您所在的位置: 首頁(yè) >
新聞資訊 >
威脅情報(bào) >
DDoS攻擊花樣百出,第三季度多個(gè)行業(yè)被暴擊
Lumen和卡巴斯基實(shí)驗(yàn)室最新發(fā)布的第三季度 DDoS 報(bào)告,都顯示本季度DDoS攻擊暴增,Lumen發(fā)現(xiàn)本季度比上一季度多 35%。安全專(zhuān)家警告說(shuō),且攻擊技術(shù)也越來(lái)越復(fù)雜。Lumen 研究人員分析發(fā)現(xiàn)DDoS攻擊開(kāi)始越來(lái)越多地針對(duì)VoIP語(yǔ)音等新服務(wù)??ò退够鶎?shí)驗(yàn)室研究人員也同時(shí)發(fā)現(xiàn)第三季度DDoS攻擊出現(xiàn)了一個(gè)明顯的趨勢(shì),即網(wǎng)絡(luò)電話(huà)提供商受到大量攻擊,主要影響了英國(guó)、加拿大和美國(guó)的公司。由于功能強(qiáng)大而復(fù)雜,它們給客戶(hù)帶來(lái)了語(yǔ)音和短信問(wèn)題。同時(shí),近年來(lái),越來(lái)越多的攻擊者開(kāi)始使用DDoS 攻擊向受害者勒索贖金,這些攻擊者自稱(chēng)來(lái)自勒索軟件組織REvil,要求支付巨額贖金來(lái)才能停止攻擊。但是,目前還無(wú)法確認(rèn)該組織的真實(shí)身份是 REvil 還是其他。無(wú)論如何,對(duì) VoIP 提供商的勒索攻擊僅限于 DDoS,而 REvil 主要進(jìn)行數(shù)據(jù)加密。
早在10月份,一家名為 VoIP.ms 的主要 VoIP 提供商已經(jīng)受到 DDoS攻擊。造成企業(yè)無(wú)法為他們的客戶(hù)服務(wù),客戶(hù)反饋說(shuō)他們無(wú)法連接到 VoIP.ms 的 SIP 服務(wù)器以及其他資源。與此同時(shí),有人聲稱(chēng)自己是 REvil 勒索軟件組織的一員,要求支付贖金來(lái)恢復(fù)業(yè)務(wù)。研究人員在樣本中沒(méi)有看到任何 SIP 數(shù)據(jù)包。相反,他們看到的是 DNS、SNMP 和其他通常出現(xiàn)在放大攻擊和僵尸網(wǎng)絡(luò) DDoS 攻擊中的流量。
卡巴斯基實(shí)驗(yàn)室研究人員也同時(shí)發(fā)現(xiàn),第三季度發(fā)現(xiàn)的最大攻擊帶寬為 612 Gbps,比第二季度增長(zhǎng)了 49%;基于數(shù)據(jù)包速率統(tǒng)計(jì)的最大攻擊規(guī)模為252 Mbps,較第二季度增加了 91%;對(duì)客戶(hù)的最長(zhǎng)攻擊持續(xù)了兩周,突顯了 DDoS 可能對(duì)組織產(chǎn)生較嚴(yán)重影響;在受攻擊次數(shù)達(dá) 500 次的行業(yè)中,受攻擊最頻繁的行業(yè)是電信和軟件/技術(shù),其次是零售;28% 的多重緩解措施首次面對(duì)四種不同攻擊類(lèi)型的復(fù)雜組合,分別是DNS、TCP RST、TCP SYN-ACK和 UDP 放大。DDoS攻擊這些年來(lái)并沒(méi)有太大變化,因?yàn)榇祟?lèi)攻擊仍然相對(duì)便宜、容易和有效,因此,近年來(lái),越來(lái)越多的攻擊者開(kāi)始使用DDoS 攻擊向受害者勒索贖金。其中俄羅斯服務(wù)商 Yandex 遭遇了有史以來(lái)最大規(guī)模的DDoS攻擊。
