专家解读:Tb级攻击时代 企业如何应对DDoS"毒瘤”?

首页 / 业界 / 资讯 /  正文
作者:藏青
来源:安全419
发布于:2022-01-21
日前,腾讯安全联合绿盟科技发布了《2021年全球DDoS威胁报告》,基于对2021年监测到的数据情况进行统计分析,全面盘点了2021年全球DDoS攻击发展态势。
 
1月21日,《2021年全球DDoS威胁报告》解读研讨会在线上举行。在安全419创始人张毅的主持下,腾讯安全DDoS防护安全专家徐祖军、绿盟科技伏影实验室负责人吴铁军两位专家围绕“Tb级攻击时代 企业如何应对DDoS‘毒瘤’”的话题展开了探讨,对2021年DDoS攻击整体态势进行了详细解读,分享了来自腾讯安全和绿盟科技的实践经验。
 
 
DDoS 攻击总体呈连增态势 TB级攻击已成常态
 
徐祖军谈到,疫情之下,传统的旅游、社交、差旅、文体娱乐、线下零售等活动受到较大冲击,线上直播、社交、游戏、视频、办公等活动越来越多地融入人们生活,互联网行业成为近两年难得的持续高速增长的行业。因此,线上业务的繁荣也让众多企业受到了黑产团伙的觊觎,导致DDoS 攻击活动更为频繁。从整体看,近两年的攻击次数均高于疫情爆发前。继去年攻击次数大幅增加后,今年攻击次数依旧呈增长态势,实现了2连增。
 
除了攻击次数持续增长,2021 年业界最大的 DDoS 攻击流量达到 2.4Tb,腾讯云 T-Sec DDoS 防护团队也多次成功防护 Tb 级别的 DDoS 攻击,最大攻击流量达 1.26Tb。这意味着 DDoS 攻击峰值在 2016 年迈入 Tb 级攻击时代后,连续 5 年超过 1Tb,Tb 级别攻击已成为企业的现实威胁。
 
吴铁军进一步指出,通常来看,往往下半年人们的消费活动较为旺盛,这时企业会迎来业务的高峰期,这也会导致互联网企业在下半年遭受更多的 DDoS 攻击。《2021年全球DDoS威胁报告》中的研究数据也印证了这一点,2021年下半年的 DDoS 攻击威胁远远大于上半年,不仅 8 月份的攻击次数遥遥领先,接近上半年的攻击总次数,而且下半年每个月的攻击次数均大于上半年单月次数。
 
之所以2021年下半年DDoS攻击峰值水涨船高,在吴铁军看来,一方面是随着物联网、5G、云计算等新一代信息技术的广泛应用,大量的IoT设备或IDC服务因漏洞修复不及时沦为肉鸡。另一方面,随着国内对虚拟货币挖矿行业的监管加码,一些利用肉鸡挖矿的黑产团伙受到了较大的冲击,大量的肉鸡从挖矿领域重新回流到了DDoS攻击领域,使得攻击者攻击资源得到了大幅增加。
 
 
游戏行业仍是重灾区 东南亚成为海外DDoS攻击高发区域
 
根据腾讯云 T-Sec DDoS 防护团队监测数据,2021 年 DDoS 攻击行业分布呈现多元化趋势。游戏行业DDoS 攻击占比继续保持第一,但是相比往年比率偏低,不再是一家独大的局面。除游戏行业外,云计算、企业官网、视频直播、IT 通信等行业成为 2021 年攻击占比较高的行业。
 
据徐祖军分析,游戏行业是黑产团伙长期瞄准的“肥肉”,在游戏行业中,出于敲诈勒索目的的DDoS攻击层出不穷,一方面是因为游戏行业整体安全防护具备易攻难守的特点,另一方面,游戏行业较为内卷,自身也存在大量恶性竞争的行为,造成DDoS攻击事件的高发。
 
吴铁军指出,从DDoS攻击地理位置来看,东南亚地区正在成为DDoS攻击的主战场。
 
从 DDoS 攻击数据上看,2021 年海外攻击次数在整体中的比例比 2020 年有所回落,但仍然远远高于 2018 年和 2019 年。其中东南亚地区 DDoS 攻击占比最高,占海外总攻击次数的40%。
 
一般来说,DDoS 攻击的地域分布和当地经济发展水平以及人口数量呈正相关趋势。中国一些游戏、直播、网络通信等出海企业比较集中的区域,企业间竞争更激烈,也会成为海外 DDoS 攻击的主战场。其中,东南亚区域人口众多,经济发展水平高,是中国出海企业集中的地区,因此也成为了海外 DDoS 攻击最集中的区域。
 
目前主流的攻击手段有哪些?DDoS攻击有哪些最新特征和趋势?
 
