9月26日，綠盟科技伏影實驗室負責(zé)人吳鐵軍、騰訊安全高級算法工程師孫國錦參加由騰訊安全攜手騰訊產(chǎn)業(yè)互聯(lián)網(wǎng)學(xué)堂舉辦的「產(chǎn)業(yè)安全公開課」，圍繞 2021年DDoS攻擊趨勢帶來解讀。

DDoS攻擊趨勢高增長是哪些原因?qū)е碌模?/span>

哪些行業(yè)是DDoS的重災(zāi)區(qū)？

DDoS攻擊技術(shù)的最新特征和趨勢？

DDoS攻擊溯源取證執(zhí)法為何如此困難？

DDoS攻擊威脅治理方案與舉措建議

......

讓我們一起來看看，他們都分享了哪些干貨

↓↓↓

話題一：最近發(fā)布的《2021年上半年全球DDoS威脅報告》中，DDoS攻擊趨勢高增長是哪些原因?qū)е碌模?/span>

吳鐵軍：DDoS攻擊的三個特性，導(dǎo)致其在不斷治理的情況下仍然保持增長態(tài)勢：一是攻擊的有效性立竿見影，由于攻擊效果好，攻擊者熱衷于挖掘新型DDoS攻擊手段，甚至多國高校把DDoS威脅作為研究目標(biāo)并揭露威脅；二是執(zhí)行攻擊簡單易操作，早期的DDoS攻擊攻擊工具操作界面幾乎是傻瓜式，粗懂網(wǎng)絡(luò)知識的人員輸入IP地址或域名即可發(fā)起海量DDoS攻擊并使目標(biāo)失去服務(wù)能力，然而近幾年來開始推出攻擊即服務(wù)的模式，特別是BaaS、Botnet即服務(wù)模式，讓實施DDoS攻擊的攻擊者人群再次擴展；三是隱蔽性強，早期偽造源IP、反射攻擊、僵尸網(wǎng)絡(luò)等都能有效隱藏其真實攻擊資源。黑產(chǎn)攻擊團伙分工逐步明晰，隨著近幾年物聯(lián)網(wǎng)的持續(xù)發(fā)展，黑產(chǎn)團伙可利用的攻擊資源不斷斷攀升，這些都導(dǎo)致了DDoS攻擊仍然保持著增長態(tài)勢。

孫國錦：在疫情影響下，各類企業(yè)業(yè)務(wù)持續(xù)線上遷移，游戲、直播、電商、線上教育等行業(yè)繁榮發(fā)展，引來黑產(chǎn)團伙覬覦。2017年，DDoS攻擊黑產(chǎn)團伙從重創(chuàng)中逐步恢復(fù)；2019年，海外DDoS黑產(chǎn)開始復(fù)蘇；2020年，DDoS攻擊黑產(chǎn)更是瞄準(zhǔn)了重點行業(yè)。四年以來，黑產(chǎn)始終保持活躍的狀態(tài)。

話題二：哪些行業(yè)是DDoS的重災(zāi)區(qū)？

吳鐵軍：黑產(chǎn)團伙始終追求利益最大化，因此，黃賭毒、游戲、在線交友互動等容易遭受攻擊。隨著物聯(lián)網(wǎng)設(shè)備的增加和云服務(wù)的發(fā)展，反射攻擊源的獲取成本降低，攻擊者把部分僵尸網(wǎng)絡(luò)用于挖礦以降低被暴露的危險，在需要使用CC攻擊的情況下用僵尸網(wǎng)絡(luò)發(fā)起攻擊。總之為了保障利益的持久化和最大化，黑產(chǎn)團伙會靈活采取一些應(yīng)對策略。

孫國錦：在行業(yè)低門檻、高競爭性、高利益特性的持續(xù)影響下，游戲仍然是DDoS攻擊最集中的行業(yè)。研究表明，挖礦活動和DDoS攻擊活動對于肉雞資源存在競爭關(guān)系，而2020年下半年比特幣/以太坊等虛擬貨幣的價格處于歷史高位，導(dǎo)致大量肉雞資源流入挖礦領(lǐng)域。