本季度另一個(gè)備受矚目的事件是 Mēris 的發(fā)現(xiàn),這是一種能夠進(jìn)行強(qiáng)大的 DDoS 攻擊的新型僵尸網(wǎng)絡(luò)。據(jù)最先報(bào)告僵尸網(wǎng)絡(luò)的 Yandex 和 Qrator Labs 稱(chēng),它由高性能網(wǎng)絡(luò)設(shè)備組成,主要來(lái)自 Mikrotik,并使用 HTTP管道,允許在一個(gè)連接中向服務(wù)器發(fā)送多個(gè)請(qǐng)求,而無(wú)需等待響應(yīng)。這種僵尸網(wǎng)絡(luò)的攻擊以每秒大量的請(qǐng)求而引人注目。例如,針對(duì)Cloudflare客戶(hù)(歸因于Mēris)的DDoS攻擊,盡管持續(xù)時(shí)間不到一分鐘,但每秒仍有1720萬(wàn)次請(qǐng)求,而 Yandex 報(bào)告每秒請(qǐng)求 2180 萬(wàn)次。
信息安全領(lǐng)域的知名記者 Brian Krebs 的網(wǎng)站也遭到了短暫但威力巨大的 Mēris 攻擊。Krebs 指出,雖然每秒請(qǐng)求數(shù)沒(méi)有 Yandex 或 Cloudflare 那樣令人印象深刻,但它仍然是 Mirai 對(duì)其網(wǎng)站的攻擊的四倍多。
如上所述,Cloudflare最近成功阻止了一次DDoS攻擊,其峰值略低于2Tbps,成為有史以來(lái)最兇猛的DDoS攻擊。
這次DDoS攻擊發(fā)生在安全機(jī)構(gòu)Rapid7警告GitLab漏洞(在CVSS嚴(yán)重程度上被評(píng)為滿(mǎn)分10.0)僅兩周后,該漏洞就已經(jīng)被外部利用,允許掌握它的攻擊者在受影響的服務(wù)器上遠(yuǎn)程運(yùn)行代碼,如僵尸網(wǎng)絡(luò)惡意軟件。Rapid7發(fā)現(xiàn),在60000個(gè)面向互聯(lián)網(wǎng)的GitLab實(shí)例中,至少有一半仍未打補(bǔ)丁,并警告說(shuō),隨著該漏洞的細(xì)節(jié)被公開(kāi),利用將持續(xù)增加。
根據(jù)對(duì)攻擊的分析,Cloudflare認(rèn)為這是一次多載體攻擊,結(jié)合了DNS放大攻擊和UDP FLOOD的方式。這次攻擊持續(xù)了不到一分鐘,是Cloudflare迄今為止看到的最大的一次。
Cloudflare的產(chǎn)品經(jīng)理Omer Yoachimik說(shuō):"我們第三季度DDoS趨勢(shì)報(bào)告的另一個(gè)關(guān)鍵發(fā)現(xiàn)是,網(wǎng)絡(luò)層的DDoS攻擊實(shí)際上比一季度增加了44%。雖然第四季度還沒(méi)有結(jié)束,但我們已經(jīng)看到了多起針對(duì)Cloudflare客戶(hù)的攻擊。"
第三季度,針對(duì)美國(guó)的DDoS攻攻擊增加了4.8個(gè)百分點(diǎn),達(dá)到40.80%。在經(jīng)歷了第一季度和第二季度的平靜期后,該國(guó)的攻擊比例一下子增長(zhǎng)了12.61%。
DDoS 攻擊次數(shù)激增
第三季度的DDoS攻擊數(shù)量異常多。7月上旬比較平靜,但到月中,DDoS攻擊日均數(shù)超過(guò)1000次,8月18日達(dá)到8825次, 8月21日和22日,日均數(shù)超過(guò)5000次。在8月2日和6日,9月16日、18日、19日和22日,發(fā)現(xiàn)了超過(guò)3000次攻擊。
在本季度最平靜的日子里,研究人員觀察到將近500起DDoS攻擊:6月2日494起,6月3日485起。
在第三季度,DDoS攻擊的分布是一年中最不均勻的。大多數(shù)攻擊發(fā)生在周三——19.22%。這一統(tǒng)計(jì)結(jié)果很大程度上受到了8月18日(周三)DDoS攻擊的影響。由于8月份的另外兩個(gè)高峰期,發(fā)生在周六和周日的攻擊比例也有所增加。在其他時(shí)間,DDoS活動(dòng)的比例比上一季度有所下降。
DDoS攻擊的持續(xù)時(shí)間和類(lèi)型
