應(yīng)用層 DDoS 攻擊與傳統(tǒng)的 DDoS 攻擊有著很大不同�����。傳統(tǒng)的 DDoS 攻擊通過向攻擊目標發(fā)起大流量并發(fā)式訪問造成服務(wù)不可用�,系統(tǒng)癱瘓���,這種方式比較容易被識破,且市場上已經(jīng)有成熟的應(yīng)對方案���。
而近年來興起的應(yīng)用層 DDoS 攻擊流量則會偽裝成正常的流量���,甚至和正常業(yè)務(wù)一樣,繞過防御設(shè)備����,造成企業(yè)服務(wù)器不可用,業(yè)務(wù)卡頓等�,對防御方造成很大困擾。
阿里云安全運營中心對疫情期間的應(yīng)用層 DDoS 攻擊事件做了深入分析��,希望給企業(yè)提升防御水位提供參考�。
DDoS 攻擊爆發(fā)!醫(yī)療在線教育成重點�,代理攻擊成常態(tài)
疫情期間攻擊量級持續(xù)高位
這次疫情爆發(fā)在春節(jié)期間����,2020 年 1-3 月份抗擊疫情期間應(yīng)用層 DDoS 攻擊量持續(xù)處于高位���。尤其是 1 月中旬到 2 月中旬疫情最嚴重時期�,攻擊量與春節(jié)前期相比�,有了明顯大幅提升。從圖 1 可以看出����,攻擊者在抗擊疫情期間“趁虛而入”,試圖從中獲利���。
DDoS 攻擊爆發(fā)�!醫(yī)療在線教育成重點��,代理攻擊成常態(tài)DDoS 攻擊爆發(fā)�!醫(yī)療在線教育成重點,代理攻擊成常態(tài)
游戲�、醫(yī)療和在線教育行業(yè)成全新重點目標
據(jù)我們統(tǒng)計分析發(fā)現(xiàn),2020 年 1 月 16 日到 3 月 15 日疫情最嚴重期間�,應(yīng)用層 DDoS 攻擊環(huán)比增長幅度排名前三的分別為醫(yī)療、在線教育及在線辦公、游戲三大行業(yè)����,如圖 2 所示。
DDoS 攻擊爆發(fā)����!醫(yī)療在線教育成重點,代理攻擊成常態(tài)
醫(yī)療�����、在線教育及在線辦公得到了前所未有的關(guān)注���,大量資源開始投入到這兩大行業(yè)中。由于黑客逐利屬性的驅(qū)使����,使得這兩大行業(yè)也成為重點攻擊對象。同時不難看出���,疫情期間���,大家閉門在家,可選的娛樂活動有限,使得游戲行業(yè)異���;鸨���,也因此使得游戲行業(yè)受攻擊數(shù)量環(huán)比增長超過 300%。
DDoS 攻擊爆發(fā)�!醫(yī)療在線教育成重點,代理攻擊成常態(tài)
主要攻擊來源演變?yōu)榇����、感染肉雞、云平臺服務(wù)器
通過對疫情期間數(shù)百起應(yīng)用層 DDoS 攻擊事件及數(shù)億次攻擊請求做圖聚類分析發(fā)現(xiàn)��,攻擊來源主要分為三類:代理���、感染肉雞�、各大云平臺服務(wù)器�����,且單次攻擊的攻擊來源類型單一�,如圖 3 所示。
DDoS 攻擊爆發(fā)�����!醫(yī)療在線教育成重點,代理攻擊成常態(tài)
從圖 3 可以發(fā)現(xiàn)�����,單次攻擊通常利用單一攻擊來源發(fā)起攻擊��,交叉使用不同攻擊源發(fā)起的攻擊數(shù)量較少����。舉例來說,如果一次攻擊利用了代理作為攻擊源�,那就幾乎不再同時利用感染肉雞或云平臺服務(wù)器發(fā)起攻擊。
DDoS 攻擊爆發(fā)��!醫(yī)療在線教育成重點��,代理攻擊成常態(tài)
不同攻擊類型特點不同����,企業(yè)需要做好相應(yīng)的防御措施
通過不同攻擊源發(fā)起攻擊的次數(shù)占比分別為�����,代理攻擊源占比 78.6%,感染肉雞攻擊占比 20.65%��,各大云平臺服務(wù)器攻擊占比 0.68%��。如圖 4 所示����。
DDoS 攻擊爆發(fā)!醫(yī)療在線教育成重點�,代理攻擊成常態(tài)
不同類型的攻擊源占比分別為,代理攻擊用到的攻擊源占比為 12.40%�����,感染肉雞攻擊用到的攻擊源占比為 87.42%��,各大云平臺服務(wù)器攻擊用到的攻擊源占比 0.18%�����。如圖 5 所示�。
DDoS 攻擊爆發(fā)!醫(yī)療在線教育成重點����,代理攻擊成常態(tài)
