日前,騰訊安全聯合綠盟科技發布了《2021年全球DDoS威脅報告》,基于對2021年監測到的數據情況進行統計分析,全面盤點了2021年全球DDoS攻擊發展態勢。
1月21日,《2021年全球DDoS威脅報告》解讀研討會在線上舉行。在安全419創始人張毅的主持下,騰訊安全DDoS防護安全專家徐祖軍、綠盟科技伏影實驗室負責人吳鐵軍兩位專家圍繞“Tb級攻擊時代 企業如何應對DDoS‘毒瘤’”的話題展開了探討,對2021年DDoS攻擊整體態勢進行了詳細解讀,分享了來自騰訊安全和綠盟科技的實踐經驗。
DDoS 攻擊總體呈連增態勢 TB級攻擊已成常態
徐祖軍談到,疫情之下,傳統的旅游、社交、差旅、文體娛樂、線下零售等活動受到較大沖擊,線上直播、社交、游戲、視頻、辦公等活動越來越多地融入人們生活,互聯網行業成為近兩年難得的持續高速增長的行業。因此,線上業務的繁榮也讓眾多企業受到了黑產團伙的覬覦,導致DDoS 攻擊活動更為頻繁。從整體看,近兩年的攻擊次數均高于疫情爆發前。繼去年攻擊次數大幅增加后,今年攻擊次數依舊呈增長態勢,實現了2連增。
除了攻擊次數持續增長,2021 年業界最大的 DDoS 攻擊流量達到 2.4Tb,騰訊云 T-Sec DDoS 防護團隊也多次成功防護 Tb 級別的 DDoS 攻擊,最大攻擊流量達 1.26Tb。這意味著 DDoS 攻擊峰值在 2016 年邁入Tb級攻擊時代后,連續 5 年超過 1Tb,Tb 級別攻擊已成為企業的現實威脅。
吳鐵軍進一步指出,通常來看,往往下半年人們的消費活動較為旺盛,這時企業會迎來業務的高峰期,這也會導致互聯網企業在下半年遭受更多的 DDoS 攻擊。《2021年全球DDoS威脅報告》中的研究數據也印證了這一點,2021年下半年的 DDoS 攻擊威脅遠遠大于上半年,不僅8月份的攻擊次數遙遙領先,接近上半年的攻擊總次數,而且下半年每個月的攻擊次數均大于上半年單月次數。
之所以2021年下半年DDoS攻擊峰值水漲船高,在吳鐵軍看來,一方面是隨著物聯網、5G、云計算等新一代信息技術的廣泛應用,大量的IoT設備或IDC服務因漏洞修復不及時淪為肉雞。另一方面,隨著國內對虛擬貨幣挖礦行業的監管加碼,一些利用肉雞挖礦的黑產團伙受到了較大的沖擊,大量的肉雞從挖礦領域重新回流到了DDoS攻擊領域,使得攻擊者攻擊資源得到了大幅增加。
游戲行業仍是重災區 東南亞成為海外DDoS攻擊高發區域
根據騰訊云 T-Sec DDoS 防護團隊監測數據,2021 年 DDoS 攻擊行業分布呈現多元化趨勢。游戲行業DDoS 攻擊占比繼續保持第一,但是相比往年比率偏低,不再是一家獨大的局面。除游戲行業外,云計算、企業官網、視頻直播、IT 通信等行業成為 2021 年攻擊占比較高的行業。
據徐祖軍分析,游戲行業是黑產團伙長期瞄準的“肥肉”,在游戲行業中,出于敲詐勒索目的的DDoS攻擊層出不窮,一方面是因為游戲行業整體安全防護具備易攻難守的特點,另一方面,游戲行業較為內卷,自身也存在大量惡性競爭的行為,造成DDoS攻擊事件的高發。
吳鐵軍指出,從DDoS攻擊地理位置來看,東南亞地區正在成為DDoS攻擊的主戰場。
從 DDoS 攻擊數據上看,2021 年海外攻擊次數在整體中的比例比 2020 年有所回落,但仍然遠遠高于 2018 年和 2019 年。其中東南亞地區 DDoS 攻擊占比最高,占海外總攻擊次數的40%。
一般來說,DDoS 攻擊的地域分布和當地經濟發展水平以及人口數量呈正相關趨勢。中國一些游戲、直播、網絡通信等出海企業比較集中的區域,企業間競爭更激烈,也會成為海外 DDoS 攻擊的主戰場。其中,東南亞區域人口眾多,經濟發展水平高,是中國出海企業集中的地區,因此也成為了海外 DDoS 攻擊最集中的區域。
目前主流的攻擊手段有哪些?DDoS攻擊有哪些最新特征和趨勢?
