產業安全專家談 | 從攻防兩端視角看DDoS的應對策略

騰訊安全發表於2021-03-23

2020年可以說是DDoS這一“經典”攻擊技術的復興之年。受全球新冠疫情的重大影響,DDoS攻擊的量級也在不斷加大,業內遭受DDoS攻擊的頻率創下了新高。過去一年,DDoS攻擊的手法變得多樣化,超過50Gbps的攻擊數量也急劇增加。對於許多行業和企業來說,抗D之路任重道遠,還有更加嚴峻的安全形勢需要面對。

那麼,2020年成為DDoS攻擊增幅最大的一年,原因何在?DDoS攻擊走勢與疫情防控形勢顯著相關,其關聯度體現在哪裡?騰訊安全抵禦DDoS攻擊的核心優勢是什麼?由騰訊安全聯合雲+社群打造的「產業安全專家談」第二十七期邀請到騰訊安全DDoS防護技術總監、研發負責人羅喜軍,深度解讀《2020年騰訊雲DDoS威脅白皮書》的重點內容,並分享騰訊安全在抗D路上的實戰經驗。


採訪影片:https://v.qq.com/x/page/n3235rk17y2.html


Q1:《白皮書》提到,2020年是DDoS攻擊增幅最大的一年,其背後原因是什麼?

羅喜軍:我們可以從攻擊者視角來看這個問題。首先,從意願、動機的角度來看,去年突發的新冠疫情,給人們的生活方式帶來了巨大的變化,很多活動都從線下切換到了線上,同時帶來了網際網路服務的高速發展。業務高速發展,就會給黑產攻擊者帶來更多可乘之機,他們的獲利空間變大;

第二,在於攻擊者的能力,即資源。近幾年IoT、5G等基礎設施在快速發展,與此同時,安全問題也會伴隨產生,比如弱口令或者一些漏洞問題,很容易引發駭客攻擊,使得裝置淪為“肉雞”,導致DDoS攻擊;

而且,現在DDoS攻擊還有一個趨勢,就是它的攻擊逐漸工具化,現在叫做攻擊的SaaS化服務,它能讓攻擊者的門檻變低。假設在網頁上註冊賬號,只要點一下滑鼠或者呼叫API介面就可以發起攻擊;

此外,疫情也會使攻擊者的動機變強。疫情刺激需求,需求帶來資源,資源又在一個持續的增長過程中,而持續增長的資源在動機的強烈驅動下,就能夠令攻擊者更好地利用資源。

綜上,攻擊動機跟攻擊資源這兩個因素使得20年的攻擊趨勢有了很大的增長。


Q2: DDoS攻擊走勢與疫情防控形勢顯著相關,其關聯度體現在哪裡?

羅喜軍:資料當中體現的關聯度在於,疫情期間大家都宅在家裡,線上業務爆發,這時對於黑產團伙來說,就是一個絕佳的攻擊機會,勢必比居家隔離前的時段獲利更大、效果更明顯。

舉一個更簡單的例子,遊戲。在凌晨或半夜,很少有人去玩,所以此時對攻擊者來說,他們是沒有太大動力去作惡的,因為使用者越少,獲利越低;反之,在遊戲高峰期,比如晚上七八點或者中午,此時線上使用者多,如果這時發起攻擊,會讓攻擊者獲取更大的利益,對使用者和遊戲行業也都能造成更大的影響。


Q3: 遊戲行業仍然是主要被攻擊行業。2020年遊戲行業因DDoS攻擊造成的威脅有多大?國內的遊戲企業受到的影響是否嚴重?

