执行摘要
对分布式拒绝服务 (DDoS) 攻击趋势而言,2023 年是具有里程碑意义的一年。网络犯罪团伙、有地缘政治动机的黑客和恶意攻击者采用了成本相对较低的 DDoS 攻击方法,并利用由日常数字设备和物联网 (IoT) 设备构成的大规模僵尸网络以及协议级零日漏洞 ,向企业单位、政府机构和包括医院在内的公共基础设施发起了规模庞大的攻击。而在这之中,具有重要地位的公共基础设施因防范薄弱,所遭受的攻击令人十分不安。
在多数情况下,攻击目标无非是让受害者遭受损害、生产力下降和经济损失,以及吸引公众关注,这也是攻击者将目光对准那些众所周知 IT 安全能力不足的受害者的原因,而且受害者的范围越来越广。我们务必要记住一点,那就是 DDoS 攻击是有针对性的攻击,攻击者会精心挑选他们的攻击目标。
在 2023 年,DDoS 攻击变得更加频繁、持续时间更长、手段非常复杂(使用了多种媒介),而且集中于 横向目标 (在同一攻击事件中攻击多个 IP 目标)。银行和金融服务业所遭受的攻击最多。攻击者对这些行业发起攻击通常是为了造成声誉损害,或者分散安全人员的注意力以图发起后续的勒索软件攻击。现在,欧洲、中东、非洲 (EMEA) 地区以及亚太 (APAC) 地区的 DDoS 攻击次数和规模已超过了北美地区。
破纪录的一年
DDoS 攻击的规模和复杂性一直在增长,2023 年这一趋势更是以不可预见的速度急速发展。甚至安全服务供应商及其网站也不能幸免,尽管我们已能够有效抵御大部分攻击,但任然有一些小公司心有余而力不足。2023 年 2 月,某厂商帮助亚太地区一家客户成功阻止了一起大规模的 DDoS 攻击,这是一场针对 Prolexic 客户的攻击。此次攻击的峰值速率达到每秒 900.1 吉比特 (Gbps) 和每秒 1.582 亿个数据包 (Mpps)。9 月,该厂商再次检测到并阻止了针对美国一家极具影响力的大型金融机构的大规模 DDoS 攻击。网络犯罪分子使用了 ACK、PUSH、RESET 和 SYN 泛洪攻击媒介相结合的方式,峰值速率达到 633.7 Gbps 和 55.1 Mpps。
在网络犯罪原本平稳的状态下,2023 年发生这些破纪录的攻击是否反常?完全不!这些攻击与 2022 年开始的“震慑性”DDoS 攻击趋势非常吻合。去年,欧洲一家客户成功阻止了破纪录的 DDoS 攻击(峰值速率为 704.8 Mpps)。事实上,在大规模 DDoS 攻击中,有 80% 发生在过去 18 个月内。
这些攻击因手段复杂、技术高超、规模巨大而引起了广泛关注。与此同时,在地缘政治黑客行动和其他恶意动机的推动下,本年度还发生了几次高数据包速率的第 3 层和第 4 层 DDoS 攻击。事实上,根据观察 2023 年此类攻击的数量最多,相比 2021 年增长了近 50%(图 1)。
图 1:2021 年至 2023 年间,高数据包速率的第 3 层和第 4 层 DDoS 攻击总数增长了近 50%旧协议形成新的零日漏洞,引发大量 DDoS 攻击
2023 年 9 月和 10 月,网络犯罪分子发起大规模第 7 层 DDoS 攻击。HTTP/2 的多路复用功能可以通过单个 TCP 连接处理多达 100 个活动流,当攻击者发起一系列流请求并立即重置流时,这会成为一个非常有效的漏洞。
攻击者这样操作会触发 Web 应用程序服务器中的请求逻辑,但由于流被立即取消,原定的目标服务器会继续处理先前发起的所有流,最终导致每秒有上亿条请求到达 Web 服务器,从而彻底拖垮服务器。
使用火伞云防护解决方案的客户不必采取任何其他措施,便保护了其 Web 服务器免受这种新型 DDoS 攻击的影响。火伞云解决方案的基本安全功能(例如第 7 层 HTTP 速率控制、缓存、Web 应用程序防火墙规则,以及通过 IP 阻止和/或地域屏蔽)可以帮助客户有效阻止 HTTP/2 快速重置攻击。
DNS 基础架构攻击造成企业停工
据观察我们每天的 DNS 请求超过 11 万亿条。凭借这一独特优势,我们能够深入了解攻击者用来破坏企业和机构 DNS 基础架构的策略、技术和程序 (TTP)。在 2022 年上半年短暂回落后,DNS 攻击出现大幅复苏。2023 年,我们帮助抵御的 DDoS 攻击中有将近 60% 涉及 DNS 组件(图 2)。
图 2:2023 年将近 60% 的 DDoS 攻击涉及 DNS 组件,相比 2022 年第一季度增加近 200%银行和金融机构饱受攻击困扰
