DDoS攻击进入太比特时期?怎样防DDOS攻击呢?
小刀网络 2023-08-22 07:56:36 0

根据德勤全球的预测,散布式谢绝服务(以下简称“DDoS”:Distributed Denial of Service)攻击在 2017 年将变得范围更大,更频繁也更难抵抗(下降影响的严重程度)。德勤预计每月的平均攻击为 Tbit/s21,攻击次数总计超过一千万次 22,平均攻击范围在 1.25⑴.5Gbit/s 之间 23。一次没有减缓的 Gbit/s攻击(其影响未能得到抑制)就足以让大部份机构下线 24/25。

从 2013 到 2015 年,攻击的最大范围分别为 300、400 和 500 Gbit/s。2016 年里已产生了两次 Tbit/s 攻击 26。(参见下面对 DDoS 攻击方式的说明)

DDoS攻击说明:

DDoS攻击的目的在于让网站没法正常使用,也就是说让电子商务网站没法卖东西,让政府网站没法处理纳税申报表,或是让新闻网站没法发布新闻。 最多见的DDoS攻击就是造成网络拥堵。一次DDoS攻击相当于数十万个假冒消费者同时涌入一祖传统的实体店。商店很快被挤得水泄不通。

真的顾客进不来,商店没法为这些人提供服务,因此也没法做生意。 制造拥堵的方法有很多。最多见的两种就是僵尸网络和放大攻击。

僵尸网络由数量庞大(目前是数十万)的互联装备组成,这些装备已被歹意代码感染,可由第三方操控实行破坏性行动。僵尸网络可用于发 起洪水攻击,这也是目前最多见的攻击情势。

第二种方法就是放大攻击,它的原理就是将歹意代码注入服务器,让其创建多个虚假的 IP地址(也称为“电子欺骗”),它们可以向一个网站 发送大量指令,致使拥堵29。每个被感染的机器可以创建数千个虚假的IP地址,因此放大攻击通过感染相对较少数量(数千台)的服务器就 能致使大范围的破坏。

防御 DDoS攻击的标准方法就是将网络访问流量转移到第三方,它专门过滤向网站发送的歹意要求,也就相当于将真实的顾客同假冒顾客 辨别开来。每个专门减缓攻击的第三方都有很大(但是有限)的容量来控制攻击,每个这样的提供商通常可以代表客户同时减缓多个攻 击。至于那些针对客户的攻击,它们的积累容量有时可能会超过第三方应对攻击的容量。

主要由于以下三大趋势,我们预测 DDoS要挟会升级:

1、不安全的物联网装备(比如互联的摄像头和数字视频录相机)的用户数量延续增长,它们通常比个人电脑、智能手机和平板电脑更容易被并入僵尸网络 27

2、网上存在公然的歹意软件,比如Mirai,使相对缺少技能的攻击者有能力将不安全的物联网装备并入僵尸网络,利用它们发起攻击

3、带宽速度变得更高(包括Gbit/s范围内的增长和其他超快的消费者及企业宽带产品),这意味着僵尸网络中每个被感染的装备可以发送更多的垃圾数据。

在过去几年里,DDoS攻击的范围逐渐变大,防驭手段也相应增长。过去,它就是一个猫捉老鼠的游戏,不会有一方太过强大。不过到了2017年,这类局面可能有所改变,缘由有二:不安全的物联网装备数量庞大;利用物联网装备的弱点实行大范围攻击变得更加简单。

可能出现的后果就是内容发布网络(CDNs)和本地防驭手段没法稳步升级以抵抗同时期的大范围攻击28,这就需要新的方法来应对DDoS攻击。

不安全的物联网装备

首先,致使 DDoS 攻击影响升级的一大趋势就是互联物联网装备(从摄像机到数字视频录相机,从路由器到家电装备)用户数量的增加。

远程感染一台互联装备(包括物联网装备)通常需要知道它的用户 ID 和密码。在第一次使用一台装备之前,大部份用户都知道有必要更改用户 ID 和密码,以后还会定期更换。但是,在全球数十亿台物联网装备当中,大约有五十万台——所占比例很小,但绝对数量或者较多——听说采取的是硬编码的、没法更改的用户 ID 和密码。换言之,即便用户有这个想法,也没法更改用户 ID 和密码 30。

