Lumen和卡巴斯基实验室最新的第三季度DDoS报告显示,本季度DDoS攻击激增。流明发现,本季度比上一季度多。增加35%。安全专家警告说,攻击技术也变得越来越复杂。Lumen研究人员发现,DDoS攻击越来越多地针对VoIP语音等新服务。卡巴斯基实验室的研究人员还发现,第三季度的DDoS攻击有一个明显的趋势,即大量针对VoIP提供商的攻击,主要影响英国、加拿大和美国的公司。由于它们的功能和复杂性,它们给语音和SMS的客户带来了问题。同时,近年来,越来越多的攻击者开始使用DDoS攻击来向受害者勒索赎金。这些攻击者自称来自勒索软件组织REvil,并要求支付巨额赎金以阻止攻击。不过,目前还无法确认该团体的真实身份是REvil还是其他。无论如何,针对VoIP提供商的勒索软件攻击仅限于DDoS,而REvil主要处理数据加密。早在10月,一家名为VoIP.ms的主要VoIP提供商就遭到了DDoS攻击。结果,企业无法为其客户提供服务,客户报告说他们无法连接到VoIP.ms的SIP服务器和其他资源。与此同时,有人自称是REvil勒索软件组织的一员,要求勒索赎金以恢复业务。研究人员在样本中没有看到任何SIP数据包。相反,他们看到的是DNS、SNMP和其他通常出现在放大攻击和僵尸网络DDoS攻击中的流量。卡巴斯基实验室研究人员还发现,第三季度发现的最大攻击带宽为612Gbps,较第二季度增长49%;基于数据包速率统计的最大攻击规模为252Mbps,较第二季度增长91%;对客户持续时间最长的攻击持续了两周,凸显了DDoS可能对组织造成的严重影响;在500次攻击的行业中,被攻击频率最高的行业是电信和软件/技术,其次是零售业;28%的多重缓解措施首次面临四种不同攻击类型的复杂组合,即DNS、TCPRST、TCPSYN-ACK和UDP放大。多年来,DDoS攻击并没有太大变化,因为此类攻击仍然相对便宜、容易且有效,因此近年来,越来越多的攻击者开始使用DDoS攻击向受害者勒索赎金。其中,俄罗斯服务商Yandex遭受了有史以来最大规模的DDoS攻击。本季度另一个备受瞩目的事件是发现了Mēris,这是一种能够进行强大DDoS攻击的新型僵尸网络。据最先报告该僵尸网络的Yandex和QratorLabs称,它由主要来自Mikrotik的高性能网络设备组成,并使用HTTP流水线技术,允许在一个连接中向服务器发送多个请求,而无需等待响应。这种僵尸网络攻击以每秒大量请求而著称。例如,针对Cloudflare客户(归因于Mēris)的DDoS攻击尽管持续不到一分钟,但每秒有1720万个请求,而Yandex报告为每秒2180万个请求。信息安全领域的知名记者BrianKrebs的网站也遭到了短暂但强大的Mēris攻击。Krebs指出,虽然每秒请求数不如Yandex或Cloudflare令人印象深刻,但仍然是Mirai对其站点的攻击的四倍多。如上所述,Cloudflare最近成功阻止了一次峰值不到2Tbps的DDoS攻击,使其成为有史以来最具攻击性的DDoS攻击。DDoS攻击发生仅两周前,安全机构Rapid7就GitLab漏洞(在CVSS严重性等级上被评为完美的10.0)发出警告,该漏洞已被外部利用,允许掌握该漏洞的攻击者远程运行代码,例如僵尸网络恶意软件。Rapid7发现,在60,000个面向互联网的GitLab实例中,至少有一半未打补丁,并警告说,随着漏洞细节的公开,漏洞利用将继续增加。根据对该攻击的分析,Cloudflare认为这是一次多向量攻击,结合了DNS放大攻击和UDPFLOOD。这次攻击持续了不到一分钟,是Cloudflare迄今为止见过的最大规模的攻击。Cloudflare产品经理OmerYoachimik表示,“我们第三季度DDoS趋势报告的另一个重要发现是,与第一季度相比,网络层的DDoS攻击实际上增加了44%。虽然第四季度尚未结束,但我们已经看到多次针对Cloudflare客户的攻击。”第三季度,针对美国的DDoS攻击增加了4.8个百分点,达到40.80%。经过一、二季度的平静期后,国攻比骤增12.61%。DDoS攻击激增第三季度出现异常多的DDoS攻击。