的緩解控制措施;
以“始終在線”的緩解態勢部署DDoS安全控制作為第一層防御,以減輕事件響應者的負擔;
積極組建危機響應團隊,確保運行手冊和事件響應計劃是最新的。例如,您是否有應對災難性事件的手冊?手冊中的聯系人是否更新?手冊中包含過時的技術資產或早已離職的聯系人都將無濟于事。
