2020年可以說是DDoS這一“經典”攻擊技術的復興之年。受全球新冠疫情的重大影響,DDoS攻擊的量級也在不斷加大,業內遭受DDoS攻擊的頻率創下了新高。過去一年,DDoS攻擊的手法變得多樣化,超過50Gbps的攻擊數量也急劇增加。對于許多行業和企業來說,抗D之路任重道遠,還有更加嚴峻的安全形勢需要面對。
那么,2020年成為DDoS攻擊增幅最大的一年,原因何在?DDoS攻擊走勢與疫情防控形勢顯著相關,其關聯度體現在哪里?騰訊安全抵御DDoS攻擊的核心優勢是什么?由騰訊安全聯合云+社區打造的「產業安全專家談」第二十七期邀請到騰訊安全DDoS防護技術總監、研發負責人羅喜軍,深度解讀《2020年騰訊云DDoS威脅白皮書》的重點內容,并分享騰訊安全在抗D路上的實戰經驗。
Q1:《白皮書》提到,2020年是DDoS攻擊增幅最大的一年,其背后原因是什么?
羅喜軍:我們可以從攻擊者視角來看這個問題。首先,從意愿、動機的角度來看,去年突發的新冠疫情,給人們的生活方式帶來了巨大的變化,很多活動都從線下切換到了線上,同時帶來了互聯網服務的高速發展。業務高速發展,就會給黑產攻擊者帶來更多可乘之機,他們的獲利空間變大;第二,在于攻擊者的能力,即資源。近幾年IoT、5G等基礎設施在快速發展,與此同時,安全問題也會伴隨產生,比如弱口令或者一些漏洞問題,很容易引發黑客攻擊,使得設備淪為“肉雞”,導致DDoS攻擊;而且,現在DDoS攻擊還有一個趨勢,就是它的攻擊逐漸工具化,現在叫做攻擊的SaaS化服務,它能讓攻擊者的門檻變低。假設在網頁上注冊賬號,只要點一下鼠標或者調用API接口就可以發起攻擊;此外,疫情也會使攻擊者的動機變強。疫情刺激需求,需求帶來資源,資源又在一個持續的增長過程中,而持續增長的資源在動機的強烈驅動下,就能夠令攻擊者更好地利用資源。綜上,攻擊動機跟攻擊資源這兩個因素使得20年的攻擊趨勢有了很大的增長。
Q2: DDoS攻擊走勢與疫情防控形勢顯著相關,其關聯度體現在哪里?
羅喜軍:數據當中體現的關聯度在于,疫情期間大家都宅在家里,線上業務爆發,這時對于黑產團伙來說,就是一個絕佳的攻擊機會,勢必比居家隔離前的時段獲利更大、效果更明顯。舉一個更簡單的例子,游戲。在凌晨或半夜,很少有人去玩,所以此時對攻擊者來說,他們是沒有太大動力去作惡的,因為用戶越少,獲利越低;反之,在游戲高峰期,比如晚上七八點或者中午,此時在線用戶多,如果這時發起攻擊,會讓攻擊者獲取更大的利益,對用戶和游戲行業也都能造成更大的影響。
Q3: 游戲行業仍然是主要被攻擊行業。2020年游戲行業因DDoS攻擊造成的威脅有多大?國內的游戲企業受到的影響是否嚴重?
