2019年网络攻击行为发展趋势

2019年网络攻击行为发展趋势

DDoS这种古老的攻击方式依然焕发着强大的生命力。简单、直接和有效是它攻击特性最好的注解。DDoS防护不再依赖设备和检测算法的堆积,更需要安全生态合作和防护协同。攻击者也在与时俱进,不断更新变换攻击手段和方法工具。

2019年相比2018年攻击次数增加了30.2%,攻击总流量下降了26.4%。 12.5% 的 DDoS 攻击事件使用了多种攻击手法,在 300Gbps 以上的超大规模攻击中逾 3成攻击都采用了混合攻击模式,对清洗设备性能和清洗线路的稳定,以及防护运营提出了更大的挑战。

UDP Flood、SYN Flood 和 ACK Flood 依然是 DDoS 的主要攻击手法,混合攻击在超大规模攻击中发挥重要作用。

物联网设备的 DDoS 攻击参与度逐年提升,同时攻击手段增多,在攻击链上的角色出现了分工态势。 物联网设备参与 DDoS 攻击的情况值得持续关注,参与 DDoS 攻击的物联网设备逐年增加,DDoS 团伙中单一团伙最高物联网设备占比达 31%。 IoT 平台家族攻击占比进一步扩大,Gafgyt 和 Mirai 贡献了大部分攻击行为,但整体上,在 DDoS 特征、攻击目标和 C&C 分布等方面没有明显变化。

国内,香港取代浙江成为受 DDoS 攻击最多的省份,其它依次是浙江、广东、北京、江苏。

攻击类型与趋势

1、超大流量攻击来临,2019年上半年已经出现持续2个月攻击接近Tb级,大流量攻击以TCP类攻击为主,单一网段攻击流量持续且流量大,目前已监控到单一C段流量近200G。

2、Memcached反射放大攻击在1月份攻击数量达到峰值,后续2-6月份反射放大攻击数量呈现持续下降趋势,得益于各机构对Memcached反射源的治理,目前整体呈下降趋势,趋于稳定。

3、 应用层攻击对抗,攻击者通过变化多种攻击特征加大攻击量,企图绕过防御规则,压垮防护设备性能。针对百万级连接耗尽型攻击,企业需要根据攻击量进行快速隔离防护,并根据攻击量防护动态快速扩容,不让单一节点性能成为防御瓶颈。

4、伪装成正常应用的恶意APP已让海量移动设备成为新一代肉鸡。攻击者可以轻易在不触发限速防御策略的情况下实现攻击,让限速和黑名单在PC肉鸡时代曾是“一键止血”的防御方式失效。对于个人用户而言,切勿从非正规渠道安装未经审核的APP,让自己手机沦为黑灰产的工具。

攻击行为介绍

长时间大流量持续攻击:如果要说DDoS对抗最为激烈的行业,游戏行业一定是其中之一。攻击量大,持续时间长,对抗激烈,这些攻击特征一直伴随着游戏行业的发展。 对于长期发展的平台,最怕服务连续的中断,这将对客户访问及长期发展产生致命的影响。

安全始终是为业务服务,建议企业能够结合自身业务特点、规模、客户访问情况提前设置DDoS防护策略,以保障在攻击到来时,快速抵抗住。游戏用户对于网络延迟、抖动敏感,在大流量攻击下,单线带宽存跨网拥塞问题容易导致游戏用户网络质量急剧下降,严重者将有可能丧失得来不易的活跃用户。

针对性攻击变化多端: 一个电商客户的多个域名同时遭受到CC攻击。攻击时间持续了20分钟左右,攻击者动用了国内外几十万以上的肉鸡资源,攻击峰值超过150万QPS,具体如下:

16:15,第一波,攻击者伪造Baidu爬虫

16:20,第二波,攻击者变化UA特征,企图绕过防护规则

16:27,第三波,攻击者采用多种攻击方式进行混合攻击

16:32,第四波,攻击者动用更多肉鸡,攻击峰值一度达到150万QPS,企图利用高QPS压垮防御系统处理性能

七层智能防护能力经受住考验,全程保障了客户的电商平台访问顺畅,相比平时并未有其它异常现象出现,攻击者未能达到攻陷网站的目的。此后一段时间,该电商客户陆陆续续遭受过几次试探性CC攻击,客户业务也一直保持平稳运行。

通过主流的WEB服务器来对外提供服务可以帮助企业在稳定性和处理性能上满足正常的业务需要。在服务上线时,企业还应该考虑处理性能冗余问题,要留有余量,以应对异常情况的发生,同时进行压力测试以了解对外服务能力。同时在选择DDoS防护产品时,除了关注带宽能力,还需关注应用层攻击防护能力。

攻击终端设备演变: 数起大规模存在一些共同特征的DDoS攻击,几经溯源发现,这些攻击事件源于大量用户在手机上安装了某些伪装成正常应用的恶意APP,该APP在动态接收到攻击指令后便对目标网站发起攻击。

在PC肉鸡时代,企业抵御肉鸡DDoS攻击的做法相对简单粗暴:

·检测单元:请求频率

·执行动作:限速和黑名单

·防御逻辑:请求频率过高后开始进行源限速或拉黑源IP

在无法有效防御的情况下,还需要人工介入抓包分析,根据攻击具体情况配置防护规则,但这种响应方式相对较慢,业务普遍已经严重受损。当海量移动设备成为新的攻击源,黑灰产无需让单个源IP高频攻击,同时由于攻击源多为大型出口IP,传统的防御方法简单粗暴的将攻击IP拉黑,这些IP背后的大量正常用户也将无法访问。因此,黑灰产可以轻松绕过上述防御逻辑。

企业不应该再对“限速+黑名单就能一招制敌”抱有幻想,而应该采用更为纵深、智能的防护手段:

1.丰富攻击流量识别的维度,将每个请求实时的解析出多维度的检测单元;

2.防护策略的执行需要与多维度的识别相匹配,需要有精细、灵活、丰富的访问控制单元,让各个维度有机组合,层层过滤攻击流量;

3.机器智能替代人工排查,提升响应速度,降低业务中断时间。

关于作者

cdnya administrator

安全防御技术员

发表评论

此站点使用Akismet来减少垃圾评论。了解我们如何处理您的评论数据