資安

阿里雲安全運營中心:DDoS攻擊趁虛而入,通過代理攻擊已成常態

2020-04-07

應用層DDoS攻擊與傳統的DDoS攻擊有著很大不同。傳統的DDoS攻擊通過向攻擊目標發起大流量併發式訪問造成服務不可用,系統癱瘓,這種方式比較容易被識破,且市場上已經有成熟的應對方案。而近年來興起的應用層DDoS攻擊流量則會偽裝成正常的流量,甚至和正常業務一樣,繞過防禦設備,造成企業服務器不可用,業務卡頓等,對防禦方造成很大困擾。

阿里雲安全運營中心對疫情期間的應用層DDoS攻擊事件做了深入分析,希望給企業提升防禦水位提供參考。

疫情期間攻擊量級持續高位

這次疫情爆發在春節期間,2020年1-3月份抗擊疫情期間應用層DDoS攻擊量持續處於高位。尤其是1月中旬到2月中旬疫情最嚴重時期,攻擊量與春節前期相比,有了明顯大幅提升。從圖1可以看出,攻擊者在抗擊疫情期間“趁虛而入”,試圖從中獲利。

1.png

遊戲、醫療和在線教育行業成全新重點目標

據阿里雲安全運營中心統計分析發現,2020年1月16日到3月15日疫情期間,應用層DDoS攻擊環比增長幅度排名前三的分別為醫療、在線教育及在線辦公、遊戲三大行業,如圖2所示。

2.png

在這期間,醫療、在線教育及在線辦公得到了前所未有的關注,大量資源開始投入到這兩大行業中。由於黑客逐利屬性的驅使,使得這兩大行業也成為重點攻擊對象。同時不難看出,疫情期間,大家閉門在家,可選的娛樂活動有限,使得遊戲行業異常火爆,也因此使得遊戲行業受攻擊數量環比增長超過300%。

主要攻擊來源演變為代理、感染肉雞、雲平臺服務器

通過對疫情期間數百起應用層DDoS攻擊事件及數億次攻擊請求做圖聚類分析發現,攻擊來源主要分為三類:代理、感染肉雞、各大雲平臺服務器,且單次攻擊的攻擊來源類型單一,如圖3所示。

3.png

從圖3可以發現,單次攻擊通常利用單一攻擊來源發起攻擊,交叉使用不同攻擊源發起的攻擊數量較少。舉例來說,如果一次攻擊利用了代理作為攻擊源,那就幾乎不再同時利用感染肉雞或雲平臺服務器發起攻擊。

不同攻擊類型特點不同,企業需要做好相應的防禦措施
通過不同攻擊源發起攻擊的次數佔比分別為,代理攻擊源佔比78.6%,感染肉雞攻擊佔比20.65%,各大雲平臺服務器攻擊佔比0.68%。如圖4所示。

4.png

不同類型的攻擊源佔比分別為,代理攻擊用到的攻擊源佔比為12.40%,感染肉雞攻擊用到的攻擊源佔比為87.42%,各大雲平臺服務器攻擊用到的攻擊源佔比0.18%。如圖5所示。

5.png

對圖4圖5綜合分析,我們可以看出:

1)代理攻擊已成為常態,企業需要足夠重視

代理攻擊在所有攻擊事件中佔比最高,而攻擊源個數僅佔12.40%。對攻擊者而言,此類攻擊源性價比最高,攻擊IP易獲得且成本低廉,用於攻擊時攻擊性能較好,所以成為攻擊中的主力軍。

對企業而言,我們建議在放行業務相關代理的基礎上,對無需使用代理訪問的網站封禁代理,可在防禦中起到“四兩撥千斤”的效果。

2)感染肉雞攻擊源分散,企業應動態調整防禦策略

通過感染肉雞發起的攻擊事件佔比為20.65%,但攻擊源個數最多,佔比達87.42%。這類攻擊的攻擊源極為分散,且對應IP往往為寬帶/基站出口IP。對攻擊者而言,此類攻擊源在線情況並不穩定,單個攻擊源攻擊性能一般。

對於這類攻擊源發起的攻擊,不建議企業採用IP粒度的防禦方式。感染肉雞對應的IP往往是寬帶/基站出口IP,背後的正常用戶很多,封禁一個歷史攻擊IP的代價有可能是阻止成百上千的潛在用戶正常訪問。

更進一步來講,感染肉雞的IP變化較快,設備位置的變化以及運營商的IP動態分配機制都會改變它們的IP,從而容易繞過封禁。

防護此類攻擊,需要基於正常業務請求特性,事前封禁不可能出現的請求特徵,如純APP業務可封禁來自PC端的請求;或事中基於正常業務請求及攻擊請求的差異性,動態地調整策略。

3)借雲平臺發起攻擊量明顯降低

藉助各大雲平臺服務器發起的攻擊事件佔比最少,僅為0.68%,且攻擊源個數僅為0.18%。這得益於各大雲平臺針對DDoS攻擊做了嚴格管控,也造成攻擊者使用此類攻擊源攻擊的固定成本較高。

因此,我們建議如果發現攻擊源IP來自少數幾個C段,且正常情況下很少有該IP段的請求來訪問,可以考慮將其封禁,避免潛在的惡意請求。

安全建議

基於上述分析,針對如何防禦應用層DDoS攻擊,我們給出如下建議:

1. 拉黑歷史攻擊IP有風險,添加需謹慎

拉黑先前攻擊中出現過的攻擊源是較為常見的事後防禦加固手段,當遭遇攻擊來自代理或各大雲平臺服務器時,這一做法確實對後續的攻擊在一定程度上有免疫效果。然而,倘若遇上的是感染肉雞發起的攻擊,那封禁歷史攻擊IP的做法就是“殺敵一萬,自損三千”了。因此,拉黑歷史攻擊IP前要先對攻擊源類型加以區分,避免風險。

2.僅限制訪問頻率高的IP,防禦效果有限

拉黑高頻請求的IP是最傳統的事中防禦手段,在攻擊源個數較少時,這樣的做法是非常有效的。然而,上述三大類攻擊中任何一類,哪怕是攻擊源佔比最小的各大雲平臺服務器,觀測到的攻擊源數量都在萬量級。這意味著,即使防禦策略嚴苛到每秒每個IP只放行一個請求,每秒總計會有上萬的請求湧向網站,絕大多數中小網站的服務器也是無法承受的。因此,要完全壓制攻擊,需要打出組合拳:事前儘可能封禁不可能出現的請求來源及請求特徵;事中基於攻擊與正常業務的差異動態精細化調整防禦策略。頻次策略只能起到輔助防禦的作用。​

Leave a Reply

Your email address will not be published. Required fields are marked *