2021年DDoS攻擊趨勢解讀
話題一:最近發布的《2021年上半年全球DDoS威脅報告》中,DDoS攻擊趨勢高增長是哪些原因導致的?
吳鐵軍
DDoS攻擊的三個特性,導致其在不斷治理的情況下仍然保持增長態勢:一是攻擊的有效性立竿見影,由于攻擊效果好,攻擊者熱衷于挖掘新型DDoS攻擊手段,甚至多國高校把DDoS威脅作為研究目標并揭露威脅;二是執行攻擊簡單易操作,早期的DDoS攻擊攻擊工具操作界面幾乎是傻瓜式,粗懂網絡知識的人員輸入IP地址或域名即可發起海量DDoS攻擊并使目標失去服務能力,然而近幾年來開始推出攻擊即服務的模式,特別是BaaS、Botnet即服務模式,讓實施DDoS攻擊的攻擊者人群再次擴展;三是隱蔽性強,早期偽造源IP、反射攻擊、僵尸網絡等都能有效隱藏其真實攻擊資源。黑產攻擊團伙分工逐步明晰,隨著近幾年物聯網的持續發展,黑產團伙可利用的攻擊資源不斷斷攀升,這些都導致了DDoS攻擊仍然保持著增長態勢。
在疫情影響下,各類企業業務持續線上遷移,游戲、直播、電商、線上教育等行業繁榮發展,引來黑產團伙覬覦。2017年,DDoS攻擊黑產團伙從重創中逐步恢復;2019年,海外DDoS黑產開始復蘇;2020年,DDoS攻擊黑產更是瞄準了重點行業。四年以來,黑產始終保持活躍的狀態。
孫國錦
話題二:哪些行業是DDoS的重災區?
吳鐵軍
黑產團伙始終追求利益最大化,因此,黃賭毒、游戲、在線交友互動等容易遭受攻擊。隨著物聯網設備的增加和云服務的發展,反射攻擊源的獲取成本降低,攻擊者把部分僵尸網絡用于挖礦以降低被暴露的危險,在需要使用CC攻擊的情況下用僵尸網絡發起攻擊。總之為了保障利益的持久化和最大化,黑產團伙會靈活采取一些應對策略。
在行業低門檻、高競爭性、高利益特性的持續影響下,游戲仍然是DDoS攻擊最集中的行業。研究表明,挖礦活動和DDoS攻擊活動對于肉雞資源存在競爭關系,而2020年下半年比特幣/以太坊等虛擬貨幣的價格處于歷史高位,導致大量肉雞資源流入挖礦領域。
孫國錦
話題三:從目前的現狀來看,黑產的產業鏈和攻擊成本都非常低,黑客是專挑大企業打,還是無差別攻擊?
吳鐵軍
黑客并不只挑大企業進行攻擊,還有另外一部分攻擊團伙是針對中小企業進行敲詐勒索,以圖獲得豐厚的贖金。目前,黑產產業鏈發展已從分工明晰轉向自動化,專業化,包括脆弱資源探測、漏洞利用、弱口令收割、脆弱配置探測、反射源探測等。大的DDoS攻擊團伙會收購或侵吞小型僵尸網絡控制者,也就是“黑吃黑”。
話題四:目前主流的攻擊手段有哪些?DDoS攻擊技術的最新特征和趨勢?黑客最青睞哪種?
吳鐵軍
近年來,UDP反射成為最受攻擊者歡迎的攻擊方式,其放大攻擊既有大量的攻擊資源,又有較為可觀的放大倍數,且很難溯源;另外,黑產產業鏈對UDP反射放大攻擊進行了充分的封裝,進一步降低了攻擊的門檻。隨著疫情和遠程辦公的影響,客戶正常業務中OpenVPN流量占比逐漸增大,而OpenVPN則因為擁有超過100萬的攻擊源數量,逐漸成為新型UDP反射攻擊中的黑馬。
在攻擊資源上,由于互聯網上大量開放的TCP端口和大量家庭網絡的暴露,導致TCP服務器成為數量最大的DDoS反射攻擊資源,受攻擊次數、規模雙雙增長。2021年以來,百G以上的TCP攻擊屢見不鮮,包速率動輒數以億計,對上下游網絡設備、防護設備以及云端清洗服務的性能造成了嚴峻挑戰。
孫國錦
話題五:DDoS攻擊溯源、取證執法為何如此困難?
吳鐵軍
攻擊溯源在網絡安全行業一直是一個難題。UDP和TCP反射攻擊,最終暴露的是網絡空間的反射源,這把攻擊團伙的攻擊資源隱匿在網絡空間的一角,僵尸網絡攻擊也僅僅暴露C2地址,把攻擊團伙隔離在C2之外。DDoS攻擊大多是以量獲勝,量大容易暴露,所以DDoS攻擊者一開始就在思考使用偽造源IP、利用反射、僵尸網絡等手段發起攻擊并隱藏自己。同時,從攻擊防御的角度是無法觀測到攻擊團伙的攻擊資源,使得攻擊鏈路無法向前推進,溯源鏈路中斷,導致無法徹底曝光和摧毀攻擊團伙。
攻擊溯源取證困難主要有兩大原因:其一,黑客把自己的IP都藏起來了;其二,由于原來IP偽造技術的存在。在服務器端,我們沒有辦法確認這個原IP是否為真,而非被別人偽造出來的。整個取證的過程漫長無比,需要持續不間斷地攻擊,才有可能拿到一個完整的證據鏈。
孫國錦
話題六:面對DDoS攻擊的復雜性和不確定性,企業如何應對?
孫國錦
在遭遇DDoS時,企業要在保障業務連續性、可操作性和所需成本之間找到最佳平衡點。其一,可以通過接入大公司的服務及資源,有效抗擊DDoS攻擊;其二,面對不斷升級的黑產技術,人工智能正在逐步成為打擊黑產的利器。
話題七:DDoS攻擊威脅治理方案與舉措建議
吳鐵軍
受害者為了確保業務順暢進行,在被攻擊之后往往會在多個防護廠商之間游走,尋求不同的攻擊庇護,與此同時攻擊團伙間資源已然相互租用、相互聯合。DDoS攻擊治理需要各防御廠商攜手面對共同的敵人,建立DDoS聯防聯控聯盟,形成協同防御、情報共享、共同發展的機制。
