過去一年����,DDoS攻擊的手法變得多樣化�����,超過50Gbps的攻擊數(shù)量也急劇增加�。對于許多行業(yè)和企業(yè)來說��,抗D之路任重道遠(yuǎn)��,還有更加嚴(yán)峻的安全形勢需要面對���。
Q1:《白皮書》提到���,2020年是DDoS攻擊增幅最大的一年,其背后原因是什么����?
羅喜軍:我們可以從攻擊者視角來看這個問題。首先�����,從意愿����、動機(jī)的角度來看���,去年突發(fā)的新冠疫情,給人們的生活方式帶來了巨大的變化��,很多活動都從線下切換到了線上�,同時帶來了互聯(lián)網(wǎng)服務(wù)的高速發(fā)展。業(yè)務(wù)高速發(fā)展�����,就會給黑產(chǎn)攻擊者帶來更多可乘之機(jī)����,他們的獲利空間變大;
第二���,在于攻擊者的能力�,即資源���。近幾年IoT、5G等基礎(chǔ)設(shè)施在快速發(fā)展��,與此同時,安全問題也會伴隨產(chǎn)生��,比如弱口令或者一些漏洞問題��,很容易引發(fā)黑客攻擊���,使得設(shè)備淪為“肉雞”����,導(dǎo)致DDoS攻擊��;
而且����,現(xiàn)在DDoS攻擊還有一個趨勢,就是它的攻擊逐漸工具化���,現(xiàn)在叫做攻擊的SaaS化服務(wù)���,它能讓攻擊者的門檻變低。假設(shè)在網(wǎng)頁上注冊賬號���,只要點(diǎn)一下鼠標(biāo)或者調(diào)用API接口就可以發(fā)起攻擊����;
此外,疫情也會使攻擊者的動機(jī)變強(qiáng)�����。疫情刺激需Q�,需Q帶來資源,資源又在一個持續(xù)的增長過程中���,而持續(xù)增長的資源在動機(jī)的強(qiáng)烈驅(qū)動下��,就能夠令攻擊者更好地利用資源����。
綜上�����,攻擊動機(jī)跟攻擊資源這兩個因素使得20年的攻擊趨勢有了很大的增長�����。
Q2: DDoS攻擊走勢與疫情防控形勢顯著相關(guān)���,其關(guān)聯(lián)度體現(xiàn)在哪里�?
羅喜軍:數(shù)據(jù)當(dāng)中體現(xiàn)的關(guān)聯(lián)度在于���,疫情期間大家都宅在家里���,線上業(yè)務(wù)爆發(fā),這時對于黑產(chǎn)團(tuán)伙來說���,就是一個絕佳的攻擊機(jī)會�,勢必比居家隔離前的時段獲利更大��、效果更明顯��。
舉一個更簡單的例子��,游戲�����。在凌晨或半夜�����,很少有人去玩,所以此時對攻擊者來說�����,他們是沒有太大動力去作惡的��,因?yàn)橛脩粼缴�����,獲利越低�;反之,在游戲高峰期��,比如晚上七八點(diǎn)或者中午����,此時在線用戶多,如果這時發(fā)起攻擊�����,會讓攻擊者獲取更大的利益�,對用戶和游戲行業(yè)也都能造成更大的影響。
Q3: 游戲行業(yè)仍然是主要被攻擊行業(yè)����。2020年游戲行業(yè)因DDoS攻擊造成的威脅有多大�?國內(nèi)的游戲企業(yè)受到的影響是否嚴(yán)重?