在第三季度,平均 DDoS 攻擊持續(xù)時(shí)間減少到 2.84 小時(shí)。這可能是由于持續(xù) 50 小時(shí)或更長(zhǎng)時(shí)間的攻擊次數(shù)減少,而相對(duì)較短的攻擊次數(shù)增加。例如,盡管極短攻擊的比例 (86.47%) 比上一季度有所下降,但其數(shù)量幾乎翻了一番:從第二季度的3.3萬(wàn)次增至6.3.7萬(wàn)次。與此同時(shí),第三季度最長(zhǎng)的攻擊持續(xù)了339小時(shí),比之前報(bào)告的最長(zhǎng)攻擊時(shí)間少了2倍以上。
從攻擊類(lèi)型來(lái)看,SYN Flood攻擊在第三季度遙遙領(lǐng)先,51.63%的攻擊使用了該攻擊。UDP FLOOD攻擊位居第二(38.00%),比例比上一季度下降了22%。TCP FLOOD仍排在第三位,但其比例也降至8.33%。
僵尸網(wǎng)絡(luò)的地理分布
第三季度,大部分C&C僵尸網(wǎng)絡(luò)服務(wù)器位于美國(guó)(43.44%),然而,他們的比例下降了4.51%。德國(guó)(10.75%)仍然位居第二,其比例也略有下降,荷蘭(9.25%)排名第三。俄羅斯(5.38%)取代法國(guó)(3.87%)位居第四,與捷克(3.87%)并列第6位和第7位,加拿大(4.73%)仍位居第五。英國(guó) (2.58%) 在 C&C 服務(wù)器數(shù)量方面排名第八,羅馬尼亞 (1.94%) 和瑞士 (1.94%) 位居榜首。
30000臺(tái)服務(wù)器被攻擊!GitLab再次遭受DDoS攻擊,峰值超1Tbs
DDoS攻擊并不少見(jiàn),但近期這類(lèi)攻擊卻有著愈演愈烈的趨勢(shì)。有專(zhuān)家警告說(shuō),超過(guò)1Tbps以上的大流量DDoS攻擊越來(lái)越普遍。
今年10月,微軟曾宣布其Azure云服務(wù)成功攔截一次每秒2.4 Tbps的DDoS攻擊,這是當(dāng)時(shí)發(fā)現(xiàn)的最大的DDoS攻擊。
截止發(fā)稿前,GitLab又被DDoS攻擊了,峰值流量超1 Tbps。此次攻擊的漏洞來(lái)源于4月份已經(jīng)修復(fù)的漏洞,但仍有30000臺(tái)未安裝更新的服務(wù)器被攻擊。
負(fù)責(zé)谷歌DDoS防御的云安全可靠性工程師Damian Menscher最近披露,有攻擊者正在利用 GitLab 托管服務(wù)器上的安全漏洞來(lái)構(gòu)建僵尸網(wǎng)絡(luò),并發(fā)起流量驚人的攻擊。
最常遭到DDoS攻擊的行業(yè)有哪些?
DDoS攻擊是目前被公認(rèn)為最難防御的網(wǎng)絡(luò)攻擊之一,最常遭到DDoS攻擊的行業(yè)有哪些?
網(wǎng)絡(luò)游戲行業(yè)
網(wǎng)絡(luò)游戲行業(yè)除了應(yīng)對(duì)網(wǎng)絡(luò)高峰,最大的問(wèn)題就是部署業(yè)務(wù)時(shí)容易遭到DDoS攻擊。數(shù)據(jù)顯示,游戲行業(yè)是攻擊的重災(zāi)區(qū),攻擊次數(shù)占比高達(dá)49%。第三季度,《最終幻想14》的歐洲服務(wù)器受到多次攻擊。在被攻擊的幾個(gè)小時(shí)時(shí)間里,游戲玩家都遇到了掉線(xiàn)、速度變慢和登錄問(wèn)題。
電子商務(wù)行業(yè)
數(shù)據(jù)顯示,有將近30%的網(wǎng)絡(luò)攻擊是針對(duì)電商,電商行業(yè)因?yàn)榻桓豆δ?、平臺(tái)的實(shí)時(shí)響應(yīng)對(duì)安全和速度有著較高要求。特別是在618、雙11這類(lèi)特殊的節(jié)日,電商企業(yè)由于DDoS大流量攻擊導(dǎo)致的業(yè)務(wù)中斷、客戶(hù)流失、營(yíng)收損失等難以計(jì)數(shù)。
互聯(lián)網(wǎng)金融行業(yè)
