Cloudflare 已经发现并缓解了针对网络基础设施的大量 DDoS 攻击。其中有些攻击规模相当庞大,但大多数都是小型短时攻击。这一趋势一直保持不变,即使攻击的总体数量有增有减,攻击者对不同网络层协议的关注度也有升有降。
虽然小型短时 DDoS 攻击听起来令人感到安慰,但它们可能会损害未受保护或保护不力的网络。攻击者还可利用此类攻击对组织的防御系统进行压力测试,还能分散安全 团队的注意力,进而忽视其他更严重的威胁。
小型 DDoS 攻击盛行背后隐藏了哪些趋势和策略?组织应该如何应对?
DDoS 攻击旨在利用一个组织中 IT 基础设施和接收流量的应用程序的瓶颈。虽然存在许多 DDoS 攻击类型,但使用的大多是以下两种技术:
数据包数量巨大:任何服务器或应用程序可以同时处理的请求数量都是有限的。超出这个限制,就有可能降低或破坏应用程序处理合法请求的能力。
数据量大:网络链接、服务器和应用程序能够传输或处理的数据量也有限制。超出带宽限制也会导致系统崩溃。
下图引用了 2021 年第 4 季度的 Cloudflare 网络数据,表明绝大部分攻击没有尝试使用第一种技术。在这三个月中,超过 98% 的 DDoS 攻击速率不超过每秒 100 万个数据包,这一趋势与前几个季度的调查结果一致。
作为参考,2018 年针对 GitHub 的大规模 DDoS 攻击速率高达每秒 1.296 亿个数据包。在 2021 年第 4 季度,只有 2% 的 DDoS 攻击达到这一速度的十分之一,表明大多数攻击者进行 DDoS 攻击的数据包数量较少。
如下图所示,在第 4 季度,大多数 3/4 层 DDoS 攻击也没有试图使用大量数据击垮目标。事实上,97% 的攻击每秒携带的数据不到五百兆字节。
DDoS 攻击者不再使用过去常见的手段,因为小型短时攻击可以为他们带来几好处。
小型攻击的盛行可能看似不可思议,因为这表明 DDoS 攻击者没有发挥全力。但由于许多原因,小型短时 DDoS 攻击变得更加普遍。
近年来,DDoS 出租平台越来越流行。可以在这些平台(即压力源)上租用现有的 DDoS 僵尸网络,对客户选择的目标组织进行攻击。
在 DDoS 出租网站上进行规模相对较小的短时攻击非常便宜,价格从 5 美元 5 分钟到 400 美元一天不等。由于发起此类小型攻击变得更加容易,预计它们将继续增长,越来越盛行。
网络犯罪分子往往将火力集中在能够产生最大影响的地方。例如专门攻击已经在艰难管理大量流量的网络基础设施。
远程访问解决方案的示例包括 VPN 和 RDP。疫情迫使许多组织大幅增加使用这些服务,因为很大比例的员工都是远程办公。随着这种增长,服务很快就会超负荷,大型老牌组织不得不限制 VPN 的使用,以防出现更大范围的网络中断便是例证。
当然,自疫情开始以来,远程访问解决方案一直是 DDoS 攻击的目标。在此类攻击中,犯罪分子可能会发起相对较小的攻击流量,但仍可破坏目标组织处理该流量的能力。
如果一家公司部署了 DDoS 缓解解决方案,一次小型攻击可能对合法用户的服务可用性影响很小,甚至没有影响。然而,这些小型攻击可能并非攻击者的最终目标。
近年举起了 DDoS 勒索攻击——攻击者威胁称,达不到赎金要求就会发起 DDoS 攻击。成在许多情况下,要求赎金的团体会冒充知名的威胁 攻击者,例如 Fancy Bear、Cozy Bear 或 Lazarus Group,以诱使受害者支付赎金。
小规模 DDoS 攻击可以作为 DDoS 勒索要求的前哨。通过展示自己的能力,哪怕只是小型 DDoS 攻击,攻击者也增加了目标组织为避免大规模 DDoS 攻击风险而付款的概率。
早期的 DDoS 缓解解决方案旨在识别和阻止大量流量。这些系统只有在流量超过设定阈值时才可能开启。
传统的 DDoS 缓解解决方案依靠这些阈值来识别潜在攻击,较小规模的 DDoS 攻击可以逃避传统 DDoS 缓解解决方案的保护。通过保持刚好低于防御系统的触发阈值,这些攻击便可破坏目标网络的运行,而不需要压垮组织可能已经设置的防御系统。
