亚马逊表示,其AWSShield服务在今年2月中旬成功拦截了一次2.3Tbps的DDOS攻击。这是历史上最大的DDOS攻击。上一次最大的DDOS攻击记录是2018年3月的1.7Tbps。AWSShield最近发布了2020年第一季度的威胁图报告。该报告详细介绍了AWSShield保护服务检测到并阻止的Web威胁和攻击。AWSShield是一种托管的DDoS保护服务,提供持续检测和在线缓解能力,可以减少应用程序停机时间和延迟,有效保护AWS上应用程序的云安全。2020年第一季度DDOS攻击分析2020年第一季度,研究人员发现了一种新的UDP反射向量——CLDAP反射。CLDAP(无连接轻量级目录访问协议)是旧版本的LDAP协议,用于连接、检索和修改Internet上共享的目录。该协议自2016年开始被滥用于DDoS攻击。CLDAP服务器可以将DDoS攻击的流量放大56到70倍,因此被黑客广泛用于提供DDoS租用服务。下图为2020年第一季度AWS检测到的最大网络流量攻击事件,99%的事件流量为43Gbps。AWS发现的第二个最常见的DDOS攻击向量是SYN泛洪。此向量允许攻击者在攻击期间生成大量流量。SYN泛洪很容易被欺骗,这意味着几乎不可能通过拦截源IP地址来做到这一点。此外,SYN泛洪数据包很小,因此很难拦截。此外,应用程序可以将每个SYN数据包转换为一个新的连接。SYN泛洪在字节数上小于UDP反射攻击,但在数据包上比UDP反射攻击大。下图为2020年第一季度AWS最大网络流量攻击事件的包数:TCP反射是2020年第一季度DDOS攻击的另一个攻击向量。TCP反射类似于SYN泛洪,区别是它使用伪造的SYN数据包发送到合法的Internet服务。在TCP反射攻击中,伪造的SYN包会产生很多SYN/ACK包。最大DDOS攻击记录为2.3Tbps,是目前最大的DDOS攻击流量。上一次有记录的最大DDoS攻击是2018年3月对Netscout的1.7Tbps攻击,在此之前是2018年2月对GitHub的1.3Tbps攻击。针对Netscout和GitHub的DDoS攻击滥用了暴露在互联网上的Memcached服务器以利用更大的带宽。2018年,Memcached成为新的DDoS攻击载体,许多黑客组织和DDoS出租服务滥用超过100,000台Memcached服务器发起攻击。目前大多数DDoS攻击的峰值都在500Gbps左右,所以AWS拦截的2.3Tbps攻击对整个行业来说是相当震撼的。例如,Link11的2020年第一季度威胁报告指出,检测到的最大DDoS攻击为406Gbps。Cloudflare检测到的最大DDoS攻击是550Gbps。Akamai报告称在2020年6月检测到一次1.44Tbps的DDoS攻击。完整报告可在以下网址获取:https://aws-shield-tlr.s3.amazonaws.com/2020-Q1_AWS_Shield_TLR.pdf