金融領(lǐng)域可以說(shuō)是DDoS攻擊的高發(fā)行業(yè),金融部門(mén)更容易受到攻擊,攻擊會(huì)使金融系統(tǒng)無(wú)法訪問(wèn)。黑客一般是為了贖金和敲詐勒索。
虛擬貨幣行業(yè)
遭受DDoS攻擊的還有最古老的比特幣網(wǎng)站Bitcoin.org。盡管在這個(gè)案例中,不像對(duì)VoIP提供商的攻擊,攻擊者愿意接受半個(gè)比特幣,但對(duì)于非營(yíng)利信息門(mén)戶(hù)網(wǎng)站來(lái)說(shuō),這仍然是一筆不小的贖金。
值得注意的,因?yàn)榧用茇泿诺膬r(jià)格攀升仍然和以前一樣強(qiáng)勁,而DDoS市場(chǎng)的增長(zhǎng)與加密貨幣開(kāi)始暴漲之前相似。過(guò)去幾年,這兩個(gè)市場(chǎng)一直在爭(zhēng)奪計(jì)算能力,許多僵尸網(wǎng)絡(luò)既可以用于DDoS,也可以用于挖礦,因此加密貨幣的高價(jià)格吸引了DDoS的計(jì)算力?,F(xiàn)在,在加密貨幣價(jià)格持續(xù)走高的背景下,DDoS市場(chǎng)不斷增長(zhǎng),從這一點(diǎn)來(lái)看,攻擊者已經(jīng)開(kāi)始以不同的方式分配資源。
惡意軟件運(yùn)營(yíng)商在第三季度也決定使用DDoS作為恐嚇工具,攻擊者向公司發(fā)送電子郵件,稱(chēng)他們的資源被用于DDoS攻擊,他們可能面臨法律問(wèn)題。這些消息包含一個(gè)指向云目錄的鏈接,據(jù)稱(chēng)其中包含有關(guān)事件的詳細(xì)信息,其中實(shí)際上包含 BazarLoader 惡意軟件加載程序。
在一些國(guó)家,DDoS攻擊針對(duì)的是幫助抗擊COVID-19的網(wǎng)站。今年8月,攻擊者試圖關(guān)閉馬尼拉的一個(gè)疫苗注冊(cè)門(mén)戶(hù)網(wǎng)站。今年9月,他們盯上了荷蘭網(wǎng)站CoronaCheck,在該網(wǎng)站上,人們可以獲得訪問(wèn)咖啡館和文化景點(diǎn)所需的二維碼,但這個(gè)二維碼明顯是釣魚(yú)類(lèi)的攻擊。
第三季度,各國(guó)發(fā)生了許多出于政治動(dòng)機(jī)的 DDoS 攻擊。例如,在 7 月上旬和中旬,不明身份的攻擊者用垃圾流量攻擊了俄羅斯和烏克蘭安全機(jī)構(gòu)的資源。7月下旬,俄羅斯報(bào)紙 Vedomosti 成為 DDoS 受害者。最有可能的是,這次攻擊與該網(wǎng)站的一篇在線(xiàn)文章有關(guān)。8月中旬,攻擊者試圖阻止用戶(hù)訪問(wèn)菲律賓人權(quán)組織Karapatan的網(wǎng)絡(luò)資源。然后,在月底,德國(guó)聯(lián)邦選舉官(Federal returns Officer)的網(wǎng)站因與9月26日的聯(lián)邦議院(Bundestag)選舉有關(guān)而短暫遭到攻擊。
如上所述,DDoS攻擊者一直在跨地域和跨行業(yè)方面進(jìn)行多樣化嘗試,DDoS攻擊更具針對(duì)性和持久性,除了上面這幾大行業(yè)外,醫(yī)療,教育,直播等行業(yè)也逐漸成為攻擊者的目標(biāo)。攻擊流量也越來(lái)越大屢破紀(jì)錄,而且攻擊方式也變得越來(lái)越復(fù)雜。近年來(lái),DDoS攻擊者越來(lái)越多地使用此類(lèi)攻擊向受害者勒索贖金。
Neustar在8月份發(fā)布的一份報(bào)告稱(chēng),在過(guò)去12個(gè)月內(nèi),超過(guò)五分之二(44%)的組織成為與贖金相關(guān)的DDoS(RDDoS)攻擊的目標(biāo)或受害者。
2021年第三季度出現(xiàn)了兩種新的DDoS攻擊媒介,可能會(huì)對(duì)主要網(wǎng)絡(luò)資源構(gòu)成嚴(yán)重威脅。來(lái)自馬里蘭大學(xué)和科羅拉多大學(xué)博爾德分校的一組研究人員發(fā)現(xiàn)了一種通過(guò)TCP欺騙受害者IP地址的方法。到目前為止,由于不需要建立連接,允許IP欺騙,放大攻擊大多使用UDP協(xié)議進(jìn)行。