大规模 DDoS 攻击成本高昂,需要大量资源来执行。攻击者使用小型 DDoS 攻击可能是为后续攻击做侦察。
如果组织已有 DDoS 缓解解决方案,小型 DDoS 攻击将不会影响受攻击的应用程序的性能。相比之下,一个未受保护的应用程序,即使一次小型 DDoS 攻击也可能导致明显延迟。通过使用较小规模的攻击,可能可以发现哪些组织部署了防御措施,哪些组织没有部署,为后续攻击计划提供实用信息。
许多 DDoS 攻击旨在引起注意。如果成功,DDoS 攻击会使受攻击的网络应用程序瘫痪,为组织的安全团队 创造一个必须解决的明确问题。网络基础设施对与客户沟通、向客户提供服务如此重要,解决攻击问题成为此时的优先事项。
由于以上原因,DDoS 攻击可用作其他攻击类型的“烟幕”,否则警惕的安全团队可能会发现并阻止此类攻击。如果一个组织专注于补救 DDoS 攻击,他们可能没有那么注意,不会发现数据泄漏企图或恶意软件渗入网络的情况。小规模 DDoS 攻击可能不足以使组织系统瘫痪,但可能足以分散组织的注意力,忽略真正的威胁。
虽然小型 DDoS 攻击可能感觉没有大规模攻击的威胁那么紧迫,但仍给组织带来了许多风险。有些情况下,小型攻击也可以使基础设施瘫痪,或至少造成性能损害。此外,小型 DDoS 攻击可以帮助攻击者寻找安全漏洞,或分散目标的注意力,使其完全忽略使用不同方式的其他攻击。
组织如果实施了强大的 DDoS 缓解解决方案,将可获得保护,哪怕面对最大规模的 DDoS 攻击。未受保护或保护不力的网络则不然,尤其是在网络负担过重的情况下。
在一次小型 DDoS 攻击中,每秒钟有多达五百兆字节恶意数据到达组织的网络基础设施。组织的网络可能存在一些潜在瓶颈,包括:
网络带宽
开放的 TCP 连接
CPU 使用率
如果攻击超出了任何这些资源的容量,网络便无法处理合法请求。
对组织网络的任何请求(无论合法或非法)都会消耗资源。正常情况下,大多数请求都是合法的,任何恶意请求的影响都很小或可以忽略不计。
但在 DDoS 攻击期间,恶意请求的数量可能超过合法流量,而且往往超出几个数量级。即使攻击没有使目标服务瘫痪,但站点的运营成本会增加几个数量级,这也会对组织的底线产生重大影响。处理垃圾邮件请求的成本会占用计算资源,而且,如果公司部署了计量的 DDoS 缓解服务,防护成本可能会很高。
DDoS 攻击的影响在攻击完成后还会持续很长时间。有些情况下,DDoS 攻击可能只会在攻击发生期间导致应用程序无法响应合法请求,但在攻击结束后会恢复正常。但还有些情况下,攻击可能导致应用程序或服务器崩溃,迫使 IT 团队重新启动机器或软件,恢复任何丢失的数据(如有可能)。在第二种情况下,尽管成本相对较低,但一次短暂的小型攻击也可能产生较长时间的影响。
组织准备应对 DDoS 攻击的最佳方法是部署 DDoS 缓解解决方案。然而,并非所有 DDoS 缓解解决方案都能产生同样的效果。需要寻找的一些关键品质包括:
永远在线的防护:有些 DDoS 缓解解决方案要在恶意流量达到一定阈值时才会开启。因此小规模的 DDoS 攻击可以避开这些解决方案。始终在线的 DDoS 缓解解决方案则可持续提供保护,防止攻击。
安全集成:DDoS 攻击可能只是下一次攻击的烟幕。集成了其他安全工具的 DDoS 解决方案有助于识别小型 DDoS 攻击试图掩盖的攻击。
基于边缘的清洗:将所有网络流量都发送到中央系统进行检查和清理,会增加网络延迟。清洗器应分布在网络边缘,以尽量减少对性能的影响。
不计量的 DDoS 缓解:有些供应商会根据攻击高峰期使用的网络带宽来收费,在大规模攻击时可能遭遇重创。最好寻找一个价格不会激增的 DDoS 解决方案。
DDoS 攻击越来越普遍,攻击技术也从大规模攻击演变为规模更小、时间更短的 DDoS 活动。要确保 Web 服务的可用性和性能,需要投资一个领先的 DDoS 缓解解决方案。
Cloudflare 就影响当今技术决策者的最新趋势和主题发布了系列文章,本文为其一。
阅读本文后,您将能够了解:
最常见的 DDoS 攻击类型
攻击激增的 6 大原因
前 3 大相关风险
一流的 DDoS 缓解措施