阿里云安全运营中心:DDoS攻击趁虚而入,通过代理攻击已成常态
簡介:?阿里云安全運營中心對疫情期間的應用層DDoS攻擊事件做了深入分析,希望給企業提升防御水位提供參考。
應用層DDoS攻擊與傳統的DDoS攻擊有著很大不同。傳統的DDoS攻擊通過向攻擊目標發起大流量并發式訪問造成服務不可用,系統癱瘓,這種方式比較容易被識破,且市場上已經有成熟的應對方案。而近年來興起的應用層DDoS攻擊流量則會偽裝成正常的流量,甚至和正常業務一樣,繞過防御設備,造成企業服務器不可用,業務卡頓等,對防御方造成很大困擾。
阿里云安全運營中心對疫情期間的應用層DDoS攻擊事件做了深入分析,希望給企業提升防御水位提供參考。
原文鏈接:點擊這里?
疫情期間攻擊量級持續高位
這次疫情爆發在春節期間,2020年1-3月份抗擊疫情期間應用層DDoS攻擊量持續處于高位。尤其是1月中旬到2月中旬疫情最嚴重時期,攻擊量與春節前期相比,有了明顯大幅提升。從圖1可以看出,攻擊者在抗擊疫情期間“趁虛而入”,試圖從中獲利。
?
游戲、醫療和在線教育行業成全新重點目標
據阿里云安全運營中心統計分析發現,2020年1月16日到3月15日疫情期間,應用層DDoS攻擊環比增長幅度排名前三的分別為醫療、在線教育及在線辦公、游戲三大行業,如圖2所示。
?
在這期間,醫療、在線教育及在線辦公得到了前所未有的關注,大量資源開始投入到這兩大行業中。由于黑客逐利屬性的驅使,使得這兩大行業也成為重點攻擊對象。同時不難看出,疫情期間,大家閉門在家,可選的娛樂活動有限,使得游戲行業異常火爆,也因此使得游戲行業受攻擊數量環比增長超過300%。
主要攻擊來源演變為代理、感染肉雞、云平臺服務器
通過對疫情期間數百起應用層DDoS攻擊事件及數億次攻擊請求做圖聚類分析發現,攻擊來源主要分為三類:代理、感染肉雞、各大云平臺服務器,且單次攻擊的攻擊來源類型單一,如圖3所示。
?
從圖3可以發現,單次攻擊通常利用單一攻擊來源發起攻擊,交叉使用不同攻擊源發起的攻擊數量較少。舉例來說,如果一次攻擊利用了代理作為攻擊源,那就幾乎不再同時利用感染肉雞或云平臺服務器發起攻擊。
不同攻擊類型特點不同,企業需要做好相應的防御措施
通過不同攻擊源發起攻擊的次數占比分別為,代理攻擊源占比78.6%,感染肉雞攻擊占比20.65%,各大云平臺服務器攻擊占比0.68%。如圖4所示。
?
不同類型的攻擊源占比分別為,代理攻擊用到的攻擊源占比為12.40%,感染肉雞攻擊用到的攻擊源占比為87.42%,各大云平臺服務器攻擊用到的攻擊源占比0.18%。如圖5所示。
?
對圖4圖5綜合分析,我們可以看出:
1)代理攻擊已成為常態,企業需要足夠重視
代理攻擊在所有攻擊事件中占比最高,而攻擊源個數僅占12.40%。對攻擊者而言,此類攻擊源性價比最高,攻擊IP易獲得且成本低廉,用于攻擊時攻擊性能較好,所以成為攻擊中的主力軍。
對企業而言,我們建議在放行業務相關代理的基礎上,對無需使用代理訪問的網站封禁代理,可在防御中起到“四兩撥千斤”的效果。
2)感染肉雞攻擊源分散,企業應動態調整防御策略
通過感染肉雞發起的攻擊事件占比為20.65%,但攻擊源個數最多,占比達87.42%。這類攻擊的攻擊源極為分散,且對應IP往往為寬帶/基站出口IP。對攻擊者而言,此類攻擊源在線情況并不穩定,單個攻擊源攻擊性能一般。
對于這類攻擊源發起的攻擊,不建議企業采用IP粒度的防御方式。感染肉雞對應的IP往往是寬帶/基站出口IP,背后的正常用戶很多,封禁一個歷史攻擊IP的代價有可能是阻止成百上千的潛在用戶正常訪問。
更進一步來講,感染肉雞的IP變化較快,設備位置的變化以及運營商的IP動態分配機制都會改變它們的IP,從而容易繞過封禁。
防護此類攻擊,需要基于正常業務請求特性,事前封禁不可能出現的請求特征,如純APP業務可封禁來自PC端的請求;或事中基于正常業務請求及攻擊請求的差異性,動態地調整策略。
3)借云平臺發起攻擊量明顯降低
借助各大云平臺服務器發起的攻擊事件占比最少,僅為0.68%,且攻擊源個數僅為0.18%。這得益于各大云平臺針對DDoS攻擊做了嚴格管控,也造成攻擊者使用此類攻擊源攻擊的固定成本較高。
因此,我們建議如果發現攻擊源IP來自少數幾個C段,且正常情況下很少有該IP段的請求來訪問,可以考慮將其封禁,避免潛在的惡意請求。
安全建議
基于上述分析,針對如何防御應用層DDoS攻擊,我們給出如下建議:
1. 拉黑歷史攻擊IP有風險,添加需謹慎
拉黑先前攻擊中出現過的攻擊源是較為常見的事后防御加固手段,當遭遇攻擊來自代理或各大云平臺服務器時,這一做法確實對后續的攻擊在一定程度上有免疫效果。然而,倘若遇上的是感染肉雞發起的攻擊,那封禁歷史攻擊IP的做法就是“殺敵一萬,自損三千”了。因此,拉黑歷史攻擊IP前要先對攻擊源類型加以區分,避免風險。
2.僅限制訪問頻率高的IP,防御效果有限
拉黑高頻請求的IP是最傳統的事中防御手段,在攻擊源個數較少時,這樣的做法是非常有效的。然而,上述三大類攻擊中任何一類,哪怕是攻擊源占比最小的各大云平臺服務器,觀測到的攻擊源數量都在萬量級。這意味著,即使防御策略嚴苛到每秒每個IP只放行一個請求,每秒總計會有上萬的請求涌向網站,絕大多數中小網站的服務器也是無法承受的。因此,要完全壓制攻擊,需要打出組合拳:事前盡可能封禁不可能出現的請求來源及請求特征;事中基于攻擊與正常業務的差異動態精細化調整防御策略。頻次策略只能起到輔助防御的作用。?
總結
以上是生活随笔為你收集整理的阿里云安全运营中心:DDoS攻击趁虚而入,通过代理攻击已成常态的全部內容,希望文章能夠幫你解決所遇到的問題。
- 上一篇: Serverless 领域近一年行业发展
- 下一篇: 5G改变物联网解决方案的6种方式