2023 年 DDoS 趋势回顾与 2024 年实用行动策略
执行摘要
对 分布式拒绝服务 (DDoS) 攻击趋势而言,2023 年是具有里程碑意义的一年。网络犯罪团伙、有地缘政治动机的黑客和恶意攻击者采用了成本相对较低的 DDoS 攻击方法,并利用由日常数字设备和物联网 (IoT) 设备构成的大规模僵尸网络以及协议级 零日漏洞 ,向企业单位、政府机构和包括医院在内的公共基础设施发起了规模庞大的攻击。而在这之中,具有重要地位的公共基础设施因防范薄弱,所遭受的攻击令人十分不安。
在多数情况下,攻击目标无非是让受害者遭受损害、生产力下降和经济损失,以及吸引公众关注,这也是攻击者将目光对准那些众所周知 IT 安全能力不足的受害者的原因,而且受害者的范围越来越广。我们务必要记住一点,那就是 DDoS 攻击是有针对性的攻击,攻击者会精心挑选他们的攻击目标。
在 2023 年,DDoS 攻击变得更加频繁、持续时间更长、手段非常复杂(使用了多种媒介),而且集中于 横向目标 (在同一攻击事件中攻击多个 IP 目标)。银行和金融服务业所遭受的攻击最多。攻击者对这些行业发起攻击通常是为了造成声誉损害,或者分散安全人员的注意力以图发起后续的勒索软件攻击。现在,欧洲、中东、非洲 (EMEA) 地区以及亚太 (APAC) 地区的 DDoS 攻击次数和规模已超过了北美地区。
正是在这种紧张的威胁形势下,Akamai 凭借自身的远见卓识完成了 Prolexic DDoS 防护平台 的升级,引入新的软件定义架构;建立了多个新的云净化中心,来创建庞大的专用防御容量;并增添了多项新功能,可提供全面、灵活、可靠的 DDoS 防护,随时随地满足客户的各种需求。
破纪录的一年
DDoS 攻击的规模和复杂性一直在增长,2023 年这一趋势更是以不可预见的速度急速发展。甚至安全服务供应商及其网站也不能幸免,尽管 Akamai 已能够有效抵御攻击,但其他公司还力有不逮。2023 年 2 月,Akamai帮助亚太地区一家客户成功阻止了一起大规模的 DDoS 攻击,这是一场针对 Prolexic 客户的攻击。此次攻击的峰值速率达到每秒 900.1 吉比特 (Gbps) 和每秒 1.582 亿个数据包 (Mpps)。9 月,Akamai 再次检测到并阻止了针对美国一家极具影响力的大型金融机构的大规模 DDoS 攻击。网络犯罪分子使用了 ACK、PUSH、RESET 和 SYN 泛洪攻击媒介相结合的方式,峰值速率达到 633.7 Gbps 和 55.1 Mpps。
在网络犯罪原本平稳的状态下,2023 年发生这些破纪录的攻击是否反常?完全不!这些攻击与 2022 年开始的“震慑性”DDoS 攻击趋势非常吻合。去年,Akamai 多次帮助欧洲一家客户成功阻止了破纪录的 DDoS 攻击(峰值速率为 704.8 Mpps)。事实上,在 Akamai 帮助客户阻止的大规模 DDoS 攻击中,有 80% 发生在过去 18 个月内。
这些攻击因手段复杂、技术高超、规模巨大而引起了广泛关注。与此同时,在地缘政治黑客行动和其他恶意动机的推动下,本年度还发生了几次高数据包速率的第 3 层和第 4 层 DDoS 攻击。事实上,根据 Akamai 的观察,2023 年此类攻击的数量最多,相比 2021 年增长了近 50%(图 1)。
图 1:2021 年至 2023 年间,高数据包速率的第 3 层和第 4 层 DDoS 攻击总数增长了近 50%。资料来源:Akamai Prolexic DDoS 威胁情报
旧协议形成新的零日漏洞,引发大量 DDoS 攻击
2023 年 9 月和 10 月,Akamai 与主要行业利益相关者及合作伙伴一起,提出了针对 HTTP/2 快速重置零日漏洞 (CVE-2023-44487) 的响应策略。这一漏洞被网络犯罪分子利用来发起大规模第 7 层 DDoS 攻击。HTTP/2 的多路复用功能可以通过单个 TCP 连接处理多达 100 个活动流,当攻击者发起一系列流请求并立即重置流时,这会成为一个非常有效的漏洞。