硬编码的用户 ID 和密码如果不被人知道,也不会成为问题。但是,有编程经验的人查找装备的固件就能够发现硬编码的登录凭据;另外,它们还可能作为参考内容提供给软件开发人员或出现在用户手册中,也有可能通过非法手段获得以后发布在网络上。易受攻击的装备有可能被召回,不过其所有者可能要过很长时间才会将它们交回。

其次,许多用户仅仅由于怕麻烦,不愿意更改登录凭据。在物联网装备上重新设置密码(如果允许,还可以修改用户ID)比用户所料想或习惯的更费力。在全尺寸的电脑键盘上创建新的用户 ID 和密码很简单,在采取触摸屏的智能手机上也没那末麻烦,但是在没有内置屏幕或键盘的物联网装备上就难多了。但如果不更改登录凭据,就留下了安全漏洞 31。

第三,如果装备没有屏幕或显示屏很小(比如互联的摄像机或数字录相机),它们可能没法提示升级的必要,有的乃至没法运行杀毒软件 32。

另外,物联网装备通常采取插入式充电,对可用电量的消耗没有明显的标志。这一点与遭到感染的笔记本电脑、平板电脑或智能手机不一样,如果它们被用于攻击,电池的电量会消耗得更快 33。

如果将被感染的装备用于攻击,通常是发觉不到的:它可能在装备所有者睡觉期间被歹意使用,在另外一个时空被用来攻击目标。例如,位于欧洲的装备可以在午夜攻击位于北美西海岸的目标。数几百万台装备被并入僵尸网络,而它们的所有者可能在好几年的时间里绝不知情。

另外,装备制造商也没怎样花心思让用户界面能够兼容各种操作系统或浏览器,这就使得更改设置(包括密码)变得更难。

与普遍遭到更好保护的个人电脑、平板电脑和智能手机相比,物联网装备的弱点更加明显,黑客因此也更喜欢攻击它们。

DDoS 对攻击者不再有技能要求过去,限制 DDoS 攻击数量和严重程度的一个因素就是发动攻击的难度。

但是到了 2016 年年末,在歹意软件Mirai 的支持下发起 620 Gbit/s 的攻击以后,有关怎样复制这一攻击的指点说明就被发布到了网上,而且藏匿了始作俑者的踪影。发布的内容包括了一系列互联装备(大部份为物联网装备)的默许用户 ID 和密码 34。这样一来,其他人马上就可以轻而易举地复制这一攻击。 2017年,由于种种缘由(从好奇到有组织的攻击),可能还会产生基于Mirai源代码的进一步攻击。

不断提升的带宽速度

致使大范围攻击更加常见的第三个缘由就是不断提升的宽带上行速度。上行速度越快,每台被感染的装备可以发送的垃圾流量就越多,酿成的破坏也就越严重。如果一个用户的装备被感染,其上行速度到达了 Gbit/s,那末它的破坏力相当于一百台上行速度为 10 Mbit/s(这个上行速度更加常见)的受感染装备。

2017 年,许多市场将陆续迎来两次重大的网络升级。电缆网络将升级到 DOCSIS 3.1,可以实现数千兆位网速;铜缆网络将升级到 G.fast,通过传统的铜绞线实现每秒数百兆位的速度。经过升级的电缆和铜缆网络可能继续优先斟酌下行速度,不过其上行速度也会显著提升 35。

另外,全球范围内的光纤到户(FTTH)和光纤到驻地(FTTP)安装装备也在不断增多。

截至 2020 年,全球范围内的 Gbit 连接将数以亿计,其中少部份的上行速度也将到达 Gbit36。

小结

DDoS攻击在2017年不是甚么新鲜话题,不过它的潜伏范围是。任何一个对网络愈来愈依托的组织应当跟上类似攻击的潜伏增长。应当保持警惕的组织及项目包括(但不但限于):在线收入占很大比例的零售商;在线视频游戏公司;流媒体视频服务;在线业务与服务交付公司(金融服务、专业服务);和政府在线服务项目,比如税务征缴。

公司及政府应当斟酌多种选择方案,以便减轻DDoS攻击的影响:

  • 分散化:诸如云计算、指挥与控制(C2)、态势感知和多媒体会话控制此类的关键功能都严重依赖高度分享的集中式服务器和数据中心。信息和计算的集中让攻击者能够轻松锁定目标(数据中心、服务器),可以推动DDoS攻击目标的开发与攻击的实行。各个组织应当设计并实行新的架构,在逻辑和物理上将这些能力分散开,同时确保传统的集中式方案的性能。