羅喜軍:游戲行業一直都是DDoS威脅的一個重災區,數據顯示,2020年游戲行業攻擊占比已達78%,較2019年上升28%。這個原因在于,受DDoS攻擊的區域跟與游戲行業的高度發展是比較契合的,放在全球范圍看也是一樣的,也就是說,游戲行業對DDoS攻擊感受到的影響是最明顯的。舉例說明,一個玩家在游戲過程中遭到攻擊,有可能簡單卡頓一下,也有可能直接掉線,再重連就連不上了,此時玩家對產品的體驗以及產品本身的口碑都會受到很大影響。而且,國內的游戲企業在出海時也會遇到同樣的問題,在海外可能會遇到更加惡劣的環境。一方面是海外黑產團伙的能力有可能更強,另一方面是在海外想要采取溯源等措施也許會更加困難。因此,國內的游戲在出海過程中受DDoS攻擊的影響會更大,比如近幾年很常見的敲詐勒索,以及一些不正當的競爭,甚至是有些玩家在游戲中惡意牟取利益,都會影響游戲行業。目前對于黑產來說,DDoS攻擊依然是他們的慣用手段。
Q4: 去年出現了新型的UDP反射攻擊,原因是什么?為什么這些新型的反射攻擊依然集中在游戲行業?
羅喜軍:其實UDP的反射攻擊是一個比較老的攻擊手法了,但去年我們還是看到UDP反射這里有一些新情況。去年7月有研究者發現,黑客通過幾種新的IoT設備,利用UDP反射手法發起攻擊,然后美國FBI就對這一威脅進行了一次安全預警,通報給了美國企業,導致黑產了解到這一手法,那么它就會大范圍地使用這種手法,這也是7月份之后占比偏高的原因,映射出UDP攻擊手法的一些變化。為什么還是游戲?有幾個原因,第一,游戲要保證很好的用戶體驗,需要保持低延時,所以在網絡協議開發上面永遠都會采用UDP協議,UDP反射正好也是用UDP協議,其實兩個場景下協議是相同的;第二,新的UDP反射手法與以往不同,以往的可能會有一個反射比,發十幾字節的小包之后產生幾百字節的攻擊包,形成流量放大。但是這幾種UDP手法,它的包長不算特別大,它的包長與正常游戲協議的行為包長大小是差不多的,包括我們看到黑客使用的攻擊源也是這種,比如家里面的路由器或者一些其他的智能設備。從服務端來看,這些IP就是正常用戶的IP,因為就是從家庭網絡出來的。所以從防護端的角度來看,這幾個層面就導致我們很難防御這樣的一些情況,或者說它對于防御系統的挑戰會變大。因為攻擊者也喜歡以假亂真的效果,所以就會變本加厲,一旦發現他突破這個點,就會大肆使用這種東西。
Q5: 在安全情報的披露上面,要披露到什么程度會比較合適?
羅喜軍:這個問題更多的是站在防護者視角,或者說以正向的視角去披露。因為我們不能披露做壞事的手法,而是要告訴大家,做壞事的手法我們是掌握的,抑或是在防護的過程中,也能同時解決安全問題。但是作為防守端,并不代表我們可以去濫用安全情報的披露手法,而是在于對情況的掌控。對于整個大盤來說,包括攻防兩端,我們都能掌握威脅情報,也正是體現了我們的專業能力。
Q6: TCP反射攻擊威脅持續擴大,原因是什么?
羅喜軍:TCP反射是近兩三年才出現的一個新手法,它在前一兩年更多的是利用網上開源的Web服務,例如依靠通用的CDN來進行反射。從去年開始,辦公形勢發生變化,通用的CDN已經不能滿足攻擊需求了,于是就開始利用DNS設備,包括其他智能設備來發起。這個跟UDP反射會有一些差別,UDP反射更多是希望反射發起流量放大,達到四兩撥千斤的效果;而TCP反射沒有明顯的放大比,沒法放大流量,但是可以讓包量或者PPS達到很大的程度。包量或者PPS參數對于網絡設備或防護設備的性能體驗挑戰是比較大的,這也是TCP反射攻擊的威脅比UDP反射更難解決的原因所在,它所造成的PPS包量吞吐量會比較大,這對于我們設備的性能來說是很大的考驗。另外,TCP反射使用的是一個正常的通信協議棧,它還是以假亂真,正常的協議棧很難去區別對待,到底是正常用戶?還是一個攻擊者?這一利用點會給我們的防護體系和防護策略帶來更高的挑戰。所以不法黑客更加愿意利用從簡到難的方式,慢慢用UDP反射,再到TCP反射,一步步加強,一步步試圖突破。
Q7:《白皮書》顯示,應用層攻擊呈現海量化趨勢,這個點指的是什么?
