小型 DDoS 攻擊帶來的風險
來自最新 DDoS 報告的資料
Cloudflare 已經觀察到並緩解了針對網路基礎結構的大量 DDoS 攻擊。儘管其中一些攻擊非常大,但大多數都是小規模且短暫的。無論攻擊總數上升還是下降,攻擊者普遍針對或不針對不同的網路層通訊協定,這種趨勢一直保持一致。
雖然小型、短期 DDoS 攻擊的前景聽起來令人鼓舞,但此類攻擊可能會損害未受保護或保護不足的網路。它們還可以讓攻擊者對組織的防禦進行壓力測試,並可以分散安全團隊對更嚴重的其他威脅的注意力。
小型 DDoS 攻擊的流行背後有什麼趨勢和策略?組織應該做些什麼來回應?
小型 DDoS 攻擊正在激增
DDoS 攻擊旨在利用組織 IT 基礎結構和接收流量的應用程式中的瓶頸。雖然存在許多類型的 DDoS 攻擊,但大多數使用以下兩種技術之一:
大量封包:任何伺服器或應用程式可同時處理的請求數都是有限的。如果超過這些限制,就可能會降低或破壞應用程式處理合法請求的能力。
大資料量:網路連結、伺服器和應用程式對能夠傳輸或處理的資料量也有限制。超過這些頻寬限制也會導致系統關閉。
下圖利用了 2021 年第 4 季度的 Cloudflare 網路資料,顯示絕大多數攻擊並未嘗試使用第一種技術。在這三個月中,超過 98% 的 DDoS 攻擊的速率為每秒 100 萬個封包 (pps) 或更低,這種趨勢與上一季度的發現一致。
作為參考,2018 年針對 GitHub 的大規模 DDoS 攻擊達到每秒 1.296 億個封包的速率。在 2021 年第四季度,只有 2% 的 DDoS 攻擊達到了這個大小的十分之一,這表明大多數攻擊者正在使用較小的封包量執行 DDoS 攻擊。
下圖顯示,第四季度的大多數第 3/4 層 DDoS 攻擊也沒有試圖用大量資料壓垮目標。事實上,97% 的攻擊每秒攜帶不到半 GB 的資料。
DDoS 攻擊者不再使用過去常見的相同策略。這樣做的原因是,時間更短、規模更小的攻擊可以為他們提供幾種不同的好處。
為什麼這些時間更短、規模更小的攻擊如此普遍?
小型攻擊的流行似乎不尋常,因為這表明 DDoS 攻擊者沒有充分利用他們的能力。然而,時間更短、規模更小的 DDoS 攻擊變得越來越普遍的原因有很多。
原因 1:DDoS-for-hire 的興起
近年來,DDoS-for-hire 平台已變得越來越流行。在這些平台(也稱為壓力源)上,可以租用現有的 DDoS 殭屍網路來對客戶選擇的目標組織進行攻擊。
在 DDoS-for-hire 網站上,執行短暫而相對較小的攻擊相當便宜,價格從 5 分鐘 5 美元到一天 400 美元不等。隨著這些較小的攻擊變得更容易發動,我們預計它們將持續變得更流行。
原因 2:越來越多的網路基礎結構變得易受攻擊
網路罪犯傾向於將精力集中在可以產生最大影響的地方。實現此目的的一種方法是攻擊在管理大量流量已經面臨困境的網路基礎結構。
VPN 和 RDP 之類的遠端存取解決方案就是範例。COVID-19 疫情迫使許多組織大幅增加對這些服務的使用,因為很大一部分員工在遠端辦公。此類增加很快會使服務負擔過重,從大型成熟組織的範例中可以看出,這些組織不得不限制 VPN 的使用以防止更廣泛的網路中斷。
毫無疑問,自疫情開始以來,遠端存取解決方案一直是 DDoS 攻擊的目標。在此類攻擊中,犯罪者可能能夠發起相對較小的攻擊流量,並且仍然會破壞目標組織處理該流量的能力。
原因 3:為贖金要求做準備
如果一家公司採用了 DDoS 緩解解決方案,則小型攻擊可能對合法使用者的服務可用性影響很小或沒有影響。但是,這些小型攻擊可能不是攻擊者的最終目標。
近年來,勒索 DDoS 攻擊已經出現,如果不滿足贖金要求,攻擊者可能會執行 DDoS 攻擊。在許多情況下,索要贖金的團夥會偽裝成著名的威脅行為者,例如 Fancy Bear、Cozy Bear 或 Lazarus Group,以誘使受害者支付贖金。
小規模的 DDoS 攻擊可以用作 DDoS 贖金要求的開端。攻擊者透過展示執行小型 DDoS 攻擊的能力,增加了目標組織為避免大規模 DDoS 攻擊的風險而支付費用的可能性。
原因 4:躲避舊版 DDoS 緩解系統
早期 DDoS 緩解解決方案旨在識別和封鎖大量流量。只有當流量超過設定的閾值時,這些系統才能開啟。
較小規模的 DDoS 攻擊可以躲避舊版 DDoS 緩解解決方案提供的保護,這些解決方案依賴閾值來識別潛在攻擊。透過保持在防禦觸發的閾值以下,這些攻擊可以破壞目標網路的營運,而無需壓垮組織可能已經部署的防禦措施。
原因 5:網路防禦探索
大規模的 DDoS 攻擊可能很昂貴,並且需要大量資源才能執行。攻擊者使用小型 DDoS 攻擊可能是作為後續攻擊的偵察手段。
如果組織採用了 DDoS 緩解解決方案,則小型 DDoS 攻擊不會對受到攻擊的應用程式效能造成任何影響。相比之下,即使是小型 DDoS 攻擊,未受保護的應用程式也可能會遇到可衡量的延遲。透過使用較小規模的攻擊,可以確定哪些組織有防禦措施,哪些組織沒有防禦措施,從而為規劃後續攻擊提供有用的資訊。
原因 6:為其他攻擊作掩護
許多 DDoS 攻擊被設計得很明顯。如果成功,DDoS 攻擊會使受到攻擊的網路應用程式關閉,為組織的安全團隊帶來需要解決的明確問題。網路基礎結構對於與客戶通訊和向客戶提供服務的重要性使得解決攻擊成為優先事項。
由於這些原因,DDoS 攻擊可以用作可能被警示安全團隊偵測並封鎖的其他類型攻擊的「煙幕」。如果組織專注於補救 DDoS 攻擊,他們可能沒有足夠的精力來注意到資料外洩企圖或惡意程式碼滲入網路中。小規模的 DDoS 攻擊可能不足以摧毀一個組織的系統,但它足以分散人們對真正威脅的注意力。
這些小型攻擊會帶來什麼風險?