7月上半月相对平静,但到了月中,日均DDoS攻击次数超过1000次,8月18日达到8825次,8月21日、22日超过5000次。8月2日、6日,9月16日、18日、19日和22日,检测到超过3000次攻击。在本季度最平静的日子里,研究人员观察到近500次DDoS攻击:6月2日为494次,6月3日为485次。在第三季度,DDoS攻击的分布是一年中最不均匀的。大多数攻击发生在周三-19.22%。这一统计结果很大程度上受到了8月18日星期三的DDoS攻击的影响。由于8月的另外两个高峰期,发生在周六和周日的袭击比例也有所增加。在其他时间,DDoS活动的比例较上一季度有所下降。DDoS攻击的持续时间和类型第三季度,DDoS攻击的平均持续时间减少到2.84小时。这可能是由于持续50小时或更长时间的攻击减少,而相对较短的攻击增加。例如,虽然超短攻击的比例(86.47%)较上一季度有所下降,但其数量几乎翻了一番:从第二季度的33,000次增加到63,700次。同时,第三季度最长的攻击持续了339小时,比之前报告的最长攻击时间短了2倍多。从攻击类型来看,第三季度SYNFlood攻击遥遥领先,51.63%的攻击使用该攻击。UDPFLOOD攻击排名第二(38.00%),占比环比下降22%。TCPFLOOD仍然排名第三,但占比也下降到了8.33%。僵尸网络地域分布第三季度,大部分C&C僵尸网络服务器位于美国(43.44%),但占比下降了4.51%。德国(10.75%)保持第二,占比略低,荷兰(9.25%)位居第三。俄罗斯(5.38%)取代法国(3.87%)位居第四,与捷克共和国(3.87%)并列第六和第七,加拿大(4.73%)保持第五。英国(2.58%)在C&C服务器数量方面排名第八,罗马尼亚(1.94%)和瑞士(1.94%)位居榜首。3万台服务器被攻击!GitLab再次遭受DDoS攻击。峰值超过1Tbs的DDoS攻击并不少见,但最近这些攻击愈演愈烈。有专家警告称,超过1Tbps的大流量DDoS攻击越来越普遍。今年10月,微软宣布其Azure云服务成功拦截每秒2.4Tbps的DDoS攻击,这是当时发现的最大DDoS攻击。截至发稿,GitLab再次遭到DDoS攻击,峰值流量超过1Tbps。该攻击基于一个已于4月修补的漏洞,但仍有30,000台没有更新的服务器遭到破坏。负责谷歌DDoS防御的云安全可靠性工程师DamianMenscher近日透露,一些攻击者利用GitLab托管服务器上的安全漏洞构建僵尸网络,并以惊人的流量发起攻击。哪些行业最常受到DDoS攻击?DDoS攻击是目前公认的最难防御的网络攻击之一。哪些行业最常受到DDoS攻击?网络游戏行业网络游戏行业最大的问题是在部署服务时容易受到DDoS攻击。数据显示,游戏行业是攻击的重灾区,占攻击总数的49%。第三季度,《最终幻想14》的欧洲服务器数次被攻击。在攻击发生的数小时内,游戏玩家遇到了连接中断、速度变慢和登录问题。据电子商务行业数据显示,近30%的网络攻击都是针对电子商务的。电商行业因为平台的配送功能和实时响应,对安全和速度有很高的要求。尤其是618、双11等特殊节日,大规模DDoS攻击造成的业务中断、客户流失、收入损失更是难以统计。互联网金融行业金融行业可以说是DDoS攻击的高发行业,金融行业更容易受到攻击,导致金融系统无法访问。黑客通常这样做是为了赎金和勒索。虚拟货币行业也遭受了最古老的比特币网站Bitcoin.org的DDoS攻击。尽管在这种情况下,与对VoIP提供商的攻击不同,攻击者愿意接受半个比特币,但这对于非营利信息门户网站来说仍然是一笔不菲的赎金。值得注意的是,加密货币的价格攀升仍然一如既往,而且DDoS市场的增长与加密货币开始飙升之前相似。这两个市场在过去几年一直在争夺算力,许多僵尸网络既可以用于DDoS也可以用于挖矿,因此加密货币的高价格吸引了算力进行DDoS。现在,在加密货币价格持续走高的背景下,DDoS市场不断壮大,攻击者开始以不同方式分配资源。恶意软件运营商还决定在第三季度使用DDoS作为恐吓工具,攻击者向公司发送电子邮件,称他们的资源被用于DDoS攻击,他们可能面临法律问题。