關於今天的DDoS攻擊，你需要知道的7件事！

對於威脅行為者而言，分散式拒絕服務（Distributed denial-of-service，DDoS）攻擊仍然是從受害者處敲詐金錢、竊取數據的首選武器，甚至為了進一步黑客主義意圖，還可以隨時發起大規模網路戰爭。

曾經這一主要在金融服務、電子商務和遊戲行業泛濫的威脅，如今已經成為各種規模的企業都需要面臨的一種威脅形式。如今，出於差不多同樣的動機，小型企業也開始像大型企業一樣，成為了DDoS攻擊的目標。

隨著殭屍網路構建工具包和所謂的「stresser」、「booter」以及其他DDoS出租服務的廣泛運用，幾乎任何人都可以針對他們所選擇的目標發起DDoS攻擊。如今，不再僅僅是國家支持的黑客和APT組織能夠使用DDoS基礎架構，就連普通的網路犯罪分子和腳本小子也能夠輕鬆發起一場DDoS攻擊。

這種趨勢對於企業的影響無疑是巨大的，以下是一些令人震驚的數據點：

1. 不要執著於數字

DDoS攻擊的實際數量及其峰值寬頻和其他方面的平均規模往往會逐季變化，有時候甚至以每月為單位發生變化。

從Akamai Technologies公司發布的《2017年第二季度互聯網／安全報告》來看，今年第二季度的DDoS攻擊比上季度增長了28%，而此前三個季度均呈下降趨勢。同時，Akamai 在第二季度中並未發現大小超過100Gbps的DDoS攻擊。

相比之下，就在上個季度，Verisign報道稱至少有一次攻擊達到了120Gbps，平均高峰攻擊大小比上年高了26％。

數字本身不應該決定緩和策略（mitigation strategies）：更重要的是要了解DDoS攻擊已經成為大多數組織的威脅。攻擊者比以前更有毅力，且有更多的資源可供他們使用。DDoS攻擊不必達到每秒幾千Gbps就能夠擊垮您的通信管道。

Arbor Networks營銷高級總監Kevin Whalen表示：「由於新的工具和攻擊服務的引進，DDoS攻擊的門檻已經逐漸消失，使得任何人都有條件發起攻擊，任何企業都可能成為真實的攻擊目標。」

2. 多向量攻擊正流行

結合體積（volumetric）、應用級和協議級等元素的多向量DDoS攻擊已成為主要威脅。攻擊者可以一次使用一個向量來啟動這些攻擊，或是同時使用所有向量來混淆目標。

Neustar報道稱，與2015年（當時UDP、TCP和ICMP是最受歡迎的攻擊媒介）相比，2016年多向量DDoS攻擊增加了322％。早在2016年第一季度，像Akamai這樣的公司就曾報道稱其60%的緩和工作都涉及多向量DDoS攻擊。

Whalen說，「這些攻擊是非常流行的，因為它們很難防禦，而且通常非常有效。」

事實上，Verisign在今年第一季度觀察到的最大的DDoS攻擊是多向量攻擊，其峰值寬頻為120Gbps，每秒大約有9000萬個數據包。這次攻擊主要由TCP SYN和TCP RST流量洪水組成，持續了兩周時間，並在其中一個15小時內持續發送了60Gbps的流量。

Whalen表示，根據Arbor最新發布的《全球基礎設施安全報告》顯示，67％的受訪者報告了多向量DDoS攻擊，這一比例比去年的56％要高出許多。

3. 網路層／容量攻擊仍然是最常見的

Imperva研究團隊負責人Avishay Zawoznik表示，網路層攻擊（或也可以稱為「容量DDoS攻擊」）仍然是最常見的攻擊。這些攻擊的特點是高寬頻或網路每秒封包速率，以及針對受害者網路管道的帶寬容量或受害者網路設備的路由容量。

Zawoznik表示，容量攻擊中常見的例子包括SYN、ACK、UDP以及ICMP洪水。他說，「在過去幾個月中，我們最常看到的DDoS攻擊是TCP攻擊、NTP擴展攻擊和多向量攻擊。顯然，在帶寬、每秒數據包或每秒請求方面的攻擊越大，容量攻擊可能造成的傷害越高。」

Akamai公司統計發現，在上個季度幫助客戶處理的4,051個DDoS攻擊中，99％屬於容量攻擊；其中80％以上針對遊戲行業的公司；埃及在容量DDoS攻擊中使用的唯一IP地址數量最多，佔全球總數的38％。

4. 應用級DDoS攻擊正在增長

雖然網路層DDoS攻擊仍然很常見，但是應用級攻擊也正呈現迅速上升的趨勢。

應用級（app）DDoS攻擊使用一系列看似合法的請求來轟炸業務應用程序，直至應用程序無法響應。與容量攻擊相反，應用程序攻擊具有低得多的流量，並以每秒請求量（RPS）來衡量。典型的攻擊針對的是HTTP和DNS服務，當然，也開始越來越多地針對HTTPS。