儘管小型 DDoS 攻擊看起來可能不會像大型攻擊那樣帶來直接威脅,但它們仍然為組織帶來許多風險。在某些情況下,小型攻擊仍然可能會使基礎結構關閉,或至少會損害其效能。此外,較小的 DDoS 攻擊可以幫助攻擊者尋找安全漏洞,或使用不同的方法分散他們的目標對其他攻擊的注意力。
風險 1:使易受攻擊的基礎結構關閉
即使是最大的 DDoS 攻擊,已實施強大 DDoS 緩解解決方案的組織也能屏蔽其影響。對於未受保護或保護不夠充分的網路而言,卻並非如此,更不用說有些網路本身已經不堪重負。
一次小型 DDoS 攻擊會使每秒多達 0.5GB 的惡意資料到達組織的網路基礎結構。組織的網路可能有潛在的瓶頸,包括:
網路頻寬
開放式 TCP 連線
CPU 使用率
如果攻擊超出這些資源的容量,網路將無法處理合法的請求。
風險 2:網路效能降低
對組織網路的任何請求(無論是否合法)都會消耗資源。在正常情況下,大多數請求都是合法的,些許惡意請求的影響很小或微不足道。
另一方面,在 DDoS 攻擊期間,惡意請求可能會超過合法流量——通常是數量級。即使攻擊沒有壓垮目標服務,以數量級增加網站的營運成本可能會對組織的利潤產生重大影響。處理垃圾郵件請求的成本會耗用運算資源,而且,如果公司使用計量的 DDoS 緩解服務,則保護成本可能會很高。
風險 3:攻擊後的影響
DDoS 攻擊的影響也可能在攻擊完成後持續很長時間。在某些情況下,DDoS 攻擊可能只會導致應用程式在攻擊發生時無法回應合法要求,但在攻擊結束後會恢復正常。在其他情況下,攻擊可能導致應用程式或伺服器崩潰,迫使 IT 團隊重新啟動電腦或軟體並恢復任何遺失的資料(如果可能的話)。在第二種情況下,儘管代價相對較小,但短期、小型攻擊可能會產生更大的影響。
組織應該如何應對這些風險?
組織應對 DDoS 攻擊的最佳方法是部署 DDoS 緩解解決方案。但是,並非所有 DDoS 緩解解決方案都有同樣的效果。要尋找的一些關鍵品質包括:
永遠在線的保護:部分 DDoS 緩解解決方案在惡意流量達到特定閾值之前無法啟用。不幸的是,小規模 DDoS 攻擊可以通過這些解決方案。永遠在線的 DDoS 緩解解決方案可提供持續保護來防禦攻擊。
安全整合:DDoS 攻擊可能被設計作為另一種攻擊的煙幕。與其他安全工具整合的 DDoS 解決方案可以幫助識別小型 DDoS 攻擊試圖掩護的攻擊。
基於邊緣的清除:將所有網路流量傳送到中央系統進行檢查和清除,可增加網路延遲。清除程式應分佈在網路邊緣,以將效能影響降到最低。
不計量的 DDoS 緩解措施:某些廠商將根據攻擊高峰期使用的網路頻寬收費,在大規模攻擊的情況下可能會造成嚴重影響。尋找避免按峰值定價的 DDoS 解決方案。
DDoS 攻擊正變得越來越普遍,攻擊技術正在從大規模攻擊演變為專注於更小、更短的 DDoS 攻擊。確保高 Web 服務可用性和效能需要投資領先業界的 DDoS 緩解解決方案。
Cloudflare 就影響當今技術決策者的最新趨勢和主題發表了一系列文章,本文為其一。
重點
閱讀本文後,您將能夠瞭解:
最常見的 DDoS 攻擊類型
這些攻擊激增的 6 個原因
三大相關風險
領先業界的 DDoS 緩解
相關資源
深入探討這個主題。
瞭解 如何保護網路免受 DDoS 攻擊並同時提高其效能。