羅喜軍:游戲行業(yè)一直都是DDoS威脅的一個重災(zāi)區(qū)����,數(shù)據(jù)顯示�,2020年游戲行業(yè)攻擊占比已達(dá)78%,較2019年上升28%�。這個原因在于,受DDoS攻擊的區(qū)域跟與游戲行業(yè)的高度發(fā)展是比較契合的�,放在全球范圍看也是一樣的,也就是說��,游戲行業(yè)對DDoS攻擊感受到的影響是最明顯的��。
舉例說明����,一個玩家在游戲過程中遭到攻擊,有可能簡單卡頓一下��,也有可能直接掉線����,再重連就連不上了����,此時玩家對產(chǎn)品的體驗(yàn)以及產(chǎn)品本身的口碑都會受到很大影響��。
而且���,國內(nèi)的游戲企業(yè)在出海時也會遇到同樣的問題���,在海外可能會遇到更加惡劣的環(huán)境。一方面是海外黑產(chǎn)團(tuán)伙的能力有可能更強(qiáng)���,另一方面是在海外想要采取溯源等措施也許會更加困難����。
因此�,國內(nèi)的游戲在出海過程中受DDoS攻擊的影響會更大,比如近幾年很常見的敲詐勒索��,以及一些不正當(dāng)?shù)母偁�,甚至是有些玩家在游戲中惡意牟取利益,都會影響游戲行業(yè)���。目前對于黑產(chǎn)來說����,DDoS攻擊依然是他們的慣用手段。
Q4: 去年出現(xiàn)了新型的UDP反射攻擊�,原因是什么?為什么這些新型的反射攻擊依然集中在游戲行業(yè)���?
羅喜軍:其實(shí)UDP的反射攻擊是一個比較老的攻擊手法了,但去年我們還是看到UDP反射這里有一些新情況�。去年7月有研究者發(fā)現(xiàn),黑客通過幾種新的IoT設(shè)備����,利用UDP反射手法發(fā)起攻擊,然后美國FBI就對這一威脅進(jìn)行了一次安全預(yù)警�����,通報(bào)給了美國企業(yè)�����,導(dǎo)致黑產(chǎn)了解到這一手法����,那么它就會大范圍地使用這種手法���,這也是7月份之后占比偏高的原因,映射出UDP攻擊手法的一些變化�����。
為什么還是游戲�?有幾個原因,第一��,游戲要保證很好的用戶體驗(yàn)��,需要保持低延時����,所以在網(wǎng)絡(luò)協(xié)議開發(fā)上面永遠(yuǎn)都會采用UDP協(xié)議,UDP反射正好也是用UDP協(xié)議�����,其實(shí)兩個場景下協(xié)議是相同的�����;第二,新的UDP反射手法與以往不同����,以往的可能會有一個反射比,發(fā)十幾字節(jié)的小包之后產(chǎn)生幾百字節(jié)的攻擊包����,形成流量放大。但是這幾種UDP手法�����,它的包長不算特別大����,它的包長與正常游戲協(xié)議的行為包長大小是差不多的�,包括我們看到黑客使用的攻擊源也是這種,比如家里面的路由器或者一些其他的智能設(shè)備��。從服務(wù)端來看��,這些IP就是正常用戶的IP����,因?yàn)榫褪菑募彝ゾW(wǎng)絡(luò)出來的。所以從防護(hù)端的角度來看,這幾個層面就導(dǎo)致我們很難防御這樣的一些情況�,或者說它對于防御系統(tǒng)的挑戰(zhàn)會變大。因?yàn)楣粽咭蚕矚g以假亂真的效果���,所以就會變本加厲����,一旦發(fā)現(xiàn)他突破這個點(diǎn)�,就會大肆使用這種東西。
Q5: 在安全情報(bào)的披露上面�,要披露到什么程度會比較合適?
羅喜軍:這個問題更多的是站在防護(hù)者視角�,或者說以正向的視角去披露。因?yàn)槲覀儾荒芘蹲鰤氖碌氖址��,而是要告訴大家�,做壞事的手法我們是掌握的,抑或是在防護(hù)的過程中��,也能同時解決安全問題�����。
但是作為防守端��,并不代表我們可以去濫用安全情報(bào)的披露手法,而是在于對情況的掌控����。對于整個大盤來說,包括攻防兩端�����,我們都能掌握威脅情報(bào)�����,也正是體現(xiàn)了我們的專業(yè)能力�。
Q6: TCP反射攻擊威脅持續(xù)擴(kuò)大,原因是什么���?