羅喜軍:遊戲行業一直都是DDoS威脅的一個重災區,資料顯示,2020年遊戲行業攻擊佔比已達78%,較2019年上升28%。這個原因在於,受DDoS攻擊的區域跟與遊戲行業的高度發展是比較契合的,放在全球範圍看也是一樣的,也就是說,遊戲行業對DDoS攻擊感受到的影響是最明顯的。

舉例說明,一個玩家在遊戲過程中遭到攻擊,有可能簡單卡頓一下,也有可能直接掉線,再重連就連不上了,此時玩家對產品的體驗以及產品本身的口碑都會受到很大影響。

而且,國內的遊戲企業在出海時也會遇到同樣的問題,在海外可能會遇到更加惡劣的環境。一方面是海外黑產團伙的能力有可能更強,另一方面是在海外想要採取溯源等措施也許會更加困難。

因此,國內的遊戲在出海過程中受DDoS攻擊的影響會更大,比如近幾年很常見的敲詐勒索,以及一些不正當的競爭,甚至是有些玩家在遊戲中惡意牟取利益,都會影響遊戲行業。目前對於黑產來說,DDoS攻擊依然是他們的慣用手段。


Q4: 去年出現了新型的UDP反射攻擊,原因是什麼?為什麼這些新型的反射攻擊依然集中在遊戲行業?

羅喜軍:其實UDP的反射攻擊是一個比較老的攻擊手法了,但去年我們還是看到UDP反射這裡有一些新情況。去年7月有研究者發現,駭客透過幾種新的IoT裝置,利用UDP反射手法發起攻擊,然後美國FBI就對這一威脅進行了一次安全預警,通報給了美國企業,導致黑產瞭解到這一手法,那麼它就會大範圍地使用這種手法,這也是7月份之後佔比偏高的原因,對映出UDP攻擊手法的一些變化。

為什麼還是遊戲?有幾個原因,第一,遊戲要保證很好的使用者體驗,需要保持低延時,所以在網路協議開發上面永遠都會採用UDP協議,UDP反射正好也是用UDP協議,其實兩個場景下協議是相同的;第二,新的UDP反射手法與以往不同,以往的可能會有一個反射比,發十幾位元組的小包之後產生幾百位元組的攻擊包,形成流量放大。但是這幾種UDP手法,它的包長不算特別大,它的包長與正常遊戲協議的行為包長大小是差不多的,包括我們看到駭客使用的攻擊源也是這種,比如家裡面的路由器或者一些其他的智慧裝置。從服務端來看,這些IP就是正常使用者的IP,因為就是從家庭網路出來的。所以從防護端的角度來看,這幾個層面就導致我們很難防禦這樣的一些情況,或者說它對於防禦系統的挑戰會變大。因為攻擊者也喜歡以假亂真的效果,所以就會變本加厲,一旦發現他突破這個點,就會大肆使用這種東西。


Q5: 在安全情報的披露上面,要披露到什麼程度會比較合適?

羅喜軍:這個問題更多的是站在防護者視角,或者說以正向的視角去披露。因為我們不能披露做壞事的手法,而是要告訴大家,做壞事的手法我們是掌握的,抑或是在防護的過程中,也能同時解決安全問題。

但是作為防守端,並不代表我們可以去濫用安全情報的披露手法,而是在於對情況的掌控。對於整個大盤來說,包括攻防兩端,我們都能掌握威脅情報,也正是體現了我們的專業能力。


Q6: TCP反射攻擊威脅持續擴大,原因是什麼?

羅喜軍:TCP反射是近兩三年才出現的一個新手法,它在前一兩年更多的是利用網上開源的Web服務,例如依靠通用的CDN來進行反射。從去年開始,辦公形勢發生變化,通用的CDN已經不能滿足攻擊需求了,於是就開始利用DNS裝置,包括其他智慧裝置來發起。

這個跟UDP反射會有一些差別,UDP反射更多是希望反射發起流量放大,達到四兩撥千斤的效果;而TCP反射沒有明顯的放大比,沒法放大流量,但是可以讓包量或者PPS達到很大的程度。包量或者PPS引數對於網路裝置或防護裝置的效能體驗挑戰是比較大的,這也是TCP反射攻擊的威脅比UDP反射更難解決的原因所在,它所造成的PPS包量吞吐量會比較大,這對於我們裝置的效能來說是很大的考驗。

另外,TCP反射使用的是一個正常的通訊協議棧,它還是以假亂真,正常的協議棧很難去區別對待,到底是正常使用者?還是一個攻擊者?這一利用點會給我們的防護體系和防護策略帶來更高的挑戰。所以不法駭客更加願意利用從簡到難的方式,慢慢用UDP反射,再到TCP反射,一步步加強,一步步試圖突破。


Q7:《白皮書》顯示,應用層攻擊呈現海量化趨勢,這個點指的是什麼?

