概要

就分布式拒絕服務(wù)（DDoS）攻擊趨勢而言，2023年是具有里程碑意義的一年。網(wǎng)絡(luò)犯罪集團、出于地緣政治動機的黑客活動分子和惡意行為者利用物聯(lián)網(wǎng)（IoT）設(shè)備構(gòu)建的大規(guī)模僵尸網(wǎng)絡(luò)以及協(xié)議級零日漏洞，對企業(yè)、政府機構(gòu)以及關(guān)鍵但脆弱的公共基礎(chǔ)設(shè)施（包括醫(yī)院）發(fā)起了破紀(jì)錄的DDoS攻擊。

在大多數(shù)情況下，攻擊假定的目標(biāo)是造成損害、生產(chǎn)力損失和經(jīng)濟損失，并引起公眾的注意，這就是威脅行為者不斷擴展受害者范圍的原因，這些受害者已知缺乏足夠的IT安全性。重要的是要記住，DDoS攻擊是有針對性的攻擊，威脅行為者會有意識地選擇他們的目標(biāo)。

在整個2023年，DDoS攻擊變得更加頻繁、持續(xù)時間更長、復(fù)雜程度更高（具有多個向量），并專注橫向目標(biāo)（在同一攻擊事件中攻擊多個IP目的地）。其中，銀行和金融服務(wù)行業(yè)是最具針對性的垂直行業(yè)。針對這些行業(yè)的攻擊通常旨在造成聲譽損害，或分散安全專業(yè)人員的注意力，以發(fā)動DDoS+勒索軟件混合攻擊。在歐洲、中東、非洲（EMEA）和亞太（APAC）地區(qū)，DDoS攻擊的數(shù)量和規(guī)模已經(jīng)與北美不相上下。

破紀(jì)錄的一年

DDoS攻擊的規(guī)模和復(fù)雜程度都在不斷增長，但2023年以不可預(yù)見的速度加速了這一趨勢。甚至連安全供應(yīng)商及其各自的網(wǎng)站也受到了攻擊。2023年2月，Akamai監(jiān)測到攻擊峰值高達(dá)900.1 Gbps和158.2Mpps的超大規(guī)模DDoS攻擊。9月份，Akamai再次發(fā)現(xiàn)并阻止了一場大規(guī)模DDoS攻擊。在這起攻擊中，網(wǎng)絡(luò)犯罪分子使用了ACK、PUSH、RESET和SYN洪水攻擊向量的組合，峰值為633.7 Gbps和55.1 Mpps。

這些發(fā)生在2023年的創(chuàng)紀(jì)錄攻擊并非只是網(wǎng)絡(luò)犯罪的一個異常現(xiàn)象！事實證明，這些攻擊與2022年開始的“震懾式”DDoS攻擊趨勢非常一致。2022年，Akamai就曾檢測到一起創(chuàng)紀(jì)錄的DDoS攻擊，其最高攻擊速度為704.8 Mpps。事實上，Akamai緩解的10次最大DDoS攻擊中有8次都發(fā)生在過去18個月內(nèi)。

雖然這些攻擊因其復(fù)雜性和規(guī)模而備受關(guān)注，但由于地緣政治黑客主義和其他惡意動機，2023年還發(fā)生了幾次高pps（每秒數(shù)據(jù)包數(shù)）的L3和L 4 （協(xié)議和傳輸層）DDoS攻擊。事實上，Akamai觀察到2023年此類攻擊的數(shù)量最多，比2021年增加了近50%（見圖1）。

【圖1：2021年至2023年，高pps的L3和L4層DDoS攻擊總數(shù)增長了近50%】

舊協(xié)議，新零日漏洞，以及大規(guī)模DDoS攻擊

在2023年9月和10月，網(wǎng)絡(luò)犯罪分子利用HTTP/2快速重置零日漏洞（CVE-2023-44487）發(fā)動了大規(guī)模的L7（應(yīng)用層）DDoS攻擊。HTTP/2的一個重要功能是通過單個TCP 連接復(fù)用請求，這以并發(fā)流的形式體現(xiàn)。此外，想要中止請求的客戶端可以發(fā)出RST_STREAM 幀來停止數(shù)據(jù)交換。快速重置攻擊利用此方法快速連續(xù)發(fā)送和取消請求，從而繞過服務(wù)器的并發(fā)流最大值并在未達(dá)到其配置閾值的情況下使服務(wù)器過載。

HTTP/2快速重置零日漏洞造成了創(chuàng)紀(jì)錄的DDoS攻擊規(guī)模。Amazon Web Services、Cloudflare和Google發(fā)布聯(lián)合報告稱，緩解攻擊的速度達(dá)到155 Mpps（Amazon）和破紀(jì)錄的 3.98 億次請求（谷歌）。