攻击者这样操作会触发 Web 应用程序服务器中的请求逻辑,但由于流被立即取消,原定的目标服务器会继续处理先前发起的所有流,最终导致每秒有上亿条请求到达 Web 服务器,从而彻底拖垮服务器。
使用 Akamai Connected Cloud 和 Akamai DDoS 防护解决方案的客户不必采取任何其他措施,便保护了其 Web 服务器免受这种新型 DDoS 攻击的影响。Akamai 解决方案的基本安全功能(例如第 7 层 HTTP 速率控制、缓存、Web 应用程序防火墙规则,以及通过 Akamai App & API Protector 实现的 IP 阻止和/或地域屏蔽)可以帮助客户有效阻止 HTTP/2 快速重置攻击。
DNS 基础架构攻击造成企业停工
Akamai 每天观察的 DNS 请求超过 11 万亿条。凭借这一独特优势,我们能够深入了解攻击者用来破坏企业和机构 DNS 基础架构的策略、技术和程序 (TTP)。在 2022 年上半年短暂回落后,DNS 攻击出现大幅复苏。2023 年,Akamai 帮助抵御的 DDoS 攻击中有将近 60% 涉及 DNS 组件(图 2)。
图 2:2023 年将近 60% 的 DDoS 攻击涉及 DNS 组件,相比 2022 年第一季度增加近 200%。资料来源:Akamai Prolexic DDoS 威胁情报
根据 Akamai 2023 年 3 月发布的 《互联网现状 (SOTI)》报告 ,高达 16% 的企业网络中曾遇到命令和控制 (C2) 流量,表明正在发生攻击或者可能存在为勒索软件攻击扫清障碍的入侵活动。DNS 攻击面的范围之广显而易见,因为攻击者的目标涵盖了从网站和物联网设备到家庭网络以及介于其间的所有对象。
银行和金融机构饱受攻击困扰
银行和金融服务行业领域在 2023 年 DDoS 攻击数量排名中高居首位——这可不是什么值得艳羡的荣誉!自 2021 年以来,金融机构成为攻击目标的情况日益多见(图 3)。前几年,大约有 10% 的 DDoS 攻击是针对金融服务机构。到 2021 和 2022 年,该比率增加到 20% 左右,2023 年达到了约 35% 的高点。
图 3:2023 年,银行和金融服务业公司遭受的 DDoS 攻击次数最多。所有 DDoS 攻击中有将近 35% 是针对金融领域。资料来源:Akamai Prolexic DDoS 威胁情报
在 2023 年 9 月发布的 SOTI 报告《 创新遭遇高风险:金融服务业的攻击趋势》中,我们深入探讨了网络犯罪分子如何针对全球金融服务机构发起 DDoS 攻击。
由于虚拟机僵尸网络的威力急剧提升,加上乌克兰和以色列战争引发的地缘政治黑客行动,金融服务业遭受的 DDoS 攻击也不断增加。
事实上,亲俄黑客组织已于 2023 年 6 月上旬宣布将对欧洲和美国的金融企业发动大规模协调性 DDoS 攻击。 这些黑客组织中包括了 Killnet、REvil 和 Anonymous Sudan 。也许这种亲俄黑客行动更好地解释了金融服务领域 DDoS 攻击的区域性转变,因为 EMEA 地区现在的攻击数量几乎是北美的两倍(图 4)。
图 4:目前,EMEA 地区金融服务领域第 3 层和第 4 层 DDoS 攻击事件的数量几乎达到了北美的两倍。资料来源:https://www.akamai.com/zh/lp/soti/high-stakes-of-innovation
第 7 层 DDoS 攻击也仍然是金融应用程序面临的一个问题。攻击者在不断努力完善他们的攻击行动、网络和 TTP,以躲避更强大的防御系统。在多次大规模 DDoS 攻击中,我们观察到了一些最为普遍的特征,其中包括:
高度分布的 IP/子网和国家/地区目标
攻击来源丰富多样,包括受感染/租用的云服务提供商、Tor 出口节点和匿名/开放代理节点