羅喜軍:去年我們捕獲到一例接近300萬QPS的加密流量攻擊,之前捕獲的最大規模也就幾萬,這其實是一個幾十倍的增長。我們發現加密流量的威脅突然間變大,應用層的威脅也隨之突增,然後再增。還有一個有趣的點,這些攻擊源使用的都是秒撥IP,即秒撥代理IP,它是說在業務安全領域,欺詐、黃牛、薅羊毛的場景可能會比較多地用到秒撥IP,因為它不停切換,必須繞過我們的風控策略。

我們發現秒撥IP已經應用於傳統的安全對抗領域,如果還是以IP的角度去做攔截防護,就會有很多弊端,因為秒撥IP的特性就是不停地變,如果再用舊方法對抗它,就會發現我們永遠落後於攻擊者,永遠都是在被別人打了一波之後再去分析。


Q8:XOR.DDoS殭屍網路最為活躍,原因有哪些?

羅喜軍:XOR殭屍網路是比較經典的一個殭屍網路,已經10多年了,這個殭屍網路感染Linux伺服器,透過密碼爆破或者弱口令的方式去感染,感染之後在上面種植木馬後門,裡面會種植一個DDoS攻擊工具,這個攻擊工具會被類似的“肉雞”加入到壞人的殭屍網路,去發起對外攻擊。這個攻擊手法是最經典的手法,其實就是SYNFLOOD,而且是SYN大包攻擊,一般單個網路的規模應該是在100~300G左右,去年下半年由於IoT這種裝置的發展,所以活躍度在下半年也會變大。

去年12月份,我們在一個開源的軟體供應鏈裡面發現有殭屍網路透過投毒的方式進行傳播,這相對來說還是比較大的、新的趨勢。以往的傳播可能還是透過駭客去黑新“肉雞”,控制“肉雞”,然後上傳木馬、後門,上傳工具,發起攻擊,但當時我們發現軟體園的安全監控裡面,它透過偽造某一個軟體供應鏈裡的一個軟體,在裡面捆綁一個後門,一旦在用開源軟體搭建自己的業務體系時,發現這個軟體是被投毒的,那機器可能也就被種上了這樣的木馬。


Q9:與往年相比,騰訊2020年抗D最重點的技術提升方向是哪些?效果如何?

羅喜軍:第一,降本增效。我們不斷地去研發高效能的防護裝置和方案,去降低在裝置上的投入成本。比如以往可能更多的是單臺裝置,能防禦10G的流量,到去年我們已經開始邁入到百G甚至400G的區段,這樣投入成本就會下降,運維、運營效率也會隨之提高。

第二,加盟提效。透過跟一些合作伙伴共同建立安全能力,把安全能力開放給客戶。然後就是在演算法層面的持續升級,我們以往的對抗形式可能還是比較傳統,比如寫規則、寫特徵,但是在攻擊手法複雜化或者強對抗的背景下,這樣的方法就會越來越侷限,所以我們也是在不停地利用大資料或者機器學習演算法,去提升策略的可配置性或靈活性,希望能夠更加智慧、自動化地去處理一些高階別的攻擊手法。

至於效果如何,就是產品的付費成本可能會下降,或者說相同成本上,能買到更多的高防能力,這是一個,因為成本是客戶重點考量的因素;第二,因為安全攻防永遠是一個持續對抗的過程,而且技術的升級在於對抗效率的提升,比如以往出現一個攻擊手法,可能要花上三五天才能幫客戶解決,現在只要一天甚至半天,或者只需要調一個配置,就能解決這個問題,效率會大幅提升,客戶的受影響時間也會大大縮減。


Q10:騰訊安全為客戶提供了什麼樣的增量能力和解決方案?

