新技术、地缘政治目标使DDoS攻击激增
新一波强大的DDoS攻击已经在整个威胁领域出现,网络安全供应商表示,以前的缓解措施变得越来越无效。
过去一年中,针对微软和谷歌等知名供应商的攻击代表着向应用层或第7层DDoS攻击的转变,但并不止于此。随着攻击者开始利用新攻击技术(利用互联网架构协议,例如HTTP 和 DNS)发起极具破坏性的攻击,这种快速发展的威胁正在影响各种规模的企业。
新技术的采用、DDoS 即服务的增长、攻击媒介的扩大以及对更强大的僵尸网络的访问,仅在过去几个月内就导致破纪录的 DDoS 攻击。然而,供应商观察到过去几年的频率、速度和复杂性都有所上升。
上周,Akamai Technologies发布了一篇名为《DDoS攻击的无情演变》的博客。Akamai 产品经理 Craig Sparling 和 Max Gebhardt 强调DDoS威胁的发展速度。两人警告说,“以最小成本提供最大影响的攻击媒介将不可避免地越来越受欢迎”。
Sparling和Gebhardt在博客中写道:“2010年排名前五的媒介占所有攻击的90%,而今天的前五名仅占所有攻击的55%。这种转变不仅突显了现代DDoS工具包的日益复杂,而且还突显了安全团队抵御蓬勃发展的威胁库的巨大压力。”
本月早些时候针对微软的攻击突显了DDoS对企业构成的威胁,无论其规模和资源如何。这家科技巨头证实,Microsoft 365和Azure等服务的广泛中断是由DDoS攻击引起,并将其归因于名为“Storm-1359”攻击者。该团伙也被称为Anonymous Sudan,使用技术来规避以前的缓解策略,包括Slowloris和缓存绕过攻击。
今年2月,Cloudflare透露,他们已经缓解了“破纪录”的每秒7100万个请求(rps)DDoS攻击。这次攻击是一篇博客文章中强调的众多攻击之一,该文章显示该公司在一个周末“检测并缓解了数十次超容量DDoS攻击”。大多数在 50 到 70 rps 之间达到峰值,但有一个脱颖而出。
Cloudflare 写道:“这是有记录以来报告的最大 HTTP DDoS 攻击,比 2022 年 6 月报告的 46M rps 记录高出 54% 以上。”
二月份的博客文章强调了过去几个月攻击的“规模,复杂性和频率”在增加。此外,Cloudflare 的 2022 年第四季度 DDoS 威胁报告确定,HTTP DDoS 攻击的数量同比增加了 79%。
2022 年的另一次重大 HTTP DDoS 攻击针对的是Google Cloud Armor客户,但没有成功。在去年 8 月的一篇博客文章中,谷歌证实他们已在 6 月 1 日阻止了第 7 层 DDoS 攻击,该攻击的峰值为4600万rps。与Cloudflare一样,该供应商还观察到,过去几年DDoS攻击的频率有所增加,并且“呈指数级增长”。
近年来,随着越来越多的企业将工作负载和应用程序转移到云端,威胁参与者通过瞄准扩大的攻击面来加快这一趋势。直到最近,大部分DDoS活动都得到了缓解,造成的中断最小。但专家表示,由于几个因素,威胁格局已经改变。
地缘政治目标推动 DDoS 攻击
除攻击面的增长之外,供应商还确定了一系列导致DDoS危险增加的因素。Akamai的首席信息安全官Steve Winterfeld将其缩小到三个主要来源,包括更多系统受到感染成为僵尸网络军队的一部分,他说僵尸网络军队主要包括物联网和联网设备。
其次,他告诉TechTarget Editorial,网络犯罪分子正在提供更多的DDoS工具和IaaS,这降低了进行攻击所需的技能。第三,越来越多的民族国家威胁组织正在利用DDoS攻击来实现政治目标。
Winterfeld 称:“此外,攻击会跟随资金,因此他们对最关键的资产发起攻击,即网站和API。随着我们过渡到更高的员工和客户在线参与度,这些保护措施比以往任何时候都更加重要。”
Radware高级安全解决方案负责人Eyal Arazi认同,地缘政治动机在DDoS攻击的增加中发挥了重要作用。Radware 观察到 2021 年至 2022 年间 DDoS 攻击的数量增加150%。网络安全供应商缓解了2 月至 4 月期间发生的一次攻击,该攻击总共产生了 150 亿个请求。