隨著更多威脅參與者使用更廣泛的僵尸網(wǎng)絡(luò)以及這種新的攻擊方法，HTTP/2 快速重置攻擊將繼續(xù)打破更大的記錄。

攻擊DNS基礎(chǔ)設(shè)施以使業(yè)務(wù)離線

Akamai每天觀察到超過11萬億次DNS請求。在2022年上半年經(jīng)歷短暫下滑之后，DNS攻擊又卷土重來。2023年，Akamai緩解的DDoS攻擊中，有近60%使用了DNS組件（見圖2）。

【圖2：2023年近60%的DDoS攻擊有DNS組件，比2022年第一季度增長了近200%】

根據(jù)Akamai互聯(lián)網(wǎng)狀態(tài)（SOTI）在2023年3月發(fā)布的一份報告指出，多達(dá)16%的組織在其網(wǎng)絡(luò)中遇到了命令和控制（C2）流量，這表明攻擊正在進行中或可能存在進一步為勒索軟件攻擊鋪平道路的漏洞。DNS攻擊面無所不在的事實很明顯，攻擊者的目標(biāo)是從網(wǎng)站和支持物聯(lián)網(wǎng)的設(shè)備到家庭網(wǎng)絡(luò)以及兩者之間的一切。

銀行和金融機構(gòu)受災(zāi)最重

在垂直領(lǐng)域中，銀行業(yè)和金融服務(wù)業(yè)是2023年遭受DDoS攻擊數(shù)量最多的行業(yè)。從歷史數(shù)據(jù)來看，自2021年以來，金融機構(gòu)正越來越多地成為攻擊目標(biāo)（見圖3）。在前幾年，大約10%的DDoS攻擊是針對金融服務(wù)機構(gòu)的。到了2021年和2022年，這一比例上升至20%左右，并在2023年達(dá)到35%左右的峰值。

【圖3：2023年，銀行和金融服務(wù)行業(yè)遭受的DDoS攻擊數(shù)量最多；近35%的DDoS攻擊是針對金融行業(yè)的】

虛擬機僵尸網(wǎng)絡(luò)的力量急劇增強，以及烏克蘭和以色列戰(zhàn)爭引發(fā)的地緣政治黑客行動主義都是導(dǎo)致金融服務(wù)行業(yè)的DDoS攻擊不斷增加的原因。

事實上，親俄黑客組織（包括Killnet、REvil和Anonymous Sudan等）在2023年6月初宣布，他們將對歐洲和美國的金融機構(gòu)進行大規(guī)模的協(xié)同DDoS攻擊。也許這種親俄黑客行動主義更好地解釋了金融服務(wù)垂直領(lǐng)域DDoS攻擊的地區(qū)變化，因為EMEA現(xiàn)在的事件數(shù)量幾乎是北美的兩倍（見圖4）。

【圖4：在金融服務(wù)垂直領(lǐng)域，EMEA的L3和L4層DDoS攻擊事件數(shù)量幾乎是北美的兩倍】

第7層（應(yīng)用層）DDoS攻擊也在繼續(xù)困擾金融應(yīng)用程序。威脅行為者正在不斷努力提升他們的攻擊行動、網(wǎng)絡(luò)和TTPs，以逃避更強大的防御機制。研究人員從許多大規(guī)模DDoS攻擊中觀察到了以下一些最常見的特征：

• 高度分散的IP/子網(wǎng)和國家目標(biāo)；
• 豐富的攻擊源，包括受感染/租用的云服務(wù)提供商、Tor出口節(jié)點和匿名/開放代理節(jié)點；
• HTTP和DNS查詢泛洪；
• 不可緩存的URL，如主頁、隨機URL、搜索輸入和登錄端點；
• 高級攻擊者在住宅ISP、移動運營商網(wǎng)絡(luò)或大學(xué)網(wǎng)絡(luò)背后創(chuàng)建僵尸網(wǎng)絡(luò)，進行IP欺騙；
• 基于防御者的反應(yīng)進行動態(tài)和適應(yīng)性的進攻。

持續(xù)時間更長、更頻繁、更復(fù)雜

不僅DDoS攻擊的數(shù)量在2023年有所增加，而且攻擊類型的種類也較前幾年有所增加。橫向DDoS攻擊自2022年第四季度以來顯著增加。直到2022年第三季度，Akamai觀察到的DDoS攻擊中只有不到20%被歸類為橫向攻擊（見圖5）。但在2022年第四季度到2023年第三季度的12個月期間，Akamai持續(xù)觀察到近30%的DDoS攻擊是橫向和多目的地攻擊，增長了近50%。

