鑒于威脅領(lǐng)域的不斷創(chuàng)新，與12年、10年甚至5年前的攻擊相比，現(xiàn)代分布式拒絕服務(wù) （DDoS）攻擊幾乎已經(jīng)無法識(shí)別。防御快速變化的攻擊媒介和創(chuàng)紀(jì)錄的攻擊，對(duì)于保護(hù)在線基礎(chǔ)設(shè)施至關(guān)重要，但對(duì)于缺乏適當(dāng)資源、專業(yè)知識(shí)或技術(shù)的安全團(tuán)隊(duì)來說，這可能是一項(xiàng)艱巨的挑戰(zhàn)。

昨天 VS今天的DDoS攻擊

下圖描繪了過去十年中50多個(gè)攻擊媒介的活動(dòng)，并概括了DDoS日益復(fù)雜的情況。

【圖1：過去10年的DDoS 活動(dòng)】

4個(gè)值得注意的關(guān)鍵信息：

(1) 攻擊向量“持久性獎(jiǎng)”得主：由于其簡(jiǎn)單性和可靠性，UDP洪水（UDP flood）、SYN洪水（SYN flood）和UDP分片（UDP fragmentation）長(zhǎng)期存在且持續(xù)有效，通常與其他媒介一起出現(xiàn)。

【圖2：UDP洪水、SYN洪水和UDP分片持續(xù)有效】

(2) 一些曾經(jīng)很受歡迎的攻擊向量已經(jīng)失寵：ICMP洪水（ICMP flood），作為一種易于訪問的DDoS載體而廣受歡迎，但它幾乎不像其他允許放大和反射的向量那樣具有沖擊力（圖3）。我們觀察到的有史以來最大的“純ICMP（ICMP-only ）”攻擊只有28 gbps。這些ping可以加起來，但平均ICMP攻擊僅為5 gbps，這對(duì)于今天的DDoS攻擊而言幾乎是“涓涓細(xì)流”，而且它們幾乎需要完全與其他向量一起使用。在所有ICMP攻擊中，平均有兩個(gè)額外的向量。

【圖3：ICMP攻擊不再像以前那樣流行】

(3) 其他攻擊從嶄露頭角到變得突出，但最終以失敗告終。從2015年到2018年，CharGEN攻擊和SSDP洪水的數(shù)量有所增加，但今天卻很少能夠觀察到。造成這種情況的部分原因可能在于更好的可用反射器出現(xiàn)，以及使用這些可利用協(xié)議的暴露服務(wù)器越來越少。

(4) 隨著過濾實(shí)踐的改進(jìn)、新型反射器的減少以及攻擊者偏好更新、更具成本效益的向量，CLDAP反射（出現(xiàn)于2016年底并在2018年達(dá)到頂峰，位列Top5向量）的使用可能會(huì)從DDoS工具包中消失。

從這四個(gè)見解中可以看出，DDoS的威脅正在迅速演變。如下圖所示，2010年排名前五的向量占所有攻擊的90%，而今天排名前五的向量?jī)H占所有攻擊的55%。這種轉(zhuǎn)變不僅突顯了現(xiàn)代DDoS工具包日益增長(zhǎng)的復(fù)雜化，也突顯了安全團(tuán)隊(duì)所面臨抵御蓬勃發(fā)展的威脅庫的巨大壓力。

【圖4：按年份劃分的向量分布比較，左為2010年向量分布；右為2022年】

正所謂“適者生存”，任何最有效的東西——無論是適應(yīng)良好的身體特征還是有效的產(chǎn)品策略——都會(huì)持續(xù)存在并不斷演進(jìn)。同樣地，以最小的成本提供最大影響的攻擊向量將總是越來越受歡迎，并且較它們的“同行”更長(zhǎng)壽。與此同時(shí)，攻擊者也在不斷尋求新工具以最大限度地實(shí)現(xiàn)破壞并提高成本效率。

深入了解當(dāng)今的新型DDoS威脅

2022年上半年，兩個(gè)來勢(shì)洶洶的新型載體首次現(xiàn)身，讓我們窺見了DDoS 的進(jìn)化方向。它們分別為：

(1) PhoneHome：

一種新的反射/放大DDoS向量，具有創(chuàng)紀(jì)錄的潛在放大比4,294,967,296:1，已在野觀察到發(fā)起多次DDoS攻擊。

潛力：存在巨大的放大潛力：?jiǎn)蝹€(gè)微小的入站數(shù)據(jù)包可以發(fā)起巨大的出戰(zhàn)攻擊。

局限：有限的攻擊面——2600個(gè)被錯(cuò)誤配置的系統(tǒng)，使得未經(jīng)認(rèn)證的系統(tǒng)測(cè)試設(shè)施無意中暴露在公共互聯(lián)網(wǎng)上，允許攻擊者利用這些PBX VoIP網(wǎng)關(guān)作為DDoS反射器/放大器；此外，攻擊效果還可能與這些機(jī)器的連接和功率以及惡意行為者妥協(xié)它們的能力有關(guān)。

(2) TCP中間盒反射（TCP Middlebox Reflection）：

這種新的放大向量利用中間盒（例如公司和國(guó)家防火墻）來反射針對(duì)受害者的流量。

潛力：根據(jù)ShadowServer的研究，作為潛在反射器的中間盒無處不在，涉及超過1880萬個(gè) IP。這些公開暴露的服務(wù)中的大多數(shù)本質(zhì)上都是功能強(qiáng)大的，且可以訪問主要的連接中心。

局限：雖然這里的放大系數(shù)是65倍，但上限并不明確。目前，攻擊者可能正在對(duì)可用的反射器進(jìn)行分類并測(cè)試如何可靠地大規(guī)模利用它們。雖然從單個(gè)命令和控制生成請(qǐng)求以觸發(fā)響應(yīng)數(shù)據(jù)包可能會(huì)受到限制，但從僵尸網(wǎng)絡(luò)向反射器生成請(qǐng)求可能會(huì)增加新記錄的規(guī)模。

我們不知道上述任何一個(gè)向量是否會(huì)變得突出或創(chuàng)下新高。但我們可以肯定的是，進(jìn)化的道路將繼續(xù)前行，網(wǎng)絡(luò)上將出現(xiàn)下一代威脅。

與不斷變化的威脅保持同步的建議

DDoS威脅領(lǐng)域的持續(xù)創(chuàng)新迫使組織面臨持續(xù)的風(fēng)險(xiǎn)，同時(shí)也強(qiáng)調(diào)了加強(qiáng)防護(hù)最新攻擊的必要性。為了減少DDoS攻擊造成的停機(jī)影響并有效抵御惡意行為者，請(qǐng)考慮執(zhí)行以下操作：

• 審核關(guān)鍵子網(wǎng)和IP空間，并確保它們具有適當(dāng)?shù)木徑饪刂拼胧?
• 以“始終在線”的緩解態(tài)勢(shì)部署DDoS安全控制作為第一層防御，以減輕事件響應(yīng)者的負(fù)擔(dān)。如果沒有值得信賴且經(jīng)過驗(yàn)證的基于云的提供商，建議立即購買；
• 積極組建危機(jī)響應(yīng)團(tuán)隊(duì)，確保運(yùn)行手冊(cè)和事件響應(yīng)計(jì)劃是最新的。例如，您是否有應(yīng)對(duì)災(zāi)難性事件的手冊(cè)？手冊(cè)中的聯(lián)系人是否更新？手冊(cè)中包含過時(shí)的技術(shù)資產(chǎn)或早已離職的聯(lián)系人都將無濟(jì)于事。