互联网趋势报告
深入了解最新的网络威胁
分布式拒绝服务 (DDoS) 攻击长期以来一直是主要威胁,其主要原因在于攻击者无需利用漏洞或获得企业系统的访问权限,即可使用请求或流量让服务器不堪重负。但即便如此,威胁行为者仍然几乎改进了攻击的各个方面,导致近几个月来 DDoS 攻击形势快速演变。具体包括关注高价值目标、规避常见的 DDoS 防御措施,以及升级僵尸网络基础设施以发起更大规模的攻击。
一切向钱看
大多数网络犯罪分子都是为了赚钱。许多主要的网络攻击类型,例如数据泄露、勒索软件等,都有明确的盈利路径。
因此,最近的趋势表明,攻击者集中精力瞄准可以赚钱的目标不足为奇。西方各国的银行和用于银行间支付结算的 SWIFT 系统已成为主要攻击目标。此外,加密货币行业被认定为受到最多 HTTP DDoS 攻击的行业,其占总流量的比例较上一季度增长了 600%。
这些针对性攻击旨在削弱金融及其他领域的关键系统。
绕过机器人检测
攻击者面临的最大技术挑战之一是机器人检测算法。反机器人解决方案可以识别用于区分人类用户与恶意机器人的各种因素,从而过滤恶意流量,并尽量减轻对合法用户的影响。
近几个月来,复杂的规避检测解决方案已从民族国家威胁行为者向下渗透到主流网络犯罪分子。这些工具和技术,让自动化攻击者能够更准确地模仿合法用户和浏览器,并攻克缓解系统。两种最常用的规避技术包括:
随机化 HTTP 属性:对自动化机器人和工具进行指纹识别是许多机器人缓解系统的核心功能。为了应对这种情况,攻击者开始随机设定某些属性(例如用户代理字符串和 JA3 指纹),以降低基于签名的检测方法的准确性和效果。
低速和慢速攻击:HTTP 请求速率高于人类生成请求的速度,是自动化 DDoS 攻击的明显迹象。最近,攻击者一直侧重于发起规模更小、速度更慢的攻击,导致其攻击活动更难检测。
另一种绕过目标防御系统的常见策略是 DDoS 放大攻击,即:滥用合法服务向攻击目标发送大量数据。基于 DNS 的攻击占所有网络层 DDoS 攻击的近三分之一,网络犯罪分子利用了 DNS 受到普遍信任并且它是互联网基础设施的重要组成部分这一事实。
虚拟化僵尸网络
过去,僵尸网络通常由一组受感染的物联网 (IoT) 设备组成。这些设备往往安全性不足,因此很容易受到攻击。此类设备拥有互联网连接和有限的计算能力,这让其能够执行简单的自动化攻击,例如凭据填充或 DDoS 攻击。
最近几个月,网络犯罪分子已转向虚拟化僵尸网络。这些虚拟设备拥有更高的网络带宽和计算能力,使其能够发起比物联网设备强大 5,000 倍的攻击。
这种基于虚拟机的超大规模僵尸网络的兴起,导致 DDoS 攻击规模远超以往,例如这次创纪录的每秒 7100 万个请求的 DDoS 攻击,其攻击源头就是一个基于虚拟机的僵尸网络。
提前防范威胁
网络安全是一个快速发展的行业,威胁格局可能一夜之间发生变化。虽然 DDoS 攻击不会利用漏洞,但它们确实会尝试使系统不堪重负或耗尽宝贵的资源。随着这些攻击的规模不断增大,复杂程度越来越高,部署高级 DDoS 防御系统是过滤攻击流量并维持系统正常运行的关键。
Cloudflare 的 Web、应用和网络 DDoS 防护解决方案旨在保护连接到互联网的一切。Cloudflare 提供针对第 3 层、第 4 层和第 7 层的 DDoS 攻击防护,包括捕获并阻止大规模、隐蔽攻击的功能,攻击者通过虚拟机僵尸网络、低速和慢速攻击活动以及 HTTP 随机化等方法发起此类攻击。
如需了解更多互联网趋势,请访问 Cloudflare Radar。
Cloudflare 就影响当今技术决策者的最新趋势和主题发布了系列文章,本文为其一。