乾貨分享 2021年DDoS攻擊趨勢解讀

9月26日，綠盟科技伏影實驗室負責人吳鐵軍、騰訊安全高階演算法工程師孫國錦參加由騰訊安全攜手騰訊產業網際網路學堂舉辦的「產業安全公開課」，圍繞 2021年DDoS攻擊趨勢帶來解讀。

DDoS攻擊趨勢高增長是哪些原因導致的？

哪些行業是DDoS的重災區？

 DDoS攻擊技術的最新特徵和趨勢？

DDoS攻擊溯源取證執法為何如此困難？

DDoS攻擊威脅治理方案與舉措建議

......

讓我們一起來看看，他們都分享了哪些乾貨

話題一：最近釋出的《2021年上半年全球DDoS威脅報告》中，DDoS攻擊趨勢高增長是哪些原因導致的？

吳鐵軍：DDoS攻擊的三個特性，導致其在不斷治理的情況下仍然保持增長態勢：一是攻擊的有效性立竿見影，由於攻擊效果好，攻擊者熱衷於挖掘新型DDoS攻擊手段，甚至多國高校把DDoS威脅作為研究目標並揭露威脅；二是執行攻擊簡單易操作，早期的DDoS攻擊攻擊工具操作介面幾乎是傻瓜式，粗懂網路知識的人員輸入IP地址或域名即可發起海量DDoS攻擊並使目標失去服務能力，然而近幾年來開始推出攻擊即服務的模式，特別是BaaS、Botnet即服務模式，讓實施DDoS攻擊的攻擊者人群再次擴充套件；三是隱蔽性強，早期偽造源IP、反射攻擊、殭屍網路等都能有效隱藏其真實攻擊資源。黑產攻擊團伙分工逐步明晰，隨著近幾年物聯網的持續發展，黑產團伙可利用的攻擊資源不斷斷攀升，這些都導致了DDoS攻擊仍然保持著增長態勢。

孫國錦：在疫情影響下，各類企業業務持續線上遷移，遊戲、直播、電商、線上教育等行業繁榮發展，引來黑產團伙覬覦。2017年，DDoS攻擊黑產團伙從重創中逐步恢復；2019年，海外DDoS黑產開始復甦；2020年，DDoS攻擊黑產更是瞄準了重點行業。四年以來，黑產始終保持活躍的狀態。

話題二：哪些行業是DDoS的重災區？

吳鐵軍：黑產團伙始終追求利益最大化，因此，黃賭毒、遊戲、線上交友互動等容易遭受攻擊。隨著物聯網裝置的增加和雲服務的發展，反射攻擊源的獲取成本降低，攻擊者把部分殭屍網路用於挖礦以降低被暴露的危險，在需要使用CC攻擊的情況下用殭屍網路發起攻擊。總之為了保障利益的持久化和最大化，黑產團伙會靈活採取一些應對策略。

孫國錦：在行業低門檻、高競爭性、高利益特性的持續影響下，遊戲仍然是DDoS攻擊最集中的行業。研究表明，挖礦活動和DDoS攻擊活動對於肉雞資源存在競爭關係，而2020年下半年比特幣/以太坊等虛擬貨幣的價格處於歷史高位，導致大量肉雞資源流入挖礦領域。

話題三：從目前的現狀來看，黑產的產業鏈和攻擊成本都非常低，駭客是專挑大企業打，還是無差別攻擊？

吳鐵軍：駭客並不只挑大企業進行攻擊，還有另外一部分攻擊團伙是針對中小企業進行敲詐勒索，以圖獲得豐厚的贖金。目前，黑產產業鏈發展已從分工明晰轉向自動化，專業化，包括脆弱資源探測、漏洞利用、弱口令收割、脆弱配置探測、反射源探測等。大的DDoS攻擊團伙會收購或侵吞小型殭屍網路控制者，也就是“黑吃黑”。

話題四：目前主流的攻擊手段有哪些？DDoS攻擊技術的最新特徵和趨勢？駭客最青睞哪種?

吳鐵軍：近年來，UDP反射成為最受攻擊者歡迎的攻擊方式，其放大攻擊既有大量的攻擊資源，又有較為可觀的放大倍數，且很難溯源；另外，黑產產業鏈對UDP反射放大攻擊進行了充分的封裝，進一步降低了攻擊的門檻。隨著疫情和遠端辦公的影響，客戶正常業務中OpenVPN流量佔比逐漸增大，而OpenVPN則因為擁有超過100萬的攻擊源數量，逐漸成為新型UDP反射攻擊中的黑馬。

孫國錦：在攻擊資源上，由於網際網路上大量開放的TCP埠和大量家庭網路的暴露，導致TCP伺服器成為數量最大的DDoS反射攻擊資源，受攻擊次數、規模雙雙增長。2021年以來，百G以上的TCP攻擊屢見不鮮，包速率動輒數以億計，對上下游網路裝置、防護裝置以及雲端清洗服務的效能造成了嚴峻挑戰。

話題五：DDoS攻擊溯源、取證執法為何如此困難？

吳鐵軍：攻擊溯源在網路安全行業一直是一個難題。UDP和TCP反射攻擊，最終暴露的是網路空間的反射源，這把攻擊團伙的攻擊資源隱匿在網路空間的一角，殭屍網路攻擊也僅僅暴露C2地址，把攻擊團伙隔離在C2之外。DDoS攻擊大多是以量獲勝，量大容易暴露，所以DDoS攻擊者一開始就在思考使用偽造源IP、利用反射、殭屍網路等手段發起攻擊並隱藏自己。同時，從攻擊防禦的角度是無法觀測到攻擊團伙的攻擊資源，使得攻擊鏈路無法向前推進，溯源鏈路中斷，導致無法徹底曝光和摧毀攻擊團伙。

孫國錦：攻擊溯源取證困難主要有兩大原因：其一，駭客把自己的IP都藏起來了；其二，由於原來IP偽造技術的存在。在伺服器端，我們沒有辦法確認這個原IP是否為真，而非被別人偽造出來的。整個取證的過程漫長無比，需要持續不間斷地攻擊，才有可能拿到一個完整的證據鏈。

話題六：面對DDoS攻擊的複雜性和不確定性，企業如何應對？

孫國錦：在遭遇DDoS時，企業要在保障業務連續性、可操作性和所需成本之間找到最佳平衡點。其一，可以透過接入大公司的服務及資源，有效抗擊DDoS攻擊；其二，面對不斷升級的黑產技術，人工智慧正在逐步成為打擊黑產的利器。

話題七：DDoS攻擊威脅治理方案與舉措建議

吳鐵軍：受害者為了確保業務順暢進行，在被攻擊之後往往會在多個防護廠商之間遊走，尋求不同的攻擊庇護，與此同時攻擊團伙間資源已然相互租用、相互聯合。DDoS攻擊治理需要各防禦廠商攜手面對共同的敵人，建立DDoS聯防聯控聯盟，形成協同防禦、情報共享、共同發展的機制。