银行和金融服务行业领域在 2023 年 DDoS 攻击数量排名中高居首位——这可不是什么值得艳羡的荣誉!自 2021 年以来,金融机构成为攻击目标的情况日益多见(图 3)。前几年,大约有 10% 的 DDoS 攻击是针对金融服务机构。到 2021 和 2022 年,该比率增加到 20% 左右,2023 年达到了约 35% 的高点。
图 3:2023 年,银行和金融服务业公司遭受的 DDoS 攻击次数最多。所有 DDoS 攻击中有将近 35% 是针对金融领域由于虚拟机僵尸网络的威力急剧提升,加上乌克兰和以色列战争引发的地缘政治黑客行动,金融服务业遭受的 DDoS 攻击也不断增加。
事实上,亲俄黑客组织已于 2023 年 6 月上旬宣布将对欧洲和美国的金融企业发动大规模协调性 DDoS 攻击。 这些黑客组织中包括了 Killnet、REvil 和 Anonymous Sudan 。也许这种亲俄黑客行动更好地解释了金融服务领域 DDoS 攻击的区域性转变,因为 EMEA 地区现在的攻击数量几乎是北美的两倍(图 4)。
图 4:目前,EMEA 地区金融服务领域第 3 层和第 4 层 DDoS 攻击事件的数量几乎达到了北美的两倍。第 7 层 DDoS 攻击也仍然是金融应用程序面临的一个问题。攻击者在不断努力完善他们的攻击行动、网络和 TTP,以躲避更强大的防御系统。在多次大规模 DDoS 攻击中,我们观察到了一些最为普遍的特征,其中包括:
- 高度分布的 IP/子网和国家/地区目标
- 攻击来源丰富多样,包括受感染/租用的云服务提供商、Tor 出口节点和匿名/开放代理节点
- HTTP 和 DNS 查询泛洪
- 不可缓存的 URL,如主页、随机 URL、搜索输入和登录端点
- 高级攻击者在民用 ISP、移动运营商网络或大学网络背后建立僵尸网络,实施 IP 欺骗。
- 根据防御者的反应实施动态、适应性的攻击
2023 年 DDoS 攻击的其他特点:持续时间长、频率高、复杂性高
2023 年的 DDoS 攻击不仅数量大幅增加,而且攻击类型也比往年更加多样化。横向 DDoS 攻击(有时称为“地毯式轰炸 DDoS 攻击”)自 2022 年最后一个季度以来显著增加。截至 2022 年第三季度,我们观察到的 DDoS 攻击中只有不到 20% 被归类为横向攻击(图 5)。在 2022 年第四季度至 2023 年第三季度的 12 个月期间,我们持续观察到的 DDoS 攻击中有近 30% 为横向多目标攻击,增长将近 50%。
图 5:2023 年,有将近 30% 的 DDoS 攻击是横向(或地毯式轰炸)DDoS 攻击。这个比例与往年相比增加了 50%2023 年 DDoS 攻击的另一个明显趋势是网络犯罪分子对企业或机构使用的攻击媒介数量不断增加。在 2023 年某厂商成功抵御的一些大规模高复杂性 DDoS 攻击中,攻击者混合使用了超过 14 种不同的媒介,目的显然是为了耗尽受害企业的资源并拖垮其网络安全团队。在多数情况下,这种复杂的多媒介 DDoS 攻击还服务于其他目的,就是充当 三重勒索攻击的烟雾弹。
图 6:2023 年第三季度网络犯罪分子发起 DDoS 攻击所使用的各种媒介分布情况网络犯罪分子还联合起来共同攻击那些被视为“脆弱目标”的受害者。在攻击的侦察或映射阶段,攻击者知道哪些生产服务采取了适当的保护措施,并据此实施相应的计划。2023 年,中小型企业、政府机构以及学校、医院、机场和其他交通物流中心等关键公共基础设施反复遭到 DDoS 攻击。2022 年,亲俄黑客组织 KillNet 攻击了美国的几个大型机场; 2023 年,另一个俄罗斯黑客组织 NoName057(16) 攻击了加拿大的多个机场、政府机关和金融机构 。
同样,臭名昭著的黑客组织 Anonymous Sudan 在 2023 年 4 月 攻击了印度的六个大型机场和多家医疗机构 。当然,同类型的 DDoS 攻击还有很多,绝非这几个例子所能涵盖。网络犯罪分子继续将 DDoS 作为一种相对便宜但有效的攻击方式,持续滋扰相关安全团队,分散他们的精力,并给政府和企业造成声誉损害。
最后,我们在 2023 年观察到,持续时间更长的 DDoS 攻击活动再次出现。平均而言,许多攻击活动的持续时间为 20 多分钟,持续时间超过 1 小时的攻击活动数量在 2021 年至 2023 年间增加了 50%。相比之前观察到的趋势——攻击力度非常强但时间短(通常持续不到 2 分钟),这是一种明显的逆转。
