頭圖 | CSDN 下載自東方 IC
出品 | CSDN(ID:CSDNnews)
應用層 DDoS 攻擊與傳統的 DDoS 攻擊有著很大不同。傳統的 DDoS 攻擊通過向攻擊目標發起大流量併發式訪問造成服務不可用,系統癱瘓,這種方式比較容易被識破,且市場上已經有成熟的應對方案。
而近年來興起的應用層 DDoS 攻擊流量則會偽裝成正常的流量,甚至和正常業務一樣,繞過防禦設備,造成企業服務器不可用,業務卡頓等,對防禦方造成很大困擾。
阿里雲安全運營中心對疫情期間的應用層 DDoS 攻擊事件做了深入分析,希望給企業提升防禦水位提供參考。
疫情期間攻擊量級持續高位
這次疫情爆發在春節期間,2020 年 1-3 月份抗擊疫情期間應用層 DDoS 攻擊量持續處於高位。尤其是 1 月中旬到 2 月中旬疫情最嚴重時期,攻擊量與春節前期相比,有了明顯大幅提升。從圖 1 可以看出,攻擊者在抗擊疫情期間“趁虛而入”,試圖從中獲利。
遊戲、醫療和在線教育行業成全新重點目標
據我們統計分析發現,2020 年 1 月 16 日到 3 月 15 日疫情最嚴重期間,應用層 DDoS 攻擊環比增長幅度排名前三的分別為醫療、在線教育及在線辦公、遊戲三大行業,如圖 2 所示。
醫療、在線教育及在線辦公得到了前所未有的關注,大量資源開始投入到這兩大行業中。由於黑客逐利屬性的驅使,使得這兩大行業也成為重點攻擊對象。同時不難看出,疫情期間,大家閉門在家,可選的娛樂活動有限,使得遊戲行業異常火爆,也因此使得遊戲行業受攻擊數量環比增長超過 300%。
主要攻擊來源演變為代理、感染肉雞、雲平臺服務器
通過對疫情期間數百起應用層 DDoS 攻擊事件及數億次攻擊請求做圖聚類分析發現,攻擊來源主要分為三類:代理、感染肉雞、各大雲平臺服務器,且單次攻擊的攻擊來源類型單一,如圖 3 所示。
從圖 3 可以發現,單次攻擊通常利用單一攻擊來源發起攻擊,交叉使用不同攻擊源發起的攻擊數量較少。舉例來說,如果一次攻擊利用了代理作為攻擊源,那就幾乎不再同時利用感染肉雞或雲平臺服務器發起攻擊。
不同攻擊類型特點不同,企業需要做好相應的防禦措施
通過不同攻擊源發起攻擊的次數佔比分別為,代理攻擊源佔比 78.6%,感染肉雞攻擊佔比 20.65%,各大雲平臺服務器攻擊佔比 0.68%。如圖 4 所示。
不同類型的攻擊源佔比分別為,代理攻擊用到的攻擊源佔比為 12.40%,感染肉雞攻擊用到的攻擊源佔比為 87.42%,各大雲平臺服務器攻擊用到的攻擊源佔比 0.18%。如圖 5 所示。
對圖 4 圖 5 綜合分析,我們可以看出:
代理攻擊已成為常態,企業需要足夠重視
代理攻擊在所有攻擊事件中佔比最高,而攻擊源個數僅佔 12.40%。對攻擊者而言,此類攻擊源性價比最高,攻擊 IP 易獲得且成本低廉,用於攻擊時攻擊性能較好,所以成為攻擊中的主力軍。
對企業而言,我們建議在放行業務相關代理的基礎上,對無需使用代理訪問的網站封禁代理,可在防禦中起到“四兩撥千斤”的效果。
感染肉雞攻擊源分散,企業應動態調整防禦策略
通過感染肉雞發起的攻擊事件佔比為 20.65%,但攻擊源個數最多,佔比達 87.42%。這類攻擊的攻擊源極為分散,且對應 IP 往往為寬帶/基站出口 IP。對攻擊者而言,此類攻擊源在線情況並不穩定,單個攻擊源攻擊性能一般。
對於這類攻擊源發起的攻擊,不建議企業採用 IP 粒度的防禦方式。感染肉雞對應的 IP 往往是寬帶/基站出口 IP,背後的正常用戶很多,封禁一個歷史攻擊 IP 的代價有可能是組織成百上千的潛在用戶正常訪問。
更進一步來講,感染肉雞的 IP 變化較快,設備位置的變化以及運營商的 IP 動態分配機制都會改變它們的 IP,從而容易繞過封禁。
防護此類攻擊,需要基於正常業務請求特性,事前封禁不可能出現的請求特徵,如純 App 業務可封禁來自 PC 端的請求;或事中基於正常業務請求及攻擊請求的差異性,動態地調整策略。
借雲平臺發起攻擊量明顯降低
藉助各大雲平臺服務器發起的攻擊事件佔比最少,僅為 0.68%,且攻擊源個數僅為 0.18%。這得益於各大雲平臺針對 DDoS 攻擊做了嚴格管控,也造成攻擊者使用此類攻擊源攻擊的固定成本較高。
因此,我們建議如果發現攻擊源 IP 來自少數幾個 C 段,且正常情況下很少有該 IP 段的請求來訪問,可以考慮將其封禁,避免潛在的惡意請求。
安全建議
基於上述分析,針對如何防禦應用層 DDoS 攻擊,我們給出如下建議:
拉黑歷史攻擊 IP 有風險,添加需謹慎
拉黑先前攻擊中出現過的攻擊源是較為常見的事後防禦加固手段,當遭遇攻擊來自代理或各大雲平臺服務器時,這一做法確實對後續的攻擊在一定程度上有免疫效果。然而,倘若遇上的是感染肉雞發起的攻擊,那封禁歷史攻擊 IP 的做法就是“殺敵一萬,自損三千”了。因此,拉黑歷史攻擊 IP 前要先對攻擊源類型加以區分,避免風險。
僅限制訪問頻率高的 IP,防禦效果有限
拉黑高頻請求的 IP 是最傳統的事中防禦手段,在攻擊源個數較少時,這樣的做法是非常有效的。然而,上述三大類攻擊中任何一類,哪怕是攻擊源佔比最小的各大雲平臺服務器,觀測到的攻擊源數量都在萬量級。這意味著,即使防禦策略嚴苛到每秒每個 IP 只放行一個請求,每秒總計會有上萬的請求湧向網站,絕大多數中小網站的服務器也是無法承受的。
因此,要完全壓制攻擊,需要打出組合拳:事前儘可能封禁不可能出現的請求來源及請求特徵;事中基於攻擊與正常業務的差異動態精細化調整防禦策略。頻次策略只能起到輔助防禦的作用。
閱讀更多 CSDN 的文章