話題三：從目前的現(xiàn)狀來看，黑產(chǎn)的產(chǎn)業(yè)鏈和攻擊成本都非常低，黑客是專挑大企業(yè)打，還是無差別攻擊？

吳鐵軍：黑客并不只挑大企業(yè)進行攻擊，還有另外一部分攻擊團伙是針對中小企業(yè)進行敲詐勒索，以圖獲得豐厚的贖金。目前，黑產(chǎn)產(chǎn)業(yè)鏈發(fā)展已從分工明晰轉(zhuǎn)向自動化，專業(yè)化，包括脆弱資源探測、漏洞利用、弱口令收割、脆弱配置探測、反射源探測等。大的DDoS攻擊團伙會收購或侵吞小型僵尸網(wǎng)絡(luò)控制者，也就是“黑吃黑”。

話題四：目前主流的攻擊手段有哪些？DDoS攻擊技術(shù)的最新特征和趨勢？黑客最青睞哪種?

吳鐵軍：近年來，UDP反射成為最受攻擊者歡迎的攻擊方式，其放大攻擊既有大量的攻擊資源，又有較為可觀的放大倍數(shù)，且很難溯源；另外，黑產(chǎn)產(chǎn)業(yè)鏈對UDP反射放大攻擊進行了充分的封裝，進一步降低了攻擊的門檻。隨著疫情和遠程辦公的影響，客戶正常業(yè)務(wù)中OpenVPN流量占比逐漸增大，而OpenVPN則因為擁有超過100萬的攻擊源數(shù)量，逐漸成為新型UDP反射攻擊中的黑馬。

孫國錦：在攻擊資源上，由于互聯(lián)網(wǎng)上大量開放的TCP端口和大量家庭網(wǎng)絡(luò)的暴露，導(dǎo)致TCP服務(wù)器成為數(shù)量最大的DDoS反射攻擊資源，受攻擊次數(shù)、規(guī)模雙雙增長。2021年以來，百G以上的TCP攻擊屢見不鮮，包速率動輒數(shù)以億計，對上下游網(wǎng)絡(luò)設(shè)備、防護設(shè)備以及云端清洗服務(wù)的性能造成了嚴峻挑戰(zhàn)。

話題五：DDoS攻擊溯源、取證執(zhí)法為何如此困難？

吳鐵軍：攻擊溯源在網(wǎng)絡(luò)安全行業(yè)一直是一個難題。UDP和TCP反射攻擊，最終暴露的是網(wǎng)絡(luò)空間的反射源，這把攻擊團伙的攻擊資源隱匿在網(wǎng)絡(luò)空間的一角，僵尸網(wǎng)絡(luò)攻擊也僅僅暴露C2地址，把攻擊團伙隔離在C2之外。DDoS攻擊大多是以量獲勝，量大容易暴露，所以DDoS攻擊者一開始就在思考使用偽造源IP、利用反射、僵尸網(wǎng)絡(luò)等手段發(fā)起攻擊并隱藏自己。同時，從攻擊防御的角度是無法觀測到攻擊團伙的攻擊資源，使得攻擊鏈路無法向前推進，溯源鏈路中斷，導(dǎo)致無法徹底曝光和摧毀攻擊團伙。

孫國錦：攻擊溯源取證困難主要有兩大原因：其一，黑客把自己的IP都藏起來了；其二，由于原來IP偽造技術(shù)的存在。在服務(wù)器端，我們沒有辦法確認這個原IP是否為真，而非被別人偽造出來的。整個取證的過程漫長無比，需要持續(xù)不間斷地攻擊，才有可能拿到一個完整的證據(jù)鏈。

話題六：面對DDoS攻擊的復(fù)雜性和不確定性，企業(yè)如何應(yīng)對？

孫國錦：在遭遇DDoS時，企業(yè)要在保障業(yè)務(wù)連續(xù)性、可操作性和所需成本之間找到最佳平衡點。其一，可以通過接入大公司的服務(wù)及資源，有效抗擊DDoS攻擊；其二，面對不斷升級的黑產(chǎn)技術(shù)，人工智能正在逐步成為打擊黑產(chǎn)的利器。

話題七：DDoS攻擊威脅治理方案與舉措建議

吳鐵軍：受害者為了確保業(yè)務(wù)順暢進行，在被攻擊之后往往會在多個防護廠商之間游走，尋求不同的攻擊庇護，與此同時攻擊團伙間資源已然相互租用、相互聯(lián)合。DDoS攻擊治理需要各防御廠商攜手面對共同的敵人，建立DDoS聯(lián)防聯(lián)控聯(lián)盟，形成協(xié)同防御、情報共享、共同發(fā)展的機制。