  • 带宽逾额订购:大型组织斟酌到本身的增长和DDoS攻击,通常会租用超越自己需求很多的容量。如果攻击者没法召集足够的流量淹没这个容量,通常没法实行有效攻击。

  • 测试:各个组织应当主动发现那些会削弱检测或抵抗DDoS攻击能力的弱点和漏洞。受控的和友军炮火可以用来检查和测试DDoS响应和整体恢复能力的进展。这样一来,就能够发现测试场景设计、度量、假想和范围上的缺点,增加对潜伏的DDoS攻击方法或特点(之前可能被疏忽)的认知。

  • 动态防御:目标静态的、可预测的行动易于攻击的计划与实行。公司应当采取灵活多变的防御方法,它们可以根据实际情况进行调剂;准备工作应当包括欺骗方式的设计,建立一个虚假的现实迷惑攻击者,分散攻击流量。

  • 撤退方法:在线流媒体公司可能需要斟酌会不会提供离线模式;例如,允许客户预先加载内容,事后观看。

  • 防护:应当鼓励乃至强迫要求装备提供商为自己的产品取得安全认证,并在外包装上加以标记。登录凭据的更改应当简单而安全。理想情况下,产品应与定制的凭据配套,对一台装备而言,凭据都是唯一无二的。这就意味着没必要依赖客户重新设置ID和密码。应当鼓励潜伏客户租赁通过认证的产品37。软件也应当引入分级系统38;

  • 检测:基于地域对流量进行过滤——如果流量从一个地方涌来,就有必要视为可疑的情况;另外,过滤掉那些看上去大到可疑的流量(之前其实不活跃的1 Gbit/s的连接);但是,如果连接的数量增加,公道的大流量也可能增加。

  • 抵抗:电信公司也有可能被要求在DNS层级进行过滤,如有需要可以追踪来自其他国家的流量。

  • 有些实体可能对DDoS 攻击已有些淡然了。但是,这些攻击可能随着时间会变得更具破坏力,攻击者也可能想出更加独出心裁的办法。不幸的是,我们在DDoS 攻击这件事情上决不能松懈。DDoS 恶魔已跑到瓶子外边,不可能再把它塞回去了。

DDoS 在中国——攻守进一步升级

在中国 , DDoS 攻击一样在流量与维度上 不断升高。2016 年,乐视遭受了其成立 以来最大的一次歹意 DDoS 攻击,峰值 流量高达 200Gbps,使其电视端、手机端、 网页端处于瘫痪状态而没法登陆。另外, 众多互联网金融平台亦曾遭受过没法应 对的大流量 DDoS 攻击,而对该类企 业而言,数小时的服务器暂停运行足以 造成客户流失。在中国,约有 24% 的被 攻击网站在攻击一周内遭到致命影响 39, 表现为日均流量降落超过 70%,而平均 1/4 的公司会在遭受 DDoS 攻击一月内 完全死亡。DDoS 防护失败的种种案例助长了攻击方的强势,在软硬件进一步 升级确当下,可以预感 DDoS 攻击将愈 演愈烈。虽然如此,中国是 DDoS 全球 主力输出国家之一,在 16 年一场针对北 美 Dyn 公司的 DDoS 攻击中,来自中国 的 IP 地址数量高达 10%40,是第三大攻 击输出国家。

我们预期在 2017 年,来自中国的 DDoS 攻击与中方抗 DDoS 防御之战将进一步 升级。攻击方将组织更大流量更高峰值 的 DDoS 攻击,促使对 DDoS 防护体系 的专业需求上升。面对攻击方的严峻考 验,防护攻击方将显现两极分化态势, 大型企业将成为防护主力。

DDoS 攻击在中国将显现大流量、高峰 值态势 正在迈向信息化、智能化时期的中国,使攻击方组织大范围 DDoS 的难度降 低。目前我国 DDoS 最高峰值流量约为 500Gbps,而在 2017 年,这个记录极 有可能被刷新并踏入 TGbps 时期。其原 因有三:

首先 , 智能手机与电脑的快速普及下降 了发动 DDoS 攻击的硬件需求。我国目 前的主流 DDoS 攻击装备是主机端与移 动端,攻击方利用不要钱软件圈套散布感 染程序,预装于大量主机与智能手机中。 在必要的时候,这些潜伏的感染机将成 为攻击武器,联合攻打作战目标。而随 着智能手机与电脑普及率的快速上升(参 见图表 3),潜伏的攻击武器数量随之 上升,以该方式发动 DDoS 攻击峰值可 达数百 Gbps,对大部份非专业防护企业 造成致命影响。

其次 , 全国带宽的大幅度提升显著加强了 DDoS 攻击力度。截止 2015 年底我国平 均城市宽带接入速率已到达 20M,而预 计到 2020 年底,我国城市宽带接入速 率将到达 50M41。同时,上海、广州、 深圳等一线城市已前后迈入千兆网络时 代。宽带提速给居民生活带来方便的同 时,也引发了高强度网络攻击的安全隐 患,黑客控制同等数量的主机即可借由 翻倍的带宽而取得翻倍的 DDoS 攻击流 量。

再者 , 爆发式的物联网装备发展始的安全 隐患爬升。物联网装备有数量多、安全 防护低的特点。根据工信部数据,2015 年我国物联网产业范围到达 7500 亿元 人民币,同比增长 29.3%。预计到 2020 年,中国物联网整体范围将超过 1.8 万 亿元。

而与此同时,物联网装备的安全隐患并 未得到应有的重视。大部份智能硬件都 存在区别程度的固化密码或固件没法升 级的隐患,2016 年我国多家物联网装备 企业大批召回存在安全漏洞的装备,如 小米旗下的小刀摄像机曾被曝出利用管 理程序存在远程履行的漏洞,有心人无需密码便可进行远程操控危害个人隐私。另外,物联网装备长时间插电的供电形 式,也使其异常运转状态难以被发觉。 物联网繁华背后或将成为网络安全的致 命伤。

DDoS 防护体系需求将直线上升

在 DDoS 网络攻击范围和频率上大幅增 加的大背景之下,大多中小型企业将无 法以本身技术与资源来应对,而近两年 的创新创业热潮引发大批初创企业出现, 使互联网专业管理与防护的需求直线上 升,网络安全成了这批企业关注的焦 点之一。

DDoS 攻击具有没有法避免、没法预感的 特点,且对抗 DDoS 的传统技术需要强 大的出口带宽、流量清洗功能和反应 敏捷的防御团队,这正是大部份中小企 业不具有的能力。也因此,厂商纷纭选 择租赁专业流量清洗防护抵抗DDoS攻击。

随着大批互联网初创企业的出现与日趋 严峻的网络安全问题凸显,不具有抵抗 能力的企业向专业防护企业求助的频率 将大幅上升。外包互联网管理与防护而 非自己组建抵抗团队将成为许多中小企 业的首选。

DDoS 防护供给方将呈两极分化态势 随着 DDoS 攻击在流量和维度上的不断 演进,不但使受害企业堕入危机重重, 更是一场攻击方和防护方之间的竞争。 一旦防护方企业落后于攻击发展速度, 该企业将被市场淘汰。对许多中小型网 络服务与安全防护提供商而言,数十乃 至上百 Gbps 的 DDoS 攻击已经是防御上 限,若这些企业未能在较短时间内提升 防护能力,将没法应对席卷而来的数百 G乃至T级别的DDoS攻击。

背靠强大的带宽、强力的数据清洗能力 和富有经验的反应团队,提供网络 安全防护的龙头企业将成为抵抗大流 量 DDoS 攻击的主力。目前我国几家抗 DDoS 的大型企业已能独立防护 TGbps 级别的攻击。面临严峻的考验,龙头企 业在抗 DDoS 防线的横向合作趋势越发 凸显。通过优势领域的合作互补和数 据库共享,新推出的 DDoS 防护产品或 将提供更全面的防御。

而在另外一头,部份创企试图从终端着手, 将安全防护薄弱的物联网装备捆绑至云 端并采取混合加密的方式来避免黑客入 侵。DDoS 的传统防护方式需要极高的 本钱,这也增进了企业从其他角度切入 寻觅低消耗更有效的方式来抵抗 DDoS 的攻击,创新防护方式或将出现。

引发上述不足的根本缘由在于运营商的各个安全系统之间是相互独立的,没法实现各个系统之间业务及服务的串连,缺少一个核心系统将各安全系统进行整合后统一对外提供运营服务。

