掌握新特征打好新一年DDoS反擊戰(zhàn)

　　進入后疫情時代，DDoS攻擊發(fā)起者的野心恐將欲壑難填，企業(yè)需要以面對疫情常態(tài)化的心態(tài)來應對“加強版”的DDoS攻擊‍‌‍‍‌‍‌‍‍‍‌‍‍‌‍‍‍‌‍‍‌‍‍‍‌‍‍‍‍‌‍‌‍‌‍‌‍‍‌‍‍‍‍‍‍‍‍‍‌‍‍‌‍‍‌‍‌‍‌‍。

　　回首過去一年，新冠肺炎疫情成為了各行各業(yè)的關鍵詞‍‌‍‍‌‍‌‍‍‍‌‍‍‌‍‍‍‌‍‍‌‍‍‍‌‍‍‍‍‌‍‌‍‌‍‌‍‍‌‍‍‍‍‍‍‍‍‍‌‍‍‌‍‍‌‍‌‍‌‍。 疫情的大流行導致人們大規(guī)模地轉移到遠程工作和學習的模式，并愈發(fā)依賴在線服務，這也為網絡犯罪分子提供了更多的攻擊機會‍‌‍‍‌‍‌‍‍‍‌‍‍‌‍‍‍‌‍‍‌‍‍‍‌‍‍‍‍‌‍‌‍‌‍‌‍‍‌‍‍‍‍‍‍‍‍‍‌‍‍‌‍‍‌‍‌‍‌‍。 在網絡安全領域，過去一年見證了分布式拒絕服務(DDoS)攻擊的爆發(fā)。 與往年相比，網絡犯罪分子在2020年對各行業(yè)發(fā)起的DDoS攻擊在規(guī)模、頻率和復雜度上均創(chuàng)下了新高，攻擊方式也更是別有用心。

　　進入后疫情時代，DDoS攻擊發(fā)起者的野心恐將欲壑難填，企業(yè)需要以面對疫情常態(tài)化的心態(tài)來應對“加強版”的DDoS攻擊。

　　2020年，Akamai智能邊緣安全平臺成功抵御了包括截至目前最大帶寬和最大吞吐量在內的數(shù)起DDoS攻擊。 基于此，本文總結了Akamai平臺上觀察到的DDoS攻擊新趨勢，并提出了解決之道，旨在幫助企業(yè)在后疫情時代的安全環(huán)境中以往鑒來，更好地保護自身業(yè)務發(fā)展。

　　攻擊手段變化多端

　　過去十年間，被攻擊企業(yè)在互聯(lián)網的出入口位置受到的壓力和網絡設備的處理能力面臨的壓力基本呈指數(shù)型增長，增長了約20倍，而2020年這兩項指標又再次被刷新。

　　具體而言，2020年6月的第一周，Akamai應對了迄今見到的最大規(guī)模帶寬的DDoS攻擊。 其針對的是一家互聯(lián)網主機提供商，主要攻擊對象共有五個IP地址，使用了ACK Flood、CLDAP反射、NTP Flood等九種不同的攻擊向量和多種僵尸網絡攻擊工具。 這起攻擊流量來源于全球，持續(xù)了近兩個小時，最終峰值達到1.44Tbps和385Mpps，其中超過1Tbps的帶寬攻擊就超過了一個小時。 而上一次Akamai觀察到如此大帶寬的DDoS攻擊還是在2018年，當時的攻擊帶寬僅為1.3Tbps。 由這起攻擊事件可見，攻擊者為了達到目的，非常重視DDoS攻擊技術的開發(fā)與變化。 事實上，多向量DDoS攻擊在2020年非常普遍，Akamai平臺緩解的攻擊中約有33%的攻擊包含三個或更多攻擊向量，最多為14個不同向量。

　　另一起破吞吐量紀錄的DDoS攻擊發(fā)生在2020年6月，目標為一家歐洲大型銀行。 Akamai觀察到其帶寬在幾秒鐘內從正常流量水平激增至418Gbps，隨后在約兩分鐘內達到809Mpps的吞吐量峰值。 整起攻擊雖然持續(xù)不到十分鐘，但獨特之處在于Akamai觀察到的數(shù)據包源IP地址數(shù)量大幅增加，這意味著在攻擊期間，攻擊者向該銀行目的地注冊的源IP數(shù)量大幅增加，表明攻擊來源高度分布。 Akamai觀察到的每分鐘源IP數(shù)量是平常觀察到的客戶目的地址的600倍以上。

　　2020年以上述兩起破紀錄的DDoS攻擊為代表的數(shù)起攻擊反映出這樣一個問題—雖然某些攻擊未得逞，但攻擊者愿意花費的成本與代價十分巨大，企業(yè)若沒有富有經驗的技術、人員和流程，將難以應變。

　　不明勒索型攻擊混雜

　　從2020年8月開始，Akamai的部分客戶陸續(xù)收到幾個攻擊組織發(fā)來的DDoS攻擊勒索信。 信中措辭與此前已公開的勒索內容并無二致：勒索信警告他們若對外曝光勒索要求，則立即發(fā)起攻擊，攻擊不但會破壞基礎設施，還將造成企業(yè)聲譽受損等更大影響。 可見勒索者精心策劃過信件內容，希望達到“不戰(zhàn)而屈人之兵”的效果。 一些勒索信注明了身份，如主要針對金融機構進行勒索的Fancy Bear(APT 28)和Armada Collective分別要求被勒索企業(yè)支付10個比特幣(時價為12萬美元)和20個比特幣(約合24萬美元)，若企業(yè)超過付款期限，還會增加勒索要求。 還有一些勒索信指明了攻擊目標并威脅發(fā)起一次小的“測試”攻擊來證明情況的嚴重性以及攻擊的決心。

