鑒于威脅領(lǐng)域的不斷創(chuàng)新�����,與12年�、10年甚至5年前的攻擊相比,現(xiàn)代分布式拒絕服務(wù) (DDoS)攻擊幾乎已經(jīng)無法識別�。防御快速變化的攻擊媒介和創(chuàng)紀(jì)錄的攻擊,對于保護(hù)在線基礎(chǔ)設(shè)施至關(guān)重要��,但對于缺乏適當(dāng)資源��、專業(yè)知識或技術(shù)的安全團(tuán)隊來說�����,這可能是一項艱巨的挑戰(zhàn)���。
創(chuàng)新互聯(lián)專注為客戶提供全方位的互聯(lián)網(wǎng)綜合服務(wù),包含不限于網(wǎng)站建設(shè)���、成都做網(wǎng)站���、橋東網(wǎng)絡(luò)推廣、小程序開發(fā)���、橋東網(wǎng)絡(luò)營銷�����、橋東企業(yè)策劃���、橋東品牌公關(guān)���、搜索引擎seo、人物專訪���、企業(yè)宣傳片����、企業(yè)代運(yùn)營等�,從售前售中售后,我們都將竭誠為您服務(wù)����,您的肯定,是我們最大的嘉獎����;創(chuàng)新互聯(lián)為所有大學(xué)生創(chuàng)業(yè)者提供橋東建站搭建服務(wù),24小時服務(wù)熱線:18980820575���,官方網(wǎng)址:www.cdcxhl.com
昨天 VS今天的DDoS攻擊
下圖描繪了過去十年中50多個攻擊媒介的活動�,并概括了DDoS日益復(fù)雜的情況。
【圖1:過去10年的DDoS 活動】
4個值得注意的關(guān)鍵信息:
(1) 攻擊向量“持久性獎”得主:由于其簡單性和可靠性��,UDP洪水(UDP flood)�、SYN洪水(SYN flood)和UDP分片(UDP fragmentation)長期存在且持續(xù)有效,通常與其他媒介一起出現(xiàn)����。
【圖2:UDP洪水、SYN洪水和UDP分片持續(xù)有效】
(2) 一些曾經(jīng)很受歡迎的攻擊向量已經(jīng)失寵:ICMP洪水(ICMP flood)����,作為一種易于訪問的DDoS載體而廣受歡迎,但它幾乎不像其他允許放大和反射的向量那樣具有沖擊力(圖3)�����。我們觀察到的有史以來最大的“純ICMP(ICMP-only )”攻擊只有28 gbps����。這些ping可以加起來����,但平均ICMP攻擊僅為5 gbps,這對于今天的DDoS攻擊而言幾乎是“涓涓細(xì)流”�,而且它們幾乎需要完全與其他向量一起使用���。在所有ICMP攻擊中,平均有兩個額外的向量�����。
【圖3:ICMP攻擊不再像以前那樣流行】
(3) 其他攻擊從嶄露頭角到變得突出�����,但最終以失敗告終��。從2015年到2018年����,CharGEN攻擊和SSDP洪水的數(shù)量有所增加,但今天卻很少能夠觀察到��。造成這種情況的部分原因可能在于更好的可用反射器出現(xiàn)�,以及使用這些可利用協(xié)議的暴露服務(wù)器越來越少。
(4) 隨著過濾實(shí)踐的改進(jìn)����、新型反射器的減少以及攻擊者偏好更新、更具成本效益的向量��,CLDAP反射(出現(xiàn)于2016年底并在2018年達(dá)到頂峰,位列Top5向量)的使用可能會從DDoS工具包中消失���。
從這四個見解中可以看出�,DDoS的威脅正在迅速演變���。如下圖所示�,2010年排名前五的向量占所有攻擊的90%����,而今天排名前五的向量僅占所有攻擊的55%。這種轉(zhuǎn)變不僅突顯了現(xiàn)代DDoS工具包日益增長的復(fù)雜化��,也突顯了安全團(tuán)隊所面臨抵御蓬勃發(fā)展的威脅庫的巨大壓力�。
【圖4:按年份劃分的向量分布比較,左為2010年向量分布�;右為2022年】