傳統(tǒng)的DDoS攻擊通常針對高度可見的資產(chǎn)，例如公司的主網(wǎng)站，然后使用一種或多種方法（也稱為向量）發(fā)起攻擊，以淹沒支持目標(biāo)的基礎(chǔ)設(shè)施。這種攻擊的成敗取決于攻擊的規(guī)模、載體以及資產(chǎn)為防止濫用而實施的檢測和緩解措施的適當(dāng)性。

橫向攻擊指的是針對多個不相關(guān)目標(biāo)的同時DDoS攻擊，這就是它們有時被稱為“地毯式炸彈攻擊”（carpet bomb attack）的原因所在。在這種攻擊中，攻擊者并非優(yōu)先考慮單個高價值目標(biāo)，而是選擇多個目標(biāo)來分布攻擊，這使得安全團隊在減輕和最大化大范圍破壞的可能性方面更具挑戰(zhàn)性。

例如，對手可能會攻擊與特定組織關(guān)聯(lián)的所有IP地址，或者他們可能會進行更深入的偵察，以識別大量活動的服務(wù)或系統(tǒng)，并同時攻擊所有這些服務(wù)或系統(tǒng)。2022年9月，研究人員發(fā)現(xiàn)了一起破紀(jì)錄的DDoS攻擊，攻擊者攻擊了分布在六個物理數(shù)據(jù)中心的1813個IP地址，這是這種威脅的完美說明。

盡管這種攻擊形式早在20多年就已存在，但由于其日益流行和復(fù)雜性，橫向攻擊仍然是一個高度相關(guān)的威脅。

【圖5：2023年近30%的DDoS攻擊是橫向或地毯式攻擊】

2023年DDoS攻擊的另一個明顯趨勢是網(wǎng)絡(luò)犯罪分子在攻擊企業(yè)或機構(gòu)時使用的媒介數(shù)量不斷增加。Akamai在2023年防御的一些規(guī)模最大、最復(fù)雜的DDoS攻擊中發(fā)現(xiàn)了超過14種不同的向量，其目的顯然是為了耗盡資源，壓倒目標(biāo)企業(yè)的網(wǎng)絡(luò)安全團隊。在許多情況下，這種復(fù)雜的多向量DDoS攻擊旨在充當(dāng)三重勒索攻擊的煙幕。

下圖展示了2023年第三季度網(wǎng)絡(luò)犯罪分子用于DDoS攻擊的不同媒介。

【圖6：2023年第三季度網(wǎng)絡(luò)犯罪分子用于發(fā)起DDoS攻擊的各種媒介分布】

此外，網(wǎng)絡(luò)犯罪分子還齊心協(xié)力地追捕那些被視為“易受攻擊的目標(biāo)”。在攻擊的偵察或映射階段，威脅行為者知道哪些生產(chǎn)服務(wù)具有適當(dāng)?shù)谋Ｗo并相應(yīng)地進行計劃。中小企業(yè)；政府機構(gòu)；關(guān)鍵的公共基礎(chǔ)設(shè)施，如學(xué)校、醫(yī)院、機場和其他運輸和物流中心，在2023年多次遭到DDoS攻擊。美國的幾個主要機場在2022年被親俄黑客組織KillNet攻擊，另一個名為NoName057(16)的俄羅斯黑客組織在2023年攻擊了加拿大的多個機場、政府和金融機構(gòu)。

同樣地，臭名昭著的黑客組織Anonymous Sudan在2023年4月攻擊了印度6個主要機場和多家醫(yī)療機構(gòu)。當(dāng)然，這絕不是此類DDoS攻擊的詳盡列表。網(wǎng)絡(luò)犯罪分子將繼續(xù)利用DDoS作為一種相對廉價但有效的攻擊形式，給相關(guān)安全團隊帶來麻煩和干擾，并給政府和企業(yè)造成聲譽損害。

最后，在整個2023年，Akamai觀察到更長時間的DDoS攻擊活動重現(xiàn)抬頭跡象。平均而言，許多攻擊持續(xù)時間超過20分鐘，而在2021年至2023年期間，持續(xù)時間超過一小時的攻擊數(shù)量增加了50%。這與之前觀察到的持續(xù)時間通常不到2分鐘的短爆發(fā)式攻擊趨勢截然相反。

如果組織沒有適當(dāng)?shù)闹鲃臃烙鶛C制，并且響應(yīng)者無法快速反應(yīng)，那么短爆發(fā)式攻擊是非常有效的。當(dāng)檢測到其他威脅并需要響應(yīng)時，長時間的攻擊會給生產(chǎn)力和維持連續(xù)性的操作能力帶來負(fù)擔(dān)。

