阿里云安全运营中心:DDoS攻击趁虚而入,通过代理攻击已成常态
簡介:?阿里云安全運營中心對疫情期間的應(yīng)用層DDoS攻擊事件做了深入分析,希望給企業(yè)提升防御水位提供參考。
應(yīng)用層DDoS攻擊與傳統(tǒng)的DDoS攻擊有著很大不同。傳統(tǒng)的DDoS攻擊通過向攻擊目標(biāo)發(fā)起大流量并發(fā)式訪問造成服務(wù)不可用,系統(tǒng)癱瘓,這種方式比較容易被識破,且市場上已經(jīng)有成熟的應(yīng)對方案。而近年來興起的應(yīng)用層DDoS攻擊流量則會偽裝成正常的流量,甚至和正常業(yè)務(wù)一樣,繞過防御設(shè)備,造成企業(yè)服務(wù)器不可用,業(yè)務(wù)卡頓等,對防御方造成很大困擾。
阿里云安全運營中心對疫情期間的應(yīng)用層DDoS攻擊事件做了深入分析,希望給企業(yè)提升防御水位提供參考。
原文鏈接:點擊這里?
疫情期間攻擊量級持續(xù)高位
這次疫情爆發(fā)在春節(jié)期間,2020年1-3月份抗擊疫情期間應(yīng)用層DDoS攻擊量持續(xù)處于高位。尤其是1月中旬到2月中旬疫情最嚴(yán)重時期,攻擊量與春節(jié)前期相比,有了明顯大幅提升。從圖1可以看出,攻擊者在抗擊疫情期間“趁虛而入”,試圖從中獲利。
?
游戲、醫(yī)療和在線教育行業(yè)成全新重點目標(biāo)
據(jù)阿里云安全運營中心統(tǒng)計分析發(fā)現(xiàn),2020年1月16日到3月15日疫情期間,應(yīng)用層DDoS攻擊環(huán)比增長幅度排名前三的分別為醫(yī)療、在線教育及在線辦公、游戲三大行業(yè),如圖2所示。
?
在這期間,醫(yī)療、在線教育及在線辦公得到了前所未有的關(guān)注,大量資源開始投入到這兩大行業(yè)中。由于黑客逐利屬性的驅(qū)使,使得這兩大行業(yè)也成為重點攻擊對象。同時不難看出,疫情期間,大家閉門在家,可選的娛樂活動有限,使得游戲行業(yè)異常火爆,也因此使得游戲行業(yè)受攻擊數(shù)量環(huán)比增長超過300%。
主要攻擊來源演變?yōu)榇怼⒏腥救怆u、云平臺服務(wù)器
通過對疫情期間數(shù)百起應(yīng)用層DDoS攻擊事件及數(shù)億次攻擊請求做圖聚類分析發(fā)現(xiàn),攻擊來源主要分為三類:代理、感染肉雞、各大云平臺服務(wù)器,且單次攻擊的攻擊來源類型單一,如圖3所示。
?
從圖3可以發(fā)現(xiàn),單次攻擊通常利用單一攻擊來源發(fā)起攻擊,交叉使用不同攻擊源發(fā)起的攻擊數(shù)量較少。舉例來說,如果一次攻擊利用了代理作為攻擊源,那就幾乎不再同時利用感染肉雞或云平臺服務(wù)器發(fā)起攻擊。
不同攻擊類型特點不同,企業(yè)需要做好相應(yīng)的防御措施
通過不同攻擊源發(fā)起攻擊的次數(shù)占比分別為,代理攻擊源占比78.6%,感染肉雞攻擊占比20.65%,各大云平臺服務(wù)器攻擊占比0.68%。如圖4所示。
?
不同類型的攻擊源占比分別為,代理攻擊用到的攻擊源占比為12.40%,感染肉雞攻擊用到的攻擊源占比為87.42%,各大云平臺服務(wù)器攻擊用到的攻擊源占比0.18%。如圖5所示。
?