對圖 4 圖 5 綜合分析��,我們可以看出:
代理攻擊已成為常態(tài)�,企業(yè)需要足夠重視
代理攻擊在所有攻擊事件中占比最高����,而攻擊源個數(shù)僅占 12.40%。對攻擊者而言�,此類攻擊源性價比最高,攻擊 IP 易獲得且成本低廉����,用于攻擊時攻擊性能較好,所以成為攻擊中的主力軍�。
對企業(yè)而言,我們建議在放行業(yè)務(wù)相關(guān)代理的基礎(chǔ)上���,對無需使用代理訪問的網(wǎng)站封禁代理����,可在防御中起到“四兩撥千斤”的效果�����。
感染肉雞攻擊源分散����,企業(yè)應(yīng)動態(tài)調(diào)整防御策略
通過感染肉雞發(fā)起的攻擊事件占比為 20.65%,但攻擊源個數(shù)最多��,占比達 87.42%��。這類攻擊的攻擊源極為分散����,且對應(yīng) IP 往往為寬帶/基站出口 IP。對攻擊者而言�,此類攻擊源在線情況并不穩(wěn)定,單個攻擊源攻擊性能一般����。
對于這類攻擊源發(fā)起的攻擊,不建議企業(yè)采用 IP 粒度的防御方式�。感染肉雞對應(yīng)的 IP 往往是寬帶/基站出口 IP,背后的正常用戶很多�,封禁一個歷史攻擊 IP 的代價有可能是組織成百上千的潛在用戶正常訪問。
更進一步來講��,感染肉雞的 IP 變化較快��,設(shè)備位置的變化以及運營商的 IP 動態(tài)分配機制都會改變它們的 IP�����,從而容易繞過封禁。
防護此類攻擊����,需要基于正常業(yè)務(wù)請求特性,事前封禁不可能出現(xiàn)的請求特征���,如純 App 業(yè)務(wù)可封禁來自 PC 端的請求���;或事中基于正常業(yè)務(wù)請求及攻擊請求的差異性,動態(tài)地調(diào)整策略���。
借云平臺發(fā)起攻擊量明顯降低
借助各大云平臺服務(wù)器發(fā)起的攻擊事件占比最少���,僅為 0.68%,且攻擊源個數(shù)僅為 0.18%���。這得益于各大云平臺針對 DDoS 攻擊做了嚴格管控��,也造成攻擊者使用此類攻擊源攻擊的固定成本較高�����。
因此����,我們建議如果發(fā)現(xiàn)攻擊源 IP 來自少數(shù)幾個 C 段���,且正常情況下很少有該 IP 段的請求來訪問���,可以考慮將其封禁,避免潛在的惡意請求���。
DDoS 攻擊爆發(fā)�!醫(yī)療在線教育成重點����,代理攻擊成常態(tài)
安全建議
基于上述分析,針對如何防御應(yīng)用層 DDoS 攻擊��,我們給出如下建議:
拉黑歷史攻擊 IP 有風(fēng)險���,添加需謹慎
拉黑先前攻擊中出現(xiàn)過的攻擊源是較為常見的事后防御加固手段�,當(dāng)遭遇攻擊來自代理或各大云平臺服務(wù)器時�����,這一做法確實對后續(xù)的攻擊在一定程度上有免疫效果。然而��,倘若遇上的是感染肉雞發(fā)起的攻擊�����,那封禁歷史攻擊 IP 的做法就是“殺敵一萬�,自損三千”了。因此����,拉黑歷史攻擊 IP 前要先對攻擊源類型加以區(qū)分,避免風(fēng)險��。
僅限制訪問頻率高的 IP���,防御效果有限
拉黑高頻請求的 IP 是最傳統(tǒng)的事中防御手段�����,在攻擊源個數(shù)較少時���,這樣的做法是非常有效的�。然而�,上述三大類攻擊中任何一類��,哪怕是攻擊源占比最小的各大云平臺服務(wù)器�,觀測到的攻擊源數(shù)量都在萬量級。這意味著���,即使防御策略嚴苛到每秒每個 IP 只放行一個請求�,每秒總計會有上萬的請求涌向網(wǎng)站�����,絕大多數(shù)中小網(wǎng)站的服務(wù)器也是無法承受的��。
因此��,要完全壓制攻擊�����,需要打出組合拳:事前盡可能封禁不可能出現(xiàn)的請求來源及請求特征�;事中基于攻擊與正常業(yè)務(wù)的差異動態(tài)精細化調(diào)整防御策略。頻次策略只能起到輔助防御的作用。
經(jīng)營性網(wǎng)站備案信息
可信網(wǎng)站信用評價
網(wǎng)絡(luò)警察提醒您
誠信網(wǎng)站
中國互聯(lián)網(wǎng)舉報中心
網(wǎng)絡(luò)舉報APP下載