Imperva 公司發布的《2017年第一季度的全球威脅景觀報告》顯示，網路層DDoS攻擊已經連續第四個季度呈現下降趨勢，而應用層攻擊每周達到近1,100次。

這些攻擊中最大的流量達到176,00 RPS，這一數值遠遠高於Imperva在2016年遇到了最大的應用層攻擊。Zawoznik表示，「這些攻擊旨在消耗伺服器、Web伺服器以及資料庫等計算資源。典型的攻擊涉及針對目標應用程序的HTTP GET、POST以及PUSH請求洪水。」

據Arbor稱，DNS攻擊佔去年所有報告的應用層攻擊的81％，並取代HTTP成為最具針對性的服務。

5. 大多數DDoS攻擊都是小而簡單的

事實上，絕大多數的DDoS攻擊（即便是容量攻擊）都涉及相對較低的流量。

數據顯示，在2017年第一季度中，Corero Network Security為其客戶所解決的80％的DDoS攻擊流量不到1Gbps。

在2016年第四季度到2017年第一季度之間，驚人的是，98％的攻擊都低於10Gbps。今年第一季度，Corero為客戶處理的DDoS攻擊中有71％僅持續了不到10分鐘的時間。

在大多數情況下，這種攻擊不足以癱瘓網站。但是它們可能會導致嚴重的安全問題。

小型的DDoS攻擊經常被用作竊取數據，以及掩蓋數據泄漏的痕迹。Corero表示，在大多數情況下，威脅行為者會使用這些攻擊來映射受害者的網路，安裝惡意軟體，並作為勒索軟體攻擊的前兆。而且雖然小型DDoS攻擊可能不會使你的網路飽和，但是它可以造成服務質量下降和擁塞等問題。

6. DDoS攻擊變得更加持久

層出不窮的攻擊使得DDoS攻擊變得越來越容易，而這種現象似乎也促使威脅行為者變得比以往任何時候都更加積極、堅持的尋求受害者。

例如，Akamai報告稱，在2017年第二季度，目標企業平均會受到32次獨特的DDoS攻擊。其中一家遊戲公司平均每天會遭受6起DDoS攻擊攻擊，總攻擊次數竟高達558次。Corero表示，其客戶在今年第一季度每月平均遭受124次DDoS攻擊，比2016年第四季度增加了9％。

Imperva在報告中指出：「在宏觀層面上，DDoS攻擊時間變得越來越短，但是其複雜性和連續性正在不斷提升。」

在所有遭受攻擊的企業中，有超過90%的攻擊時間少於30分鐘，但是針對受害者的重複攻擊數量卻急劇增加。Imperva公司近75%的客戶表示自己受到了多次攻擊，且19%的客戶表示遭受過10次以上攻擊，這意味著，攻擊者開始傾向於針對受害者發起持續性攻擊。

7. IoT和移動殭屍網路驅動的DDoS攻擊正在湧現

近年來，脆弱的移動和物聯網設備的不斷普及，為攻擊者部署大規模殭屍網路發起DDoS攻擊提供了新的機遇。

當然，Mirai只是此類殭屍網路的一個典型案例，還有很多其他的殭屍網路已經不斷湧現。最近多家安全公司組成的安全研究小組就發現了這樣一個新的、傳播廣泛的殭屍網路——WireX，它是由成千上萬的Android智能手機構建而成的，這些惡意軟體被設計來進行大規模應用層DDoS攻擊。

WireX殭屍網路在8月初主要被用來發動小規模的DDoS攻擊，但是中旬開始，規模開始逐漸升級。8月17日，研究員注意到來自超過100個國家，7萬多受感染的手機發起了大規模的DDoS攻擊。

Corero在其報告中指出：「由大規模殭屍網路驅動的DDoS攻擊正變得越來越普遍。它們已經足夠強大，甚至是某些「安全」公司可能都已經難以招架」。

總結

可以說，所有的防禦是不完美的，正如攻擊也是不完美的一樣！好的防禦者在提升自己的防禦能力趨於完美的同時也要善於尋找攻擊者的不完美，尋找一次攻擊中的漏洞，不要對攻擊心生恐懼；而對於Ddos攻擊而言，發起一次攻擊一樣是存在漏洞的，如果我們都能夠擅長利用其中的漏洞並且抓住後面的攻擊者那麼相信以後的ddos攻擊案例將會減少很多，在針對目標發起攻擊之前攻擊者也會做更多的權衡。

安在

（ID:AnZer_SH）

新銳|大咖|白帽|深度