2024年可操作的DDoS防護策略

如果說2023年是企業(yè)、政府機構(gòu)和關(guān)鍵公共基礎(chǔ)設(shè)施被高度復(fù)雜的網(wǎng)絡(luò)攻擊無情鎖定的一年，那么可以肯定的是，網(wǎng)絡(luò)犯罪分子將在2024年設(shè)定更高的目標(biāo)。可被感染并變成僵尸網(wǎng)絡(luò)的數(shù)字設(shè)備的激增，EMEA和APAC地區(qū)數(shù)字基礎(chǔ)設(shè)施的快速普及，以及歐洲和中東地區(qū)持續(xù)的地緣政治緊張局勢，將繼續(xù)營造一個混亂的環(huán)境，這對有動機的網(wǎng)絡(luò)罪犯來說無疑是有利的。

在這種情況下，安全專家建議組織采取以下三個可行策略：

1.積極準(zhǔn)備DDoS防護態(tài)勢

發(fā)動DDoS攻擊的成本相對較低，特別是隨著DDoS即服務(wù)的普及，這使它們成為惡意行為者手中強有力的網(wǎng)絡(luò)犯罪武器。雖然無法阻止DDoS攻擊，但采取以下步驟可以最大限度地保護組織的數(shù)字資產(chǎn)免受此類攻擊：

• 檢查組織所有的關(guān)鍵子網(wǎng)和IP空間，確保具備適當(dāng)?shù)木徑饪刂拼胧?/li>
• 以“始終在線”的防護態(tài)勢部署DDoS安全控制措施作為第一層防御，以避免緊急集成場景，并減輕事件響應(yīng)者的負(fù)擔(dān)。
• 主動指定一個危機響應(yīng)小組，并確保運行手冊和事件響應(yīng)計劃是最新的。當(dāng)真的受到攻擊時，不至于感到猝不及防。
• 使用混合保護平臺備份本地DDoS保護，該平臺可防止使本地設(shè)備過載的攻擊。
• 通過網(wǎng)絡(luò)云防火墻設(shè)置主動安全控制，將組織的安全態(tài)勢擴展到基本DDoS保護之外。
• 最后，利用知名和久經(jīng)考驗的SOC團隊的專業(yè)知識和經(jīng)驗來減輕來自關(guān)鍵內(nèi)部資源的壓力。

2.保護DNS基礎(chǔ)設(shè)施

DNS基礎(chǔ)設(shè)施重新成為DDoS攻擊的主要目標(biāo)。如果組織的DNS出現(xiàn)故障，那么在線狀態(tài)也會出現(xiàn)故障。攻擊可能并不總是以使DNS名稱服務(wù)器癱瘓為目標(biāo)。相反地，它可能只是希望實現(xiàn)資源耗盡，并降低全局服務(wù)器負(fù)載平衡性能，從而致使合法請求受到影響。

在某些情況下，保護DNS基礎(chǔ)架構(gòu)的安全性和性能可能具有挑戰(zhàn)性。很多時候，傳統(tǒng)的DNS防火墻不能提供足夠的保護。最優(yōu)的解決方案應(yīng)該是具備以下特征的混合平臺：

• 保護本地和云中的DNS區(qū)域免受各種攻擊，包括DNS水刑（DNS water torture）、DNS洪水等；
• 直觀、輕松地管理策略和IP允許列表，并實時提供可操作的分析，幫助組織采取主動的安全態(tài)勢；
• 通過使用高度分布式的物理訪問點（point-of-presence）基礎(chǔ)設(shè)施來從最近的位置響應(yīng)用戶，從而提高DNS性能。

3.不要依賴“足夠好”的解決方案

也許最重要的一點是，不要假設(shè)現(xiàn)有的DDoS和DNS安全態(tài)勢“足夠好”，或者組織的業(yè)務(wù)不在攻擊者的目標(biāo)列表上。對于毫無防備和準(zhǔn)備不足的受害者來說，2023年可謂教訓(xùn)深刻的一年，他們中的許多人低估了DDoS威脅的演變方式，同時也高估了他們現(xiàn)有的安全管理能力。

要小心“免費+增值”解決方案的真正成本，它會用免費或相對便宜的解決方案引誘你進入入門級服務(wù)，但卻小心翼翼地將任何有效級別的服務(wù)隱藏在付費墻后面。

最后，不要忘記從技術(shù)解決方案的角度和最佳實踐的角度對組織的防御能力進行壓力測試，這包括事件運行手冊、流程、文檔等等。

結(jié)語

如果說2023年給企業(yè)和機構(gòu)上了一堂關(guān)于DDoS的課，那只能說明前一年的保護措施不再足以應(yīng)對今年的攻擊。相信您一定不想在2024年遇到同樣的情況，所以是時候強化組織的防御策略了。

原文鏈接：https://www.akamai.com/blog/security/a-retrospective-on-ddos-trends-in-2023