HTTP 和 DNS 查询泛洪
不可缓存的 URL,如主页、随机 URL、搜索输入和登录端点
高级攻击者在民用 ISP、移动运营商网络或大学网络背后建立僵尸网络,实施 IP 欺骗。
根据防御者的反应实施动态、适应性的攻击
2023 年 DDoS 攻击的其他特点:持续时间长、频率高、复杂性高
2023 年的 DDoS 攻击不仅数量大幅增加,而且攻击类型也比往年更加多样化。横向 DDoS 攻击(有时称为“地毯式轰炸 DDoS 攻击”)自 2022 年最后一个季度以来显著增加。截至 2022 年第三季度,Akamai 观察到的 DDoS 攻击中只有不到 20% 被归类为横向攻击(图 5)。在 2022 年第四季度至 2023 年第三季度的 12 个月期间,我们持续观察到的 DDoS 攻击中有近 30% 为横向多目标攻击,增长将近 50%。
图 5:2023 年,有将近 30% 的 DDoS 攻击是横向(或地毯式轰炸)DDoS 攻击。这个比例与往年相比增加了 50%。资料来源:Akamai Prolexic DDoS 威胁情报
2023 年 DDoS 攻击的另一个明显趋势是网络犯罪分子对企业或机构使用的攻击媒介数量不断增加。在 2023 年 Akamai 成功抵御的一些大规模高复杂性 DDoS 攻击中,攻击者混合使用了超过 14 种不同的媒介,目的显然是为了耗尽受害企业的资源并拖垮其网络安全团队。在多数情况下,这种复杂的多媒介 DDoS 攻击还服务于其他目的,就是充当 三重勒索攻击的烟雾弹。
值得庆幸的是,客户的主动防御态势结合 Akamai 的全面 DDoS 防护解决方案,再加上我们全球安全运营指挥中心 (SOCC) 训练有素的安全专家团队全力支持,帮助我们的客户避免了此类攻击的影响。图 6 显示了 2023 年第三季度网络犯罪分子用于 DDoS 攻击的不同媒介。
图 6:2023 年第三季度网络犯罪分子发起 DDoS 攻击所使用的各种媒介分布情况。资料来源:Akamai Prolexic DDoS 威胁情报
网络犯罪分子还联合起来共同攻击那些被视为“脆弱目标”的受害者。在攻击的侦察或映射阶段,攻击者知道哪些生产服务采取了适当的保护措施,并据此实施相应的计划。2023 年,中小型企业、政府机构以及学校、医院、机场和其他交通物流中心等关键公共基础设施反复遭到 DDoS 攻击。2022 年,亲俄黑客组织 KillNet 攻击了美国的几个大型机场; 2023 年,另一个俄罗斯黑客组织 NoName057(16) 攻击了加拿大的多个机场、政府机关和金融机构 。
同样,臭名昭著的黑客组织 Anonymous Sudan 在 2023 年 4 月 攻击了印度的六个大型机场和多家医疗机构 。当然,同类型的 DDoS 攻击还有很多,绝非这几个例子所能涵盖。网络犯罪分子继续将 DDoS 作为一种相对便宜但有效的攻击方式,持续滋扰相关安全团队,分散他们的精力,并给政府和企业造成声誉损害。
最后,我们在 2023 年观察到,持续时间更长的 DDoS 攻击活动再次出现。平均而言,许多攻击活动的持续时间为 20 多分钟,持续时间超过 1 小时的攻击活动数量在 2021 年至 2023 年间增加了 50%。相比之前观察到的趋势——攻击力度非常强但时间短(通常持续不到 2 分钟),这是一种明显的逆转。
如果企业没有采取适当的主动防御措施,并且响应人员无法快速应对,短时突发攻击会非常奏效。持续时间长的攻击会导致生产力下降,在检测到其他威胁并且需要采取响应措施时,还会影响连续运营能力。
使用优秀的 DDoS 防护平台保护客户资产
在这种快速演变而且日益复杂的 DDoS 威胁形势下,Akamai 为客户提供全面、灵活、可靠的 DDoS 防护解决方案,可以在各个层级、端口和协议中保护客户的数字基础架构。
利用新的架构和净化中心实现全球化优势