羅喜軍:我們之前推出了一個方案叫做“AI防護”,以前沒有它的時候,當一個攻擊手法變化時,通常的模式是,客戶業務受損時,安全團隊透過分析來調整和更新策略,這樣一來可能會耗上幾小時甚至更久;而在推出“AI智慧防護”這種高階功能之後,客戶只需要在頁面上點一下,就可以自動分析攻擊手法的變化,自動識別和調整策略,可能只要幾分鐘時間,大量業務就能恢復,這是一個點。


Q11:在黑灰產的攻擊手段不斷升級時,作為防守方,我們要如何跑在前面?

羅喜軍:第一,我們的威脅情報能力要求我們要把很多事情做到事前,不要被動挨打,而是主動去控盤,所以我們對於業界的威脅變化會有一個及時的捕獲、感知;

第二,對於騰訊自有的業務來說,尤其是自有的遊戲業務,其實也會存在這樣大的威脅,包括騰訊雲的客戶。比如a客戶發現了一些問題,能夠及時感知到,我們就能把這個問題放到整個大盤上去考慮;如果b客戶也發現問題,就不會很被動地處理,這就體現了我們的威脅情報能力

另外一點是後端的技術能力。當一個新的問題出現後,技術迭代能很快解決問題並適應這一狀況。其實我們所有後臺系統都是自研的,自研帶來的一個好處是可控性好,定製化的效率也會很高。當有需求或者遇到攻擊之後,能夠很快實現迭代升級,這也依賴於後臺的技術模型,畢竟要支援這麼快的迭代效果。


Q12:抵禦DDoS領域最需要的核心能力是什麼,我們的核心優勢又是什麼?

羅喜軍:第一,我們具備多年的技術沉澱和積累。因為安全有專業門檻,可能這裡不存在捷徑;另一個層面,騰訊擁有許多業務,具備海量、全新的網際網路業務模型,還包括騰訊雲使用者的實戰結論,這裡指的是放到實戰當中,跟壞人去肉搏之後,才能知道應該怎麼打,這是我們在技術上的一些優勢;

第二,資源優勢。因為DDoS很大程度還是在於資源的配套,像騰訊安全的產品擁有的後端資源儲備,比如頻寬資源儲備,BGP網路的儲備等,我們各個業務的形態都能為使用者提供很高的防護頻寬和能力,這是資源優勢;

第三,安全服務。比如客戶出現問題需要解決時,我們能夠快速支援和響應,幫助客戶正向處理問題。


Q13:未來有哪些行業可能會成為DDoS攻擊的高發領域,如果這些行業需要提前部署、提前應對的話,應該透過哪些方面來建立自身的行業體系?

羅喜軍:理論上看,所有網際網路業務都會存在DDoS攻擊的可能,因為它不像是漏洞或者入侵,漏洞跟入侵是說自身存在弱點,壞人才有機會進來;但DDoS是說,只要在網上就存在這種可能,因為網路可達就會存在這個問題,而且DDoS的攻擊效果是最明顯的,就是讓使用者斷網,同時給業務造成負面影響。

未來,在一些新興行業當中,可能會存在這種安全風險。比如線上教育,網路斷了,學生就沒法上網課;或者是線上醫療,這是真正與生命緊密相連的,所以會有很大的風險存在。對於此類行業的客戶或企業主來說,我們的建議是:

第一,企業自身要具備抗攻擊能力。如同普通人得感冒,或許不是全靠吃藥來解決問題,而是身體首先要具備一定的抵抗力。同理,業務首先要在程式、程式碼開發、架構等方面具備一定的抗攻擊能力;

第二,對於架構層面來說,當真正出現問題時,要有快速的排程或熱備切換,這是容災的問題,也可以叫做快速恢復業務的能力;

第三,專業的人幹專業的事,當真正影響到企業的生存發展時,還是要找專業的安全服務團隊來解決這個問題。


相關文章