對圖4圖5綜合分析,我們可以看出:
1)代理攻擊已成為常態(tài),企業(yè)需要足夠重視
代理攻擊在所有攻擊事件中占比最高,而攻擊源個數(shù)僅占12.40%。對攻擊者而言,此類攻擊源性價比最高,攻擊IP易獲得且成本低廉,用于攻擊時攻擊性能較好,所以成為攻擊中的主力軍。
對企業(yè)而言,我們建議在放行業(yè)務(wù)相關(guān)代理的基礎(chǔ)上,對無需使用代理訪問的網(wǎng)站封禁代理,可在防御中起到“四兩撥千斤”的效果。
2)感染肉雞攻擊源分散,企業(yè)應(yīng)動態(tài)調(diào)整防御策略
通過感染肉雞發(fā)起的攻擊事件占比為20.65%,但攻擊源個數(shù)最多,占比達(dá)87.42%。這類攻擊的攻擊源極為分散,且對應(yīng)IP往往為寬帶/基站出口IP。對攻擊者而言,此類攻擊源在線情況并不穩(wěn)定,單個攻擊源攻擊性能一般。
對于這類攻擊源發(fā)起的攻擊,不建議企業(yè)采用IP粒度的防御方式。感染肉雞對應(yīng)的IP往往是寬帶/基站出口IP,背后的正常用戶很多,封禁一個歷史攻擊IP的代價有可能是阻止成百上千的潛在用戶正常訪問。
更進(jìn)一步來講,感染肉雞的IP變化較快,設(shè)備位置的變化以及運營商的IP動態(tài)分配機(jī)制都會改變它們的IP,從而容易繞過封禁。
防護(hù)此類攻擊,需要基于正常業(yè)務(wù)請求特性,事前封禁不可能出現(xiàn)的請求特征,如純APP業(yè)務(wù)可封禁來自PC端的請求;或事中基于正常業(yè)務(wù)請求及攻擊請求的差異性,動態(tài)地調(diào)整策略。
3)借云平臺發(fā)起攻擊量明顯降低
借助各大云平臺服務(wù)器發(fā)起的攻擊事件占比最少,僅為0.68%,且攻擊源個數(shù)僅為0.18%。這得益于各大云平臺針對DDoS攻擊做了嚴(yán)格管控,也造成攻擊者使用此類攻擊源攻擊的固定成本較高。
因此,我們建議如果發(fā)現(xiàn)攻擊源IP來自少數(shù)幾個C段,且正常情況下很少有該IP段的請求來訪問,可以考慮將其封禁,避免潛在的惡意請求。
安全建議
基于上述分析,針對如何防御應(yīng)用層DDoS攻擊,我們給出如下建議:
1. 拉黑歷史攻擊IP有風(fēng)險,添加需謹(jǐn)慎
拉黑先前攻擊中出現(xiàn)過的攻擊源是較為常見的事后防御加固手段,當(dāng)遭遇攻擊來自代理或各大云平臺服務(wù)器時,這一做法確實對后續(xù)的攻擊在一定程度上有免疫效果。然而,倘若遇上的是感染肉雞發(fā)起的攻擊,那封禁歷史攻擊IP的做法就是“殺敵一萬,自損三千”了。因此,拉黑歷史攻擊IP前要先對攻擊源類型加以區(qū)分,避免風(fēng)險。
2.僅限制訪問頻率高的IP,防御效果有限
拉黑高頻請求的IP是最傳統(tǒng)的事中防御手段,在攻擊源個數(shù)較少時,這樣的做法是非常有效的。然而,上述三大類攻擊中任何一類,哪怕是攻擊源占比最小的各大云平臺服務(wù)器,觀測到的攻擊源數(shù)量都在萬量級。這意味著,即使防御策略嚴(yán)苛到每秒每個IP只放行一個請求,每秒總計會有上萬的請求涌向網(wǎng)站,絕大多數(shù)中小網(wǎng)站的服務(wù)器也是無法承受的。因此,要完全壓制攻擊,需要打出組合拳:事前盡可能封禁不可能出現(xiàn)的請求來源及請求特征;事中基于攻擊與正常業(yè)務(wù)的差異動態(tài)精細(xì)化調(diào)整防御策略。頻次策略只能起到輔助防御的作用。?
總結(jié)
以上是生活随笔為你收集整理的阿里云安全运营中心:DDoS攻击趁虚而入,通过代理攻击已成常态的全部內(nèi)容,希望文章能夠幫你解決所遇到的問題。
- 上一篇: Serverless 领域近一年行业发展
- 下一篇: 5G改变物联网解决方案的6种方式