如果企业没有采取适当的主动防御措施,并且响应人员无法快速应对,短时突发攻击会非常奏效。持续时间长的攻击会导致生产力下降,在检测到其他威胁并且需要采取响应措施时,还会影响连续运营能力。
使用优秀的 DDoS 防护平台保护客户资产
在这种快速演变而且日益复杂的 DDoS 威胁形势下,火伞云为客户提供全面、灵活、可靠的 DDoS 防护解决方案,可以在各个层级、端口和协议中保护客户的数字基础架构。
2024 年实现主动式高效 DDoS 防护的三项实用行动策略
如果说 2023 年企业单位、政府机构和关键公共基础设施持续不断遭受了高度复杂的网络攻击,那么可以肯定的是,2024 年网络犯罪分子将会设定更高的目标。数字设备的激增让攻击者有机会建立更多僵尸网络,数字基础架构在 EMEA 和 APAC 地区迅速普及,欧洲和中东的地缘政治局势持续紧张,使得环境混乱继续加剧,这些都为有动机的网络犯罪分子提供了便利。
在这种背景下,火伞云建议采取以下三项实用行动策略:
- 完善 DDoS 防护态势,提前做好准备
- 保护 DNS 基础架构
- 不要依赖“足够好”的解决方案
1.完善 DDoS 防护态势,提前做好准备
由于 DDoS 攻击的成本相对较低,尤其随着 DDoS 即服务的迅速扩散,发起攻击的成本变得更低廉,因此这种攻击手段成为了网络犯罪的有力武器。虽然 DDoS 攻击无法预防,但通过采取以下措施,企业完全可以保护自己的数字资产免受此类攻击影响:
- 检查所有关键子网和 IP 空间,确保已采取抵御控制措施。
- 以 不间断防护 状态 部署 DDoS 安全控制措施,将此作为第一层防御,避免紧急集成场景的发生,并减轻事件响应人员的负担。
- 提前指定危机响应团队,制定行动手册和事件响应计划并确保及时更新。这样可以避免在受到攻击时措手不及!
- 使用 混合防护平台 作为本地 DDoS 防护的备份,防止攻击造成本地设备过载。
- 通过网络云防火墙设置主动安全控制规则,将安全态势扩展到基本 DDoS 防护以外。
- 最后,利用久经考验的全球 SOCC 团队的专业能力和经验,来减轻关键内部资源的压力。SOCC 服务可以和稳定可靠的 DDoS 平台的自动化操作和功能相辅相成。
2.保护 DNS 基础架构
DNS 基础架构已重新成为 DDoS 攻击的主要目标。如果 DNS 出现故障,在线业务就会受到影响。攻击者可能并非总是以破坏 DNS 名称服务器为目标。相反,他们可能只是想要耗尽服务器资源,使全球服务器负载平衡性能退化,难以正确响应合法请求。
在某些情况下,如果系统设置为在云中管理某些区域,而在本地管理其他区域,则可能很难确保 DNS 基础架构的安全和性能不受影响。在很多这样的例子中,传统 DNS 防火墙提供的防护并不够。更优的解决方案是混合平台,它让企业能够做到以下几点:
- 保护本地和云中的 DNS 区域免受各种攻击(包括 DNS 水刑攻击、DNS 泛洪攻击等)的影响
- 直观、轻松地管理策略和 IP 允许列表,并实时提供具有实用价值的分析,帮助构建主动安全态势
- 利用高度分布的入网点基础架构,从最近的位置响应用户,提高 DNS 性能
3.不要依赖“足够好”的解决方案
也许最重要的一点是,不要认为现有的 DDoS 和 DNS 安全态势已“足够好”,或者认为自己的企业不在攻击者的目标范围内。2023 年的受害者正是那些在这方面毫无戒心且准备不足的企业和机构,很多人低估了 DDoS 威胁的演变形势,并且高估了现有安全措施的应对能力。
企业应警惕“免费增值”解决方案的真实成本,这些解决方案会以免费或相对便宜的初期投入引诱企业使用入门级服务,但任何有效的服务都会精心隐藏在付费门槛后面。按需引入更高级别防护功能的想法可能很吸引人,但在遭受攻击时,人们可能完全不会想到签署订单执行表的事。
最后,不要忘了从技术解决方案的角度和最佳实践的角度对防御系统进行压力测试。这包括事件行动手册、流程、文档等的测试和完善,因为这些都可以决定企业防御系统是否准备充分,是否足以保障网络安全。
如果说 2023 年的情形给我们上了一堂关于 DDoS 的课,那么我们现在应该知道去年的防护措施已经无法应对今年的攻击。我们都不希望在 2024 年遭遇同样的情形。