他说,新一波强大的攻击可以追溯到2022年2月俄罗斯入侵乌克兰,特别是与Killnet和NoName等俄罗斯国家赞助的团体有关。在国家的支持下,包括Anonymous Sudan在内的组织拥有建立更大、更强大的僵尸网络的资源,现在这种攻击资源正在传播。
Arazi说,针对以色列、印度、澳大利亚和其他国家发生了一波出于政治动机的DDoS攻击。Radware的威胁情报发现黑客在2月中旬至4月中旬期间声称的1800多次DDoS攻击。
他提出的一个重大问题是,新攻击会伪装成合法流量,因为它们是用HTTPS加密,这使得缓解服务更难检测到恶意请求。
Arazi 称:“这些新攻击的最大变化之一是转向第7层DDoS攻击,特别是HTTP / S DDoS攻击。这种转变带来新的复杂性,使攻击者能够发起比以往任何时候都更具破坏性的攻击。这些攻击每秒的请求数很高,行为复杂,伪装成合法流量,解密后不会被注意到。”
DDoS攻击在以破坏为目标的政治动机的网络犯罪分子中特别受欢迎。风险管理供应商Vulcan Cyber公司高级技术工程师Mike Parkin表示,鉴于目前的地缘政治局势,他对看到复杂且极具破坏性的攻击并不感到惊讶。Parkin告诉TechTarget Editorial :“也就是说,网络犯罪分子有时仍然会使用DDoS并要求付款以将其关闭,而州级威胁可能会使用勒索软件来隐藏他们的动机。”
当前的缓解措施旨在防御批量攻击,但Parkin指出,威胁参与者已经从简单的洪水转向更复杂的技术。一种更高级的方法涉及攻击者使用 Web 服务器的行为来对付它。
Parkin说:“与其说100000个机器人发送洪水,不如说我有50个机器人快速连续发送简单的查询,从而打击目标的资源。当攻击者找到通过内容分发网络并直接攻击源服务器时,情况会更糟。”
改进缓解策略
本月针对微软的DDoS攻击凸显了当前缓解措施中的漏洞。为了遏制攻击,微软建议客户配置其 Azure Web 应用程序防火墙,以启用机器人保护并阻止恶意 IP 地址。一些安全专家质疑,当科技巨头成为受到攻击的企业时,为什么客户需要采取行动。
但Arazi表示,问题不在于微软本身,而在于整个传统的DDoS保护方法。虽然大多数 DDoS 缓解措施依赖于已知攻击的静态签名并应用暴力缓解技术,但新一代攻击工具使用规避技术,例如随机标头参数、动态请求参数、IP 欺骗等。
Arazi称:“传统上,DDoS缓解解决方案集中在第3层和第4层,以防止容量耗尽网络层攻击。但是,当你在应用层发起攻击时,很难区分合法请求和恶意请求。此外,今天的大多数网络流量都是在HTTPS下加密的,这意味着默认情况下数据包的有效载荷被加密给外部观察者。这使得传统的缓解工具更难识别恶意请求。”
TechTarget企业战略集团高级分析师John Grady表示,第7层DDoS攻击通常功能不那么强大,但更难缓解,因为它们专门针对合法的应用程序进程。考虑到威胁行为者可用的计算资源、工具和技术的数量,他们可以使用多种方法造成长期中断,就像Storm-1359对微软所做的那样。
Grady说:“这些横向或地毯式轰炸攻击迫使安全团队评估更广泛的资源,以了解正在发生的事情并确定如何补救。”
由于攻击模式在不断变化,Arazi说新方法应该基于动态行为检测和缓解。
Akamai 六月的博客文章中强调了新兴的 DDoS 威胁。一种被供应商称为“PhoneHome”的攻击媒介是一种新的反射DDoS媒介,具有“破纪录的潜在放大率”。Akamai观察到PhoneHome部署在野外以发起多次DDoS攻击。第二个名为“TCP Middlebox Reflection”,Akamai 归类为放大向量。它利用公司和国家防火墙来反映针对受害者的流量。
为了防范新兴媒介,Akamai 建议审查关键子网和 IP 空间,确保 DDoS 安全控制处于始终在线的缓解态势,并组建一个危机响应团队,准备好事件响应计划。
Winterfeld 称:“重要的是,在受到攻击之前测试你的DDoS保护并验证你的保护机制。”