羅喜軍:去年我們捕獲到一例接近300萬QPS的加密流量攻擊,之前捕獲的最大規模也就幾萬,這其實是一個幾十倍的增長。我們發現加密流量的威脅突然間變大,應用層的威脅也隨之突增,然后再增。還有一個有趣的點,這些攻擊源使用的都是秒撥IP,即秒撥代理IP,它是說在業務安全領域,欺詐、黃牛、薅羊毛的場景可能會比較多地用到秒撥IP,因為它不停切換,必須繞過我們的風控策略。我們發現秒撥IP已經應用于傳統的安全對抗領域,如果還是以IP的角度去做攔截防護,就會有很多弊端,因為秒撥IP的特性就是不停地變,如果再用舊方法對抗它,就會發現我們永遠落后于攻擊者,永遠都是在被別人打了一波之后再去分析。
Q8:XOR.DDoS僵尸網絡最為活躍,原因有哪些?
羅喜軍:XOR僵尸網絡是比較經典的一個僵尸網絡,已經10多年了,這個僵尸網絡感染Linux服務器,通過密碼爆破或者弱口令的方式去感染,感染之后在上面種植木馬后門,里面會種植一個DDoS攻擊工具,這個攻擊工具會被類似的“肉雞”加入到壞人的僵尸網絡,去發起對外攻擊。這個攻擊手法是最經典的手法,其實就是SYNFLOOD,而且是SYN大包攻擊,一般單個網絡的規模應該是在100~300G左右,去年下半年由于IoT這種設備的發展,所以活躍度在下半年也會變大。去年12月份,我們在一個開源的軟件供應鏈里面發現有僵尸網絡通過投毒的方式進行傳播,這相對來說還是比較大的、新的趨勢。以往的傳播可能還是通過黑客去黑新“肉雞”,控制“肉雞”,然后上傳木馬、后門,上傳工具,發起攻擊,但當時我們發現軟件園的安全監控里面,它通過偽造某一個軟件供應鏈里的一個軟件,在里面捆綁一個后門,一旦在用開源軟件搭建自己的業務體系時,發現這個軟件是被投毒的,那機器可能也就被種上了這樣的木馬。
Q9:與往年相比,騰訊2020年抗D最重點的技術提升方向是哪些?效果如何?
羅喜軍:第一,降本增效。我們不斷地去研發高性能的防護設備和方案,去降低在設備上的投入成本。比如以往可能更多的是單臺設備,能防御10G的流量,到去年我們已經開始邁入到百G甚至400G的區段,這樣投入成本就會下降,運維、運營效率也會隨之提高。第二,加盟提效。通過跟一些合作伙伴共同建立安全能力,把安全能力開放給客戶。然后就是在算法層面的持續升級,我們以往的對抗形式可能還是比較傳統,比如寫規則、寫特征,但是在攻擊手法復雜化或者強對抗的背景下,這樣的方法就會越來越局限,所以我們也是在不停地利用大數據或者機器學習算法,去提升策略的可配置性或靈活性,希望能夠更加智能、自動化地去處理一些高級別的攻擊手法。至于效果如何,就是產品的付費成本可能會下降,或者說相同成本上,能買到更多的高防能力,這是一個,因為成本是客戶重點考量的因素;第二,因為安全攻防永遠是一個持續對抗的過程,而且技術的升級在于對抗效率的提升,比如以往出現一個攻擊手法,可能要花上三五天才能幫客戶解決,現在只要一天甚至半天,或者只需要調一個配置,就能解決這個問題,效率會大幅提升,客戶的受影響時間也會大大縮減。
Q10:騰訊安全為客戶提供了什么樣的增量能力和解決方案?
