2020 年 DDoS 攻击数突破 1000 万,创历史新高

网络安全公司 NETSCOUT 发布了一份有关过去一年中 DDoS 攻击状况的报告指出,2020年观察到的 DDoS 攻击数量首次突破1000万大关,创造了历史最高纪录。NETSCOUT 指出,这意味着每个人都应该意识到,自己正处于风险之中。

同时,单月发起的 DDoS 攻击数也达到了 929,000次,创历史新高;月度平均 DDoS 攻击数量比2019年的平均水平高出10万至15 万次。总的来说,从2019年到2020年,DDoS 攻击数量增加了20%。2020年下半年的攻击尤为集中,攻击数量激增了22%。

2020年DDoS攻击量
2020年DDoS攻击量

NETSCOUT 方面称,DDoS 攻击频率的增加很大程度上和疫情大流行脱不了干系;网络犯罪分子利用了大规模互联网使用转变所暴露的漏洞。并表明,电子商务、流媒体服务、在线学习和医疗保健等行业是在2020年间最易受到 DDoS 攻击的目标。

此外,报告还指出,一个被称为 Lazarus Bear Armada 的新威胁行为体发起了一场全球 DDoS 勒索活动,这是”迄今为止最持续和最广泛的DDoS勒索活动之一”。其在首次攻击中就造成了新西兰股票交易所交易中断,并在之后接连攻击了金融服务、互联网服务提供商、大型科技公司和制造业公司。目前。Lazarus Bear Armada 仍然活跃,并开始重新瞄准以前的受害者,理由则是这些组织没有满足赎金要求。

NETSCOUT 还发现了几种新的基于 UDP(User Datagram Protocol,用户数据报协议)的攻击载体,这些载体也可能是导致 DDoS 攻击数上升的原因。NETSCOUT 的威胁研究经理 Richard Hummel 表示,每个组织都需要做好面对 DDoS 攻击的准备,做好准备是防御 DDoS 攻击的关键。“组织应该将 DDoS 视为其风险态势的正常组成部分,并计划将保护措施作为现有核心安全措施的一部分。”

DDoS 攻击简介

DDoS攻击可以具体分成两种形式:带宽消耗型以及资源消耗型。它们都是透过大量合法或伪造的请求占用大量网络以及器材资源,以达到瘫痪网络以及系统的目的。

带宽消耗型攻击

DDoS带宽消耗攻击可以分为两个不同的层次;洪泛攻击或放大攻击。洪泛攻击的特点是利用僵尸程序发送大量流量至受损的受害者系统,目的在于堵塞其宽带。放大攻击与其类似,是通过恶意放大流量限制受害者系统的宽带;其特点是利用僵尸程序通过伪造的源IP(即攻击目标IP)向某些存在漏洞的服务器发送请求,服务器在处理请求后向伪造的源IP发送应答,由于这些服务的特殊性导致应答包比请求包更长,因此使用少量的宽带就能使服务器发送大量的应答到目标主机上。

资源消耗型攻击

协议分析攻击(SYN flood,SYN洪水)

传送控制协议(TCP)同步(SYN)攻击。TCP进程通常包括发送者和接受者之间在数据包发送之前创建的完全信号交换。启动系统发送一个SYN请求,接收系统返回一个带有自己SYN请求的ACK(确认)作为交换。发送系统接着传回自己的ACK来授权两个系统间的通讯。若接收系统发送了SYN数据包,但没接收到ACK,接受者经过一段时间后会再次发送新的SYN数据包。接受系统中的处理器和内存资源将存储该TCP SYN的请求直至超时。DDoS TCP SYN攻击也被称为“资源耗尽攻击”,它利用TCP功能将僵尸程序伪装的TCP SYN请求发送给受害服务器,从而饱和服务处理器资源并阻止其有效地处理合法请求。它专门利用发送系统和接收系统间的三向信号交换来发送大量欺骗性的原IP地址TCP SYN数据包给受害系统。最终,大量TCP SYN攻击请求反复发送,导致受害系统内存和处理器资源耗尽,致使其无法处理任何合法用户的请求。

LAND攻击

这种攻击方式与SYN floods类似,不过在LAND攻击包中的原地址和目标地址都是攻击对象的IP。这种攻击会导致被攻击的机器死循环,最终耗尽资源而死机。

CC攻击(Distributed HTTP flood,分布式HTTP洪水攻击)

CC攻击使用代理服务器向受害服务器发送大量貌似合法的请求(通常为HTTP GET)。攻击者创造性地使用代理,利用广泛可用的免费代理服务器发动DDoS攻击。许多免费代理服务器支持匿名,这使追踪变得非常困难。

僵尸网络攻击

僵尸网络是指大量被命令与控制(C&C)服务器所控制的互联网主机群。攻击者传播恶意软件并组成自己的僵尸网络。僵尸网络难于检测的原因是,僵尸主机只有在执行特定指令时才会与服务器进行通讯,使得它们隐蔽且不易察觉。僵尸网络根据网络通讯协议的不同分为IRC、HTTP或P2P类等。

DDoS 防御方式

拒绝服务攻击的防御方式通常为入侵检测,流量过滤和多重验证,旨在堵塞网络带宽的流量将被过滤,而正常的流量可正常通过。当流量被送到DDoS防护清洗中心时,通过采用抗DDoS软件处理,将正常流量和恶意流量区分开。正常的流量则回注回客户网站。这样一来可站点能够保持正常的运作,处理真实用户访问网站带来的合法流量。

虽然防御方式有很多种,但成本都非常昂贵,对于一般中小网站或个人网站而言,最简单的方式就是隐藏服务器的真实IP,通过CDN或百度云加速之类的服务来防御,换言之就是将攻击引到具备防御能力的第三方服务上。


发表评论