這種新攻擊的目標(biāo)是位于客戶(hù)端和服務(wù)器之間的安全設(shè)備(所謂的中間件)——防火墻、負(fù)載平衡器、網(wǎng)絡(luò)地址轉(zhuǎn)換器 (NAT)、深度包檢測(cè) (DPI) 工具等??梢愿蓴_ TCP 連接,例如,通過(guò)阻止與禁止資源的連接,并且他們經(jīng)常對(duì)從一方收到的數(shù)據(jù)包做出反應(yīng),而沒(méi)有看到完整的圖片或監(jiān)控TCP會(huì)話(huà)的有效性。如果以受害者的名義發(fā)送訪問(wèn)被禁止資源的請(qǐng)求,中間層的響應(yīng)可能會(huì)大得多。因此,研究人員發(fā)現(xiàn)超過(guò) 386000 臺(tái)設(shè)備的放大系數(shù)超過(guò) 100,其中超過(guò) 97000 臺(tái)超過(guò) 500,其中 192 臺(tái)超過(guò) 51000。
第二種攻擊被稱(chēng)為 Black Storm,可以針對(duì)任何網(wǎng)絡(luò)設(shè)備。攻擊者可以偽裝成同一網(wǎng)絡(luò)中的其他設(shè)備,向通信服務(wù)提供商 (CSP) 網(wǎng)絡(luò)中的設(shè)備上的關(guān)閉端口發(fā)送請(qǐng)求。接收器設(shè)備用一條消息說(shuō)明該端口不可用來(lái)響應(yīng)此類(lèi)請(qǐng)求。處理這些消息會(huì)消耗大量資源,這會(huì)使受害設(shè)備過(guò)載并阻止它們接受合法請(qǐng)求。研究人員指出,這種方法不僅可以讓攻擊者關(guān)閉單個(gè)服務(wù)器,還可以關(guān)閉提供商的整個(gè)網(wǎng)絡(luò),包括一個(gè)大型網(wǎng)絡(luò)。
上述針對(duì)VoIP服務(wù)的攻擊就屬于這種攻擊類(lèi)型。
隨著技術(shù)的不斷進(jìn)步,攻擊源追蹤技術(shù)已經(jīng)在追蹤速度、自動(dòng)化程度、追蹤精確度等方面取得顯著進(jìn)步, DDoS網(wǎng)絡(luò)層攻擊檢測(cè)也分為多種方式。
那要如何從IP源地址角度預(yù)防DDoS攻擊呢?
如上所述,研究人員發(fā)現(xiàn)了一種通過(guò)TCP欺騙受害者IP地址的方法。那要如何從IP源地址角度預(yù)防DDoS攻擊呢?當(dāng) DDoS 攻擊發(fā)生時(shí)或結(jié)束后,可以根據(jù)相關(guān)信息定位攻擊的來(lái)源,找到攻擊者的位置或攻擊來(lái)源。IP地址來(lái)源定位它是 DDoS 攻擊防御過(guò)程中的重要環(huán)節(jié),并在其中起到承上啟下的關(guān)鍵作用。精準(zhǔn)的IP地址定位結(jié)果既可以為進(jìn)一步追蹤真正攻擊者提供線(xiàn)索,也可以為其他的防御措施,如流量限速、過(guò)濾等措施提供信息,還可以在法律上為追究攻擊者責(zé)任提供證據(jù)。
參考及來(lái)源:
https://www.rtcsec.com/post/2021/09/massive-ddos-attacks-on-voip-providers-and-simulated-ddos-testing/
https://securelist.com/ddos-attacks-in-q3-2021/104796/
https://therecord.media/gitlab-servers-are-being-exploited-in-ddos-attacks-in-excess-of-1-tbps/
文章來(lái)源:嘶吼專(zhuān)業(yè)版