羅喜軍:TCP反射是近兩三年才出現(xiàn)的一個新手法,它在前一兩年更多的是利用網(wǎng)上開源的Web服務(wù)�����,例如依靠通用的高防CDN加速來進(jìn)行反射�。從去年開始,辦公形勢發(fā)生變化��,通用的高防CDN已經(jīng)不能滿足攻擊需Q了,于是就開始利用DNS設(shè)備��,包括其他智能設(shè)備來發(fā)起���。
這個跟UDP反射會有一些差別�����,UDP反射更多是希望反射發(fā)起流量放大���,達(dá)到四兩撥千斤的效果;而TCP反射沒有明顯的放大比����,沒法放大流量,但是可以讓包量或者PPS達(dá)到很大的程度��。包量或者PPS參數(shù)對于網(wǎng)絡(luò)設(shè)備或防護(hù)設(shè)備的性能體驗(yàn)挑戰(zhàn)是比較大的��,這也是TCP反射攻擊的威脅比UDP反射更難解決的原因所在���,它所造成的PPS包量吞吐量會比較大���,這對于我們設(shè)備的性能來說是很大的考驗(yàn)���。
另外,TCP反射使用的是一個正常的通信協(xié)議棧����,它還是以假亂真,正常的協(xié)議棧很難去區(qū)別對待��,到底是正常用戶��?還是一個攻擊者�?這一利用點(diǎn)會給我們的防護(hù)體系和防護(hù)策略帶來更高的挑戰(zhàn)。所以不法黑客更加愿意利用從簡到難的方式����,慢慢用UDP反射,再到TCP反射��,一步步加強(qiáng)�����,一步步試圖突破�����。
Q7:《白皮書》顯示�����,應(yīng)用層攻擊呈現(xiàn)海量化趨勢��,這個點(diǎn)指的是什么���?
羅喜軍:去年我們捕獲到一例接近300萬QPS的加密流量攻擊��,之前捕獲的最大規(guī)模也就幾萬����,這其實(shí)是一個幾十倍的增長�����。我們發(fā)現(xiàn)加密流量的威脅突然間變大����,應(yīng)用層的威脅也隨之突增,然后再增�。還有一個有趣的點(diǎn),這些攻擊源使用的都是秒撥IP,即秒撥代理IP�����,它是說在業(yè)務(wù)安全領(lǐng)域���,欺詐���、黃牛、薅羊毛的場景可能會比較多地用到秒撥IP��,因?yàn)樗煌G袚Q��,必須繞過我們的風(fēng)控策略����。
我們發(fā)現(xiàn)秒撥IP已經(jīng)應(yīng)用于傳統(tǒng)的安全對抗領(lǐng)域,如果還是以IP的角度去做攔截防護(hù)�����,就會有很多弊端�����,因?yàn)槊霌躀P的特性就是不停地變����,如果再用舊方法對抗它,就會發(fā)現(xiàn)我們永遠(yuǎn)落后于攻擊者��,永遠(yuǎn)都是在被別人打了一波之后再去分析���。
Q8:XOR.DDoS僵尸網(wǎng)絡(luò)最為活躍��,原因有哪些���?
羅喜軍:XOR僵尸網(wǎng)絡(luò)是比較經(jīng)典的一個僵尸網(wǎng)絡(luò),已經(jīng)10多年了���,這個僵尸網(wǎng)絡(luò)感染Linux服務(wù)器���,通過密碼爆破或者弱口令的方式去感染,感染之后在上面種植木馬后門�����,里面會種植一個DDoS攻擊工具�,這個攻擊工具會被類似的“肉雞”加入到壞人的僵尸網(wǎng)絡(luò),去發(fā)起對外攻擊。這個攻擊手法是最經(jīng)典的手法���,其實(shí)就是SYNFLOOD���,而且是SYN大包攻擊,一般單個網(wǎng)絡(luò)的規(guī)模應(yīng)該是在100~300G左右�����,去年下半年由于IoT這種設(shè)備的發(fā)展�,所以活躍度在下半年也會變大。
去年12月份��,我們在一個開源的軟件供應(yīng)鏈里面發(fā)現(xiàn)有僵尸網(wǎng)絡(luò)通過投毒的方式進(jìn)行傳播����,這相對來說還是比較大的、新的趨勢���。以往的傳播可能還是通過黑客去黑新“肉雞”����,控制“肉雞”����,然后上傳木馬����、后門���,上傳工具,發(fā)起攻擊���,但當(dāng)時我們發(fā)現(xiàn)軟件園的安全監(jiān)控里面����,它通過偽造某一個軟件供應(yīng)鏈里的一個軟件���,在里面捆綁一個后門�,一旦在用開源軟件搭建自己的業(yè)務(wù)體系時���,發(fā)現(xiàn)這個軟件是被投毒的�����,那機(jī)器可能也就被種上了這樣的木馬����。
Q9:與往年相比,騰訊2020年抗D最重點(diǎn)的技術(shù)提升方向是哪些�����?效果如何���?