羅喜軍:我們之前推出了一個方案叫做“AI防護”,以前沒有它的時候,當一個攻擊手法變化時,通常的模式是,客戶業務受損時,安全團隊通過分析來調整和更新策略,這樣一來可能會耗上幾小時甚至更久;而在推出“AI智能防護”這種高級功能之后,客戶只需要在頁面上點一下,就可以自動分析攻擊手法的變化,自動識別和調整策略,可能只要幾分鐘時間,大量業務就能恢復,這是一個點。
Q11:在黑灰產的攻擊手段不斷升級時,作為防守方,我們要如何跑在前面?
羅喜軍:第一,我們的威脅情報能力要求我們要把很多事情做到事前,不要被動挨打,而是主動去控盤,所以我們對于業界的威脅變化會有一個及時的捕獲、感知;第二,對于騰訊自有的業務來說,尤其是自有的游戲業務,其實也會存在這樣大的威脅,包括騰訊云的客戶。比如a客戶發現了一些問題,能夠及時感知到,我們就能把這個問題放到整個大盤上去考慮;如果b客戶也發現問題,就不會很被動地處理,這就體現了我們的威脅情報能力;另外一點是后端的技術能力。當一個新的問題出現后,技術迭代能很快解決問題并適應這一狀況。其實我們所有后臺系統都是自研的,自研帶來的一個好處是可控性好,定制化的效率也會很高。當有需求或者遇到攻擊之后,能夠很快實現迭代升級,這也依賴于后臺的技術模型,畢竟要支持這么快的迭代效果。
Q12:抵御DDoS領域最需要的核心能力是什么,我們的核心優勢又是什么?
羅喜軍:第一,我們具備多年的技術沉淀和積累。因為安全有專業門檻,可能這里不存在捷徑;另一個層面,騰訊擁有許多業務,具備海量、全新的互聯網業務模型,還包括騰訊云用戶的實戰結論,這里指的是放到實戰當中,跟壞人去肉搏之后,才能知道應該怎么打,這是我們在技術上的一些優勢;第二,資源優勢。因為DDoS很大程度還是在于資源的配套,像騰訊安全的產品擁有的后端資源儲備,比如帶寬資源儲備,BGP網絡的儲備等,我們各個業務的形態都能為用戶提供很高的防護帶寬和能力,這是資源優勢;第三,安全服務。比如客戶出現問題需要解決時,我們能夠快速支持和響應,幫助客戶正向處理問題。
Q13:未來有哪些行業可能會成為DDoS攻擊的高發領域,如果這些行業需要提前部署、提前應對的話,應該通過哪些方面來建立自身的行業體系?
羅喜軍:理論上看,所有互聯網業務都會存在DDoS攻擊的可能,因為它不像是漏洞或者入侵,漏洞跟入侵是說自身存在弱點,壞人才有機會進來;但DDoS是說,只要在網上就存在這種可能,因為網絡可達就會存在這個問題,而且DDoS的攻擊效果是最明顯的,就是讓用戶斷網,同時給業務造成負面影響。未來,在一些新興行業當中,可能會存在這種安全風險。比如在線教育,網絡斷了,學生就沒法上網課;或者是在線醫療,這是真正與生命緊密相連的,所以會有很大的風險存在。對于此類行業的客戶或企業主來說,我們的建議是:第一,企業自身要具備抗攻擊能力。如同普通人得感冒,或許不是全靠吃藥來解決問題,而是身體首先要具備一定的抵抗力。同理,業務首先要在程序、代碼開發、架構等方面具備一定的抗攻擊能力;第二,對于架構層面來說,當真正出現問題時,要有快速的調度或熱備切換,這是容災的問題,也可以叫做快速恢復業務的能力;第三,專業的人干專業的事,當真正影響到企業的生存發展時,還是要找專業的安全服務團隊來解決這個問題。