这些消息包含一个指向云目录的链接,该目录据称包含有关事件的详细信息,实际上包含BazarLoader恶意软件加载程序。在某些国家/地区,DDoS攻击以帮助抗击COVID-19的网站为目标。8月,攻击者试图关闭马尼拉的一个疫苗注册门户。9月,他们瞄准了荷兰网站CoronaCheck,人们可以在该网站上获取访问咖啡馆和文化景点所需的二维码,但这个二维码显然是钓鱼攻击。第三季度,各国发生了许多出于政治动机的DDoS攻击。例如,在7月初和中旬,未知攻击者通过垃圾邮件流量瞄准了俄罗斯和乌克兰安全机构的资源。7月下旬,俄罗斯报纸Vedomosti成为DDoS的受害者。最有可能的是,该攻击与网站上的一篇在线文章有关。8月中旬,攻击者试图阻止用户访问菲律宾人权组织Karapatan的网络资源。然后,在月底,德国联邦选举官的网站因9月26日的联邦议院选举而遭到短暂攻击。如上所述,DDoS攻击者一直在进行跨地区、跨行业的多元化尝试。DDoS攻击更具针对性和持久性。除了以上几大行业,医疗、教育、直播等行业也逐渐成为攻击者。目标。攻击流量也在不断增加并屡屡破纪录,攻击手段也越来越复杂。近年来,DDoS攻击者越来越多地使用此类攻击来向受害者勒索赎金。Neustar8月发布的一份报告称,在过去12个月中,超过五分之二(44%)的组织成为与赎金相关的DDoS(RDDoS)攻击的目标或受害者。2021年第三季度出现了两种新的DDoS攻击媒介,可能对主要网络资源构成严重威胁。来自马里兰大学和科罗拉多大学博尔德分校的一组研究人员发现了一种通过TCP欺骗受害者IP地址的方法。到目前为止,放大攻击主要使用UDP协议进行,因为不需要连接并且允许IP欺骗。这种新攻击的目标是位于客户端和服务器之间的安全设备(所谓的中间件)——防火墙、负载平衡器、网络地址转换器(NAT)、深度包检测(DPI)工具等等。TCP连接可能会受到干扰,例如,通过阻止与禁止资源的连接,它们通常会对从一方收到的数据包做出反应,而不会看到全貌或监控TCP会话的有效性。如果代表受害者发送访问禁止资源的请求,中间人的响应可能会大得多。结果,研究人员发现了超过386,000个放大系数大于100的设备,其中超过97,000个大于500,其中192个大于51,000。第二种攻击称为“黑色风暴”,可以针对任何网络设备。攻击者可以向通信服务提供商(CSP)网络上设备上的封闭端口发送请求,伪装成同一网络上的另一台设备。接收方设备用一条消息来响应此类请求,指出该端口不可用。处理这些消息是资源密集型的,这会使受害设备过载并阻止它们接受合法请求。研究人员指出,这种方法可能使攻击者不仅可以摧毁一台服务器,还可以摧毁供应商的整个网络,包括一个大型网络。前述针对VoIP业务的攻击属于此类攻击。随着技术的不断进步,攻击源跟踪技术在跟踪速度、自动化程度、跟踪精度等方面都取得了长足的进步。DDoS网络层攻击检测也分为多种方法。那么如何从IP源地址的角度来防范DDoS攻击呢?如上所述,研究人员发现了一种通过TCP欺骗受害者IP地址的方法。那么如何从IP源地址的角度来防范DDoS攻击呢?当DDoS攻击发生或结束时,可以根据相关信息定位攻击源,找到攻击者所在位置或攻击源。IP地址源定位是DDoS攻击防御过程中的一个重要环节,具有承前启后的关键作用。准确的IP地址定位结果,不仅可以为进一步追踪真正的攻击者提供线索,也可以为其他防御措施,如流量限速、过滤等措施提供信息,也可以为追究攻击者的责任提供法律依据。本文翻译自:https://www.rtcsec.com/post/2021/09/massive-ddos-attacks-on-voip-providers-and-simulated-ddos-testing/https://securelist.com/ddos-attacks-in-q3-2021/104796/https://therecord.media/gitlab-servers-are-being-exploited-in-ddos-attacks-in-excess-of-1-tbps/如有转载,请指定原始地址。