羅喜軍:第一��,降本增效�。我們不斷地去研發(fā)高性能的防護(hù)設(shè)備和方案����,去降低在設(shè)備上的投入成本。比如以往可能更多的是單臺設(shè)備��,能防御10G的流量�,到去年我們已經(jīng)開始邁入到百G甚至400G的區(qū)段,這樣投入成本就會下降�����,運(yùn)維�����、運(yùn)營效率也會隨之提高。
第二�����,加盟提效����。通過跟一些合作伙伴共同建立安全能力�����,把安全能力開放給客戶����。然后就是在算法層面的持續(xù)升級,我們以往的對抗形式可能還是比較傳統(tǒng)����,比如寫規(guī)則、寫特征��,但是在攻擊手法復(fù)雜化或者強(qiáng)對抗的背景下���,這樣的方法就會越來越局限�,所以我們也是在不停地利用大數(shù)據(jù)或者機(jī)器學(xué)習(xí)算法,去提升策略的可配置性或靈活性��,希望能夠更加智能�����、自動化地去處理一些高級別的攻擊手法�����。
至于效果如何���,就是產(chǎn)品的付費(fèi)成本可能會下降����,或者說相同成本上�,能買到更多的高防能力,這是一個��,因?yàn)槌杀臼强蛻糁攸c(diǎn)考量的因素��;第二����,因?yàn)榘踩シ烙肋h(yuǎn)是一個持續(xù)對抗的過程��,而且技術(shù)的升級在于對抗效率的提升��,比如以往出現(xiàn)一個攻擊手法����,可能要花上三五天才能幫客戶解決��,現(xiàn)在只要一天甚至半天����,或者只需要調(diào)一個配置��,就能解決這個問題�����,效率會大幅提升�����,客戶的受影響時間也會大大縮減�����。
Q10:騰訊安全為客戶提供了什么樣的增量能力和解決方案?
羅喜軍:我們之前推出了一個方案叫做“AI防護(hù)”�,以前沒有它的時候,當(dāng)一個攻擊手法變化時�,通常的模式是,客戶業(yè)務(wù)受損時��,安全團(tuán)隊(duì)通過分析來調(diào)整和更新策略��,這樣一來可能會耗上幾小時甚至更久����;而在推出“AI智能防護(hù)”這種高級功能之后,客戶只需要在頁面上點(diǎn)一下�,就可以自動分析攻擊手法的變化,自動識別和調(diào)整策略�,可能只要幾分鐘時間,大量業(yè)務(wù)就能恢復(fù)����,這是一個點(diǎn)。
Q11:在黑灰產(chǎn)的攻擊手段不斷升級時�,作為防守方,我們要如何跑在前面?
羅喜軍:第一����,我們的威脅情報(bào)能力要Q我們要把很多事情做到事前,不要被動挨打�,而是主動去控盤,所以我們對于業(yè)界的威脅變化會有一個及時的捕獲���、感知��;
第二�����,對于騰訊自有的業(yè)務(wù)來說��,尤其是自有的游戲業(yè)務(wù)��,其實(shí)也會存在這樣大的威脅,包括騰訊云的客戶��。比如a客戶發(fā)現(xiàn)了一些問題�,能夠及時感知到,我們就能把這個問題放到整個大盤上去考慮��;如果b客戶也發(fā)現(xiàn)問題,就不會很被動地處理�,這就體現(xiàn)了我們的威脅情報(bào)能力;
另外一點(diǎn)是后端的技術(shù)能力���。當(dāng)一個新的問題出現(xiàn)后����,技術(shù)迭代能很快解決問題并適應(yīng)這一狀況�����。其實(shí)我們所有后臺系統(tǒng)都是自研的����,自研帶來的一個好處是可控性好,定制化的效率也會很高�����。當(dāng)有需Q或者遇到攻擊之后�����,能夠很快實(shí)現(xiàn)迭代升級����,這也依賴于后臺的技術(shù)模型���,畢竟要支持這么快的迭代效果。
Q12:抵御DDoS領(lǐng)域最需要的核心能力是什么�,我們的核心優(yōu)勢又是什么?