小刀网络介绍新推出的“立体式”DDOS安全防护体系的几大亮点:

亮点一:多重整合

有着十年IDC运营、八年专业DDOS安全防护、在国内掌握顶尖与领先DDOS攻击防范水准的小刀网络,数以万计的DDOS攻击防范克服经验证明了其防御体系的技高一筹。小刀网络花巨额资金搭建了国内目前为止防御系数最高的全新“立体式”安全架构体系,由高防服务器”、“高防智能DNS”高防服务器集群”“集群式防火墙架构”“WEB利用防火墙” “小刀云盾” “移动安全” “数据风控” “要挟感知” “安全管家” “CDN高速分发网络”“网络监控系统”“高防智能路由体系”等多个安全产品整合而成,从多层面、多角度、多结构集成一套多元化、高智能的完善安全防护体系。

亮点二:智能防御

小刀的“立体式”安全防护体系通过网络监控实现定期扫描网络主节点,利用智能DNS解析系统设置监测端口,时刻防备可能存在的安全漏洞,如果一个节点遭受攻击时将会自动切换至另外一节点。在面临攻击要挟时,小刀采取的是目前较为理想的一种应对策略,以海量的容量和资源拖垮黑客的攻击,小刀的“立体式”安全防护体系能完全有效处理超过1000G以下SYN Flood、ACK Flood、ICMP Flood、UDP Flood、DNS Flood的DDOS攻击,并能有效处理连接耗尽、HTTP Get Flood、DNS Query Flood、CC攻击等。而面对黑客DDOS攻击时,小刀组建的是散布式集群防御,可根据需求增加节点数量提高防御力度,宕机检测系统会快速响应更换已瘫痪的节点服务器保证网站正常状态。还可以把攻击者发出的数据包全部返回到发送点,使攻击源变成瘫痪状态,从而削减攻击能力。

再就是定制的商用DDoS解决方案。

针对超大流量的攻击或复杂的游戏CC攻击,可以斟酌采取专业的DDoS解决方案。目前,通用的游戏行业安全解决方案,做法是在IDC机房前端部署防火墙或流量清洗的一些装备,或采取大带宽的高防机房来清洗攻击。

当宽带资源充足时,此技术模式的确是防御游戏行业DDoS攻击的有效方式。不过带宽资源有时也会成为瓶颈:例如单点的IDC很容易被打满,对游戏公司本身的本钱要求也比较高。

在小刀网络,我们团队去颠覆带宽“军备比赛”的策略,是提供一个可信的访问网络,这也是游戏盾诞生的初衷。

游戏盾风控模式的初衷,是从收到访问的第一刻起,便判断它是“好”或者“坏”,从而决定它是不是是可以访问到它想访问的资源;而当攻击真的产生时,也能够通过智能流量调度,将所有的业务流量切换到一个正常运作的机房,保证游戏正常运行。

某棋牌行业基于游戏盾的架构示意图

所以,通过风控理论和SDK接入技术,游戏盾可以有效地将黑客和正常玩家进行拆分,可以防御超过300G以上的超大流量攻击。

风控理论需要用到大量的云计算资源和网络资源,小刀网络天然的优势为游戏盾带来了很好的土壤,当游戏盾能调度10万以上节点进行快速计算和快速调度的时候,那给攻击者的感觉是这个游戏已从他们的攻击目标里面消失。

游戏盾,是小刀网络的人工智能技术与调度算法,在安全行业中的成功实践。

而随着攻防进程的推动,网络层和接入层逐渐壮大,我们希望“游戏盾”的风控模式,会逐渐延展到各个行业中,建立起一张安全、可信的网络。这张网络中,传输着干净的流量,而攻击被前置到网络的边沿处。所有的端,在接入这张网络时,都会经过高防服务器”、“高防智能DNS”高防服务器集群”“集群式防火墙架构”“WEB利用防火墙” “小刀云盾” “移动安全” “数据风控” “要挟感知” “安全管家” “CDN高速分发网络”“网络监控系统”“高防智能路由体系”风险控制的辨认,网内的风控系统,也让坏人没法访问到他锁定资源。

未来,以资源为基础的DDoS防护时期终将被打破,演进出对DDoS真正免疫的风控架构。

标签: 装备网络
相关信息推荐