正所謂“適者生存”,任何最有效的東西——無論是適應(yīng)良好的身體特征還是有效的產(chǎn)品策略——都會持續(xù)存在并不斷演進(jìn)����。同樣地�,以最小的成本提供最大影響的攻擊向量將總是越來越受歡迎,并且較它們的“同行”更長壽��。與此同時,攻擊者也在不斷尋求新工具以最大限度地實(shí)現(xiàn)破壞并提高成本效率����。
深入了解當(dāng)今的新型DDoS威脅
2022年上半年,兩個來勢洶洶的新型載體首次現(xiàn)身����,讓我們窺見了DDoS 的進(jìn)化方向。它們分別為:
(1) PhoneHome:
一種新的反射/放大DDoS向量����,具有創(chuàng)紀(jì)錄的潛在放大比4,294,967,296:1,已在野觀察到發(fā)起多次DDoS攻擊�����。
潛力:存在巨大的放大潛力:單個微小的入站數(shù)據(jù)包可以發(fā)起巨大的出戰(zhàn)攻擊�����。
局限:有限的攻擊面——2600個被錯誤配置的系統(tǒng)�,使得未經(jīng)認(rèn)證的系統(tǒng)測試設(shè)施無意中暴露在公共互聯(lián)網(wǎng)上,允許攻擊者利用這些PBX VoIP網(wǎng)關(guān)作為DDoS反射器/放大器�;此外,攻擊效果還可能與這些機(jī)器的連接和功率以及惡意行為者妥協(xié)它們的能力有關(guān)。
(2) TCP中間盒反射(TCP Middlebox Reflection):
這種新的放大向量利用中間盒(例如公司和國家防火墻)來反射針對受害者的流量�。
潛力:根據(jù)ShadowServer的研究,作為潛在反射器的中間盒無處不在�����,涉及超過1880萬個 IP�����。這些公開暴露的服務(wù)中的大多數(shù)本質(zhì)上都是功能強(qiáng)大的����,且可以訪問主要的連接中心。
局限:雖然這里的放大系數(shù)是65倍��,但上限并不明確�����。目前���,攻擊者可能正在對可用的反射器進(jìn)行分類并測試如何可靠地大規(guī)模利用它們��。雖然從單個命令和控制生成請求以觸發(fā)響應(yīng)數(shù)據(jù)包可能會受到限制��,但從僵尸網(wǎng)絡(luò)向反射器生成請求可能會增加新記錄的規(guī)模��。
我們不知道上述任何一個向量是否會變得突出或創(chuàng)下新高�。但我們可以肯定的是����,進(jìn)化的道路將繼續(xù)前行,網(wǎng)絡(luò)上將出現(xiàn)下一代威脅�����。
與不斷變化的威脅保持同步的建議
DDoS威脅領(lǐng)域的持續(xù)創(chuàng)新迫使組織面臨持續(xù)的風(fēng)險���,同時也強(qiáng)調(diào)了加強(qiáng)防護(hù)最新攻擊的必要性����。為了減少DDoS攻擊造成的停機(jī)影響并有效抵御惡意行為者����,請考慮執(zhí)行以下操作:
- 審核關(guān)鍵子網(wǎng)和IP空間,并確保它們具有適當(dāng)?shù)木徑饪刂拼胧?/li>
- 以“始終在線”的緩解態(tài)勢部署DDoS安全控制作為第一層防御��,以減輕事件響應(yīng)者的負(fù)擔(dān)����。如果沒有值得信賴且經(jīng)過驗證的基于云的提供商�����,建議立即購買���;
- 積極組建危機(jī)響應(yīng)團(tuán)隊,確保運(yùn)行手冊和事件響應(yīng)計劃是最新的�。例如,您是否有應(yīng)對災(zāi)難性事件的手冊�����?手冊中的聯(lián)系人是否更新���?手冊中包含過時的技術(shù)資產(chǎn)或早已離職的聯(lián)系人都將無濟(jì)于事�。
網(wǎng)站欄目:DDoS攻擊的無情演變
URL標(biāo)題:
http://uogjgqi.cn/article/cohocpg.html