據二位專家介紹,UDP 反射仍是當前黑產團伙最主要攻擊手法,UDP 反射由于其可觀的放大比和可以隱藏攻擊者行蹤的特性,歷來被攻擊者利用。2021年有相當比例的超百G大流量DDoS攻擊是由SYN大包或UDP反射之外的手法發起的。除此以外,掃段攻擊、僵尸網絡利用時差攻擊、脈沖攻擊、高頻瞬時攻擊等攻擊方式也正在成為攻擊者的慣用手段。
掃段攻擊是近年來興起的一種攻擊方式,和以往攻擊者只盯著單個目標 IP 不斷變換攻擊手法、尋求突破防護策略短板的攻擊方式不同,掃段攻擊多使用已知的通用攻擊手法,攻擊期間基本不會變換,但攻擊者會在短時間內對大量 IP 進行無差別攻擊,令大量攻擊流量涌入機房,而防護設備也需要承載大量 IP 上面的業務流量,防護系統性能壓力大,易造成整個機房業務癱瘓。
除掃段攻擊外,脈沖攻擊也成為現今比較典型的攻擊手法。黑產團伙通過定制攻擊工具,以固定時間為間隔,短期內對目標發起高達業務流量上千倍大小的攻擊流量,隨后很短時間內,攻擊又消失于無形。這種攻擊流量增長快、消失快,攻擊密集,不僅讓企業的安全運維人員不堪其擾,對防護系統的性能和靈敏度也提出了更高的要求。
利用時差攻擊是指,在國家和安全人員不斷治理打擊僵尸網絡的形勢下,黑產團伙往往會采取打時間差的方式,搶在漏洞修復前利用漏洞投放僵尸網絡程序,并持續尋找新型反射漏洞。如果企業未能及時修復服務器中存在的高危安全漏洞,就有可能導致存在漏洞的機器被黑客攻陷,甚至還會波及內部其他服務器,導致大量服務器被部署僵尸網絡的攻擊程序,持續對外發起 DDoS 攻擊。
最后,高頻瞬時攻擊也已成為當前對抗博弈的重要手段,根據綠盟 Bothunter 監測數據來看,2021 年,80% 的 DDoS 攻擊時長在 5 分鐘以內。瞬時攻擊占比高,說明攻擊者越來越重視攻擊成本、效率和技術對抗,傾向于在短時間內,以極大的流量導致目標服務用戶掉線、延時和抖動。長遠來看,多次瞬時攻擊能夠嚴重影響目標的服務質量,有效控制攻擊成本,盡快耗盡 DDoS 防御服務人員的精力。
面對DDoS攻擊的復雜性和不確定性 企業如何應對?
徐祖軍談到,“首先大家應該建立一個認知,DDoS攻擊不會突然消失,反而是越來越難以對抗。作為企業而言,就像修建一座大樓時,一定要為它配備消防設備,在網絡安全領域也是同樣,企業應該在做日常安全建設時將抗DDoS作為規劃的一部分,這樣才能防患于未然,在攻擊到來時組織起有效的應對。安全并不存在亡羊補牢,一旦安全事故發生了,那么造成的損失注定的是無法挽回的。”
他表示,在遭遇DDoS時,企業要在保障業務連續性、可操作性和所需成本之間找到最佳平衡點。對于一些自身不具備高水平安全能力的中小企業而言,他們應該選擇與專業的安全團隊合作,讓專業的人做專業的事,通過接入安全廠商的服務及資源,來有效抗擊DDoS攻擊。
吳鐵軍進一步指出,在互聯網中只要網絡可達,那么DDoS攻擊就可達,因此DDoS攻擊也是當前所有網絡威脅中唯一一個可以指哪打哪的攻擊方式,攻擊效果往往也立竿見影。對于任何一個擁有在線業務的企業來說,DDoS攻擊都是暗中懸在頭上的一把刀,只要利益足夠大,就有可能被攻擊者盯上,DDoS攻擊也隨時可能到來。
例如在上市、年終大促、年度盛典等關鍵的活動期間,如果此時遭到DDoS攻擊很有可能會讓投入的大量人力物力化為烏有,甚至還會造成業務中斷和客戶的流失。
因此他建議,所有企業都應該將DDoS攻擊防護提升至戰略重心的高度,在預算充足的情況下,企業還應該籌建專業的安全部門,有有效應對包括DDoS攻擊在內的各種復雜網絡安全攻擊。而中小企業則建議向第三方專業團隊尋求技術支持,讓專業隊伍去分析當前業務當中的脆弱性,找到當前業務中的脆弱性和風險點,有針對性的制定持續有效的防護方案,進而保障業務的穩定和持續性。
