鉴于威胁格局不断创新,与12年、10年甚至5年前的攻击相比,现代分布式拒绝服务(DDoS)攻击几乎面目全非。抵御快速变化的攻击媒介和创纪录的攻击数量对于保护在线基础设施至关重要,但对于缺乏适当资源、专业知识或技术的安全团队来说可能是一项艰巨的挑战。昨天与今天的DDoS攻击对比下图描述了过去十年中50多种攻击媒介的活动,并概述了DDoS日益复杂的情况。[图1:过去10年的DDoS活动]4个关键信息值得注意:(1)攻击向量“持久性奖”获得者:UDP泛洪、SYN泛洪(SYN泛洪(SYNflood)因其简单性和可靠性而泛滥)和UDP分片(UDPfragmentation)长期存在并持续有效,常与其他媒体一起出现。[图2:UDP洪水、SYN洪水和UDP碎片继续发挥作用](2)一些曾经流行的攻击向量已经失宠:ICMP洪水,作为一种易于访问的DDoS向量而流行,但它的威力远不如其他允许放大和反射的矢量(图3)。我们观察到的最大的“仅ICMP”攻击仅为28gbps。这些ping可以加起来,但平均ICMP攻击只有5gbps,这对于今天的DDoS攻击来说几乎是一个“涓涓细流”,它们几乎需要与其他向量一起使用。在所有ICMP攻击中,平均有两个额外向量。[图3:ICMP攻击不再像以前那样流行](3)其他攻击的影响力不断上升,但最终都失败了。从2015年到2018年,CharGEN攻击和SSDP泛洪的数量有所增加,但如今已很少观察到。部分原因可能是更好的可用反射器的出现以及使用这些可利用协议的暴露服务器越来越少。(4)CLDAP反射的使用(出现于2016年底并在2018年作为Top5向量达到顶峰)可能会从DDoS工具包中消失。从这四个洞察可以看出,DDoS威胁正在迅速演变。如下图所示,2010年排名前五的向量占所有攻击的90%,而如今排名前五的向量仅占所有攻击的55%。这种转变不仅凸显了现代DDoS工具包的日益复杂,也凸显了安全团队抵御新兴威胁库的巨大压力。【图4:各年向量分布对比,左边是2010年的向量分布;正确的是2022]俗话说“适者生存”,凡是最有效的——无论是适应良好的物理特征还是有效的产品策略——都坚持并发展。同样,以最低成本提供最大影响的攻击媒介总是会受到欢迎,并且比它们的“同行”更长久。与此同时,攻击者也在不断寻找新的工具来最大化破坏并提高成本效率。深入理解当今DDoS新威胁2022年上半年,两个来势汹汹的新向量首次出现,让我们一窥DDoS的演进方向。它们是:(1)PhoneHome:一种新的反射/放大DDoS向量,具有创纪录的潜在放大比4,294,967,296:1,已被观察到在野外发起多次DDoS攻击。潜力:有巨大的放大潜力:一个微小的入站数据包可以发起巨大的战外攻击。限制:有限的攻击面——2,600个配置错误的系统,允许未经认证的系统测试设施无意中暴露在公共互联网上,允许攻击者利用这些PBXVoIP网关作为DDoS反射器/放大器;此外,攻击的影响还可能与这些机器的连接性和功率以及恶意行为者破坏它们的能力有关。(2)TCPMiddleboxReflection:这种新的放大向量利用中间盒(例如公司和国家防火墙)来反映以受害者为目标的流量。潜力:根据ShadowServer研究,作为潜在反射器的中间盒无处不在,涉及超过1880万个IP。这些公开服务中的大多数本质上都是强大的,并且可以访问主要的连接中心。局限性:虽然这里的放大倍数是65x,但上限不明确。目前,攻击者可能正在编目可用的反射器并测试如何可靠地大规模利用它们。虽然从单个命令和控制生成请求以触发响应数据包可能会受到限制,但从僵尸网络生成请求到反射器可能会增加新记录的大小。我们不知道上述任何载体是否会变得突出或创下新高。但我们可以肯定的是,进化的道路将继续下去,下一代威胁将出现在网络上。应对不断发展的威胁的建议DDoS威胁空间的持续创新迫使组织面临持续的风险,同时也强调需要加强对最新攻击的保护。为减少DDoS攻击的停机影响并有效抵御恶意行为者,请考虑以下事项:审计关键子网和IP空间并确保它们具有适当的缓解控制措施;部署具有“始终在线”缓解状态的DDoS安全控制作为第一层防御,以减轻事件响应者的负担。如果您没有值得信赖且经过验证的基于云的提供商,请立即购买;主动建立您的危机响应团队,并确保您的运行手册和事件响应计划是最新的。例如,您是否有应对灾难性事件的剧本?手册中的联系人是否已更新?包含过时技术资产或久违联系人的手册无济于事。原文链接:https://www.akamai.com/blog/security/relentless-evolution-of-ddos-attacks