据二位专家介绍,UDP 反射仍是当前黑产团伙最主要攻击手法,UDP 反射由于其可观的放大比和可以隐藏攻击者行踪的特性,历来被攻击者利用。2021年有相当比例的超百G大流量DDoS攻击是由SYN大包或UDP反射之外的手法发起的。除此以外,扫段攻击、僵尸网络利用时差攻击、脉冲攻击、高频瞬时攻击等攻击方式也正在成为攻击者的惯用手段。
 
扫段攻击是近年来兴起的一种攻击方式,和以往攻击者只盯着单个目标 IP 不断变换攻击手法、寻求突破防护策略短板的攻击方式不同,扫段攻击多使用已知的通用攻击手法,攻击期间基本不会变换,但攻击者会在短时间内对大量 IP 进行无差别攻击,令大量攻击流量涌入机房,而防护设备也需要承载大量 IP 上的业务流量,防护系统性能压力大,易造成整个机房业务瘫痪。
 
除扫段攻击外,脉冲攻击也成为现网比较典型的攻击手法。黑产团伙通过定制攻击工具,以固定时间为间隔,短期内对目标发起高达业务流量上千倍大小的攻击流量,随后很短时间内,攻击又消失于无形。这种攻击流量增长快、消失快,攻击密集,不仅让企业的安全运维人员不堪其扰,对防护系统的性能和灵敏度也提出了更高的要求。
 
利用时差攻击是指,在国家和安全人员不断治理打击僵尸网络的形势下,黑产团伙往往会采取打时间差的方式,抢在漏洞修复前利用漏洞投放僵尸网络程序,并持续寻找新型反射漏洞。如果企业未能及时修复服务器中存在的高危安全漏洞,就有可能导致存在漏洞的机器被黑客攻陷,甚至还会波及内部其他服务器,导致大量服务器被部署僵尸网络的攻击程序,持续对外发起 DDoS 攻击。
 
最后,高频瞬时攻击也已成为当前对抗博弈的重要手段,根据绿盟 Bothunter 监测数据来看,2021 年,80% 的 DDoS 攻击时长在 5 分钟以内。瞬时攻击占比高,说明攻击者越来越重视攻击成本、效率和技术对抗,倾向于在短时间内,以极大的流量导致目标服务用户掉线、延时和抖动。长远来看,多次瞬时攻击能够严重影响目标的服务质量,有效控制攻击成本,尽快耗尽 DDoS 防御服务人员的精力。
 
面对DDoS攻击的复杂性和不确定性 企业如何应对?
 
徐祖军谈到,“首先大家应该建立一个认知,DDoS攻击不会突然消失,反而是越来越难以对抗。作为企业而言,就像修建一座大楼时,一定要为它配备消防设备,在网络安全领域也是同样,企业应该在做日常安全建设时将抗DDoS作为规划的一部分,这样才能防患于未然,在攻击到来时组织起有效的应对。安全并不存在亡羊补牢,一旦安全事故发生了,那么造成的损失注定的是无法挽回的。”
 
他表示,在遭遇DDoS时,企业要在保障业务连续性、可操作性和所需成本之间找到最佳平衡点。对于一些自身不具备高水平安全能力的中小企业而言,他们应该选择与专业的安全团队合作,让专业的人做专业的事,通过接入安全厂商的服务及资源,来有效抗击DDoS攻击。
 
吴铁军进一步指出,在互联网中只要网络可达,那么DDoS攻击就可达,因此DDoS攻击也是当前所有网络威胁中唯一一个可以指哪打哪的攻击方式,攻击效果往往也立竿见影。对于任何一个拥有在线业务的企业来说,DDoS攻击都是暗中悬在头上的一把刀,只要利益足够大,就有可能被攻击者盯上,DDoS攻击也随时可能到来。
 
例如在上市、年终大促、年度盛典等关键的活动期间,如果此时遭到DDoS攻击很有可能会让投入的大量人力物力化为乌有,甚至还会造成业务中断和客户的流失。
 
因此他建议,所有企业都应该将DDoS攻击防护提升至战略重心的高度,在预算充足的情况下,企业还应该筹建专业的安全部门,以有效应对包括DDoS攻击在内的各种复杂网络安全攻击。而中小企业则建议向第三方专业团队寻求技术支持,让专业队伍去分析当前业务当中的脆弱性,找到当前业务中的脆弱性和风险点,有针对性的制定持续有效的防护方案,进而‍‍保障业务的稳定和持续性。