　　Akamai平臺曾觀察到一個受勒索的客戶遭到了50Gbps的攻擊，但經過分析，該勒索攻擊者并非信中聲稱的組織，而是利用知名攻擊組織的名聲來恐嚇企業(yè)加緊付款。 而這樣“渾水摸魚”的勒索事件在2020年的勒索型DDoS攻擊中更是屢見不鮮。

　　Akamai平臺運用數(shù)據和專家的經驗，將“攻擊信號”進行提取，包括勒索DDoS攻擊中的向量、所利用的漏洞等技術特征，鑒別攻擊是否為平臺上出現(xiàn)過的已知威脅，最終Akamai發(fā)現(xiàn)，2020年的勒索型DDoS攻擊并不都是信中宣稱的那些組織發(fā)起的，雖然很多人宣稱自己是某一黑客組織，但他們所使用的安全信號完全不同，有些攻擊甚至被Akamai平臺自動攔截了。 從Akamai的數(shù)據來看，真正由信中宣稱的組織發(fā)起的勒索型DDoS攻擊在所有攻擊中只占約10%; 從另一個角度來說，2020年發(fā)生的DDoS攻擊并不是每一起都會告知受勒索企業(yè)其勒索需求。

　　勒索組織進行了全行業(yè)掃描

　　總體而言，Akamai在2020年發(fā)現(xiàn)北美、亞太、歐洲、中東和非洲的企業(yè)收到的勒索信日益增加。 金融服務業(yè)起初是受威脅最大的行業(yè)，但隨后，勒索組織又將目標對準了其他行業(yè)，波及電商、社交媒體、制造、酒店和旅游等不同行業(yè)。 勒索組織進行了全行業(yè)掃描，從最有利可圖的行業(yè)入手，勒索完一個行業(yè)便調轉槍口對準另一個行業(yè)。

　　攻擊最終發(fā)起的情況也反映出一個現(xiàn)象—沒有行業(yè)能夠幸免。 2020年8月前，DDoS攻擊主要針對游戲業(yè)。 但從8月開始，攻擊突然轉向金融業(yè)，隨后又擴散至多個行業(yè)。 由于疫情期間在線學習的需要，教育業(yè)在2020年成為了DDoS攻擊的“重災區(qū)"，DDoS攻擊會使學生無課可上，產生非常糟糕的后果。

　　五大舉措應對“新時代”的勒索型DDoS攻擊

　　2020年很多遭到攻擊的大型企業(yè)表示勒索信被系統(tǒng)當成垃圾郵件過濾了，因此沒有收到勒索郵件的企業(yè)并不代表其能夠獨善其身。 而中小型企業(yè)往往在勒索的成本與付出的安全投資之間舉棋不定。 可以確定的是，勒索型DDoS攻擊會長期存在，攻擊者正在改變和更新其攻擊手段，不斷躲避網絡安全從業(yè)者和執(zhí)法機構。 那么面對“新常態(tài)”下的網絡環(huán)境，企業(yè)該如何應對DDoS攻擊呢?

　　第一，面對DDoS攻擊，企業(yè)機構決不能妥協(xié)，不能助紂為虐。 按照攻擊者的要求支付贖金既無法保證攻擊者停止攻擊，也不能確保未來不再受到其他攻擊威脅。

　　第二，企業(yè)機構可以向有經驗的組織尋求幫助，借力專家，尋求適當?shù)燃壍淖稍兣c安防建議以及應對突發(fā)情況的緊急服務。 并且企業(yè)機構應該以情報研判、實戰(zhàn)經驗、緩解能力和緩解容量四個方面作為評估標準，尋找合適的合作伙伴。

　　第三，DDoS攻擊在發(fā)生的那一刻，可能就已經造成了企業(yè)數(shù)萬美元的財務損失，所以，企業(yè)機構應該隨時準備迎戰(zhàn)，結合合適的防護方案與安全合作伙伴，主動緩解DDoS流量，讓攻擊者難有可乘之機。

　　第四，企業(yè)機構應該優(yōu)化自身安防流程和技術，改善自身安全態(tài)勢，有針對性地設立防御層次。 根據自身業(yè)務形態(tài)與風險承受能力確定應采用的安防形式，形成閉環(huán)，不斷優(yōu)化，從而更好地保護自身資產。

　　第五，企業(yè)機構應該協(xié)調好技術、流程和人員的關系，召集相關職能部門，確保準備充分，了解在發(fā)生攻擊時各自應采取何種措施。 企業(yè)機構可以定期執(zhí)行桌面演練，以確保適當?shù)娜藛T、流程和技術隨時準備就緒，讓投資的技術、工具都能落到實處，使價值最大化。

　　企業(yè)發(fā)展論文范例：企業(yè)金融化與盈余持續(xù)性

　　2020實屬不易，DDoS攻擊帶來的威脅從未像現(xiàn)在這樣嚴峻。 企業(yè)機構只有做到以上五點，通過“人員+流程+技術”結合的方式，建立應對DDoS攻擊的全方位安防網，才能有條不紊地應對水平不斷上升的DDoS攻擊，打好DDoS反擊戰(zhàn)，在2021“牛”轉乾坤‍‌‍‍‌‍‌‍‍‍‌‍‍‌‍‍‍‌‍‍‌‍‍‍‌‍‍‍‍‌‍‌‍‌‍‌‍‍‌‍‍‍‍‍‍‍‍‍‌‍‍‌‍‍‌‍‌‍‌‍。

　　作者：馬俊

轉載請注明來自發(fā)表學術論文網：http:///dzlw/27565.html