羅喜軍:第一�����,我們具備多年的技術(shù)沉淀和積累��。因?yàn)榘踩袑I(yè)門檻���,可能這里不存在捷徑���;另一個層面,騰訊擁有許多業(yè)務(wù)�����,具備海量���、全新的互聯(lián)網(wǎng)業(yè)務(wù)模型,還包括騰訊云用戶的實(shí)戰(zhàn)結(jié)論,這里指的是放到實(shí)戰(zhàn)當(dāng)中��,跟壞人去肉搏之后����,才能知道應(yīng)該怎么打,這是我們在技術(shù)上的一些優(yōu)勢�;
第二,資源優(yōu)勢�����。因?yàn)镈DoS很大程度還是在于資源的配套�����,像騰訊安全的產(chǎn)品擁有的后端資源儲備���,比如帶寬資源儲備�����,BGP網(wǎng)絡(luò)的儲備等���,我們各個業(yè)務(wù)的形態(tài)都能為用戶提供很高的防護(hù)帶寬和能力��,這是資源優(yōu)勢�����;
第三����,安全服務(wù)�����。比如客戶出現(xiàn)問題需要解決時���,我們能夠快速支持和響應(yīng)��,幫助客戶正向處理問題���。
Q13:未來有哪些行業(yè)可能會成為DDoS攻擊的高發(fā)領(lǐng)域,如果這些行業(yè)需要提前部署��、提前應(yīng)對的話��,應(yīng)該通過哪些方面來建立自身的行業(yè)體系��?
羅喜軍:理論上看,所有互聯(lián)網(wǎng)業(yè)務(wù)都會存在DDoS攻擊的可能���,因?yàn)樗幌袷锹┒椿蛘呷肭郑┒锤肭质钦f自身存在弱點(diǎn)���,壞人才有機(jī)會進(jìn)來����;但DDoS是說�,只要在網(wǎng)上就存在這種可能,因?yàn)榫W(wǎng)絡(luò)可達(dá)就會存在這個問題����,而且DDoS的攻擊效果是最明顯的,就是讓用戶斷網(wǎng)�,同時給業(yè)務(wù)造成負(fù)面影響。
未來�����,在一些新興行業(yè)當(dāng)中�,可能會存在這種安全風(fēng)險(xiǎn)。比如在線教育��,網(wǎng)絡(luò)斷了,學(xué)生就沒法上網(wǎng)課���;或者是在線醫(yī)療����,這是真正與生命緊密相連的����,所以會有很大的風(fēng)險(xiǎn)存在。對于此類行業(yè)的客戶或企業(yè)主來說�,我們的建議是:
第一,企業(yè)自身要具備抗攻擊能力��。如同普通人得感冒����,或許不是全靠吃藥來解決問題,而是身體首先要具備一定的抵抗力���。同理���,業(yè)務(wù)首先要在程序、代碼開發(fā)�����、架構(gòu)等方面具備一定的抗攻擊能力;
第二��,對于架構(gòu)層面來說���,當(dāng)真正出現(xiàn)問題時,要有快速的調(diào)度或熱備切換����,這是容災(zāi)的問題,也可以叫做快速恢復(fù)業(yè)務(wù)的能力��;
第三�,專業(yè)的人干專業(yè)的事,當(dāng)真正影響到企業(yè)的生存發(fā)展時���,還是要找專業(yè)的安全服務(wù)團(tuán)隊(duì)來解決這個問題�����。
在對抗DDoS的同時�,主機(jī)安全對企業(yè)來說也同樣至關(guān)重要�����。云計(jì)算、云原生技術(shù)迅猛發(fā)展��,傳統(tǒng)的安全邊界被打破�����,攻擊手段日益復(fù)雜��。一方面�,主機(jī)作為企業(yè)承載重要數(shù)據(jù)和業(yè)務(wù)的核心,如何保障其安全�、穩(wěn)定的運(yùn)行,成為難題���;另一方面��,安全事件發(fā)生后���,安全人員因沒有主機(jī)側(cè)的數(shù)據(jù),僅憑流量數(shù)據(jù)分析���,難以完成高質(zhì)量的溯源�。
經(jīng)營性網(wǎng)站備案信息
可信網(wǎng)站信用評價(jià)
網(wǎng)絡(luò)警察提醒您
誠信網(wǎng)站
中國互聯(lián)網(wǎng)舉報(bào)中心
網(wǎng)絡(luò)舉報(bào)APP下載