过去 15 个月内,Akamai Prolexic 平台经历了多个重要里程碑、数次功能新增和升级,为全球各个地区不同行业和领域的客户提供保护并创造价值。这一系列的转型始于 Prolexic 完全软件定义式架构的推出, 旨在应对边缘计算、5G 和网络虚拟化领域不断变化的趋势。
随着平台向虚拟化软件环境转变,Prolexic 彻底消除了对专用硬件的依赖。这种全面的标准化部署使 Akamai 能够针对不断变化的客户需求更快地提供服务,方便进行模块化部署以实现容量扩展,通过低延迟链接扩大区域覆盖范围,并提高平台的冗余度。此外,新的架构还加快了 Prolexic 高级行为学习能力的发展,使平台能够从攻击特征中学习、适应新兴威胁媒介,并提前为客户建设能抵御 DDoS 的安全环境。
新的架构使全球 Prolexic 云净化中心的总数实现了快速大规模增加。当前,Prolexic 在全球 32 个都市区拥有多个净化中心,专用防御容量总计超过 20 Tbps。这里值得注意的关键词是“专用”,它和某些依附于内容交付网络容量的解决方案不同,后者的单点防御方式会让网络犯罪分子有机可乘。
Prolexic 是一个专用平台,与 Akamai Connected Cloud 进行了集成,但也提供企业客户所需的专用 DDoS 安全防护。就 Prolexic 的防御容量而言,即使是已知规模最大的第 3 层和第 4 层 DDoS 攻击,也只占 Prolexic 客户可用容量的不到 10%。
2023 年,Akamai 在以下地点建立了新的 Prolexic 云净化中心:
西班牙马德里
墨西哥墨西哥城
意大利米兰
巴西里约热内卢
瑞士苏黎世
Prolexic 净化中心的地理分布和本土化可以 为客户提供诸多益处,包括:
显著缩短延迟和最大限度提高网络性能
优化网络流量重定向相关的运营成本
增强对区域特有 DDoS 攻击模式的监测和控制
随时为客户提供全面的 DDoS 防护,涵盖本地、云端或混合环境
9 月,Akamai 与专业提供本地 DDoS 解决方案的领先公司 Corero 达成战略合作伙伴关系,对 Prolexic 平台进行了扩展,集成了 Prolexic On-Prem(Corero 提供支持)和 Prolexic Hybrid。
Prolexic On-Prem 可提供 不间断的物理或逻辑层面的内联和数据路径 DDoS 防护,能够与边缘路由器进行原生集成,从而在客户网络的边缘自动阻止 98% 以上的攻击,而无需将流量回传。这是防范绝大多数快速小规模攻击的理想选择,对于需要超低延迟 DDoS 防护技术的企业来说也非常合适。
Prolexic Hybrid 结合了 Prolexic On-Prem 的强大性能和自动化功能设计以及 Prolexic Cloud 出色的规模和 按需服务 ,可以保护客户源站免受大容量 DDoS 攻击的影响。
Prolexic 功能扩展,不只用于 DDoS 防护
2023 年 4 月,Akamai 宣布推出 Prolexic Network Cloud Firewall ,这是一款完全 自助服务 、 用户可配置 的工具,让客户能够轻松定义、部署和管理自己的访问控制列表 (ACL) 和想要在网络最边缘执行的规则。它是一款安全防护性能更强的防火墙。
借助 Network Cloud Firewall,客户可以 快速、 集中、 全面 阻止不希望进入网络或到达网络内特定目标的流量。该防火墙还会根据 Akamai 的威胁情报数据提供 ACL 建议,以实现更强的主动防御态势,并针对现有规则提供具有实用价值的分析。作为下一代防火墙即服务 (FWaaS),Network Cloud Firewall 使客户能够:
定义主动防御规则,即时阻止恶意流量
将规则移到边缘,减轻本地基础架构的负担
通过新的用户界面快速适应网络变化
2024 年实现主动式高效 DDoS 防护的三项实用行动策略
如果说 2023 年企业单位、政府机构和关键公共基础设施持续不断遭受了高度复杂的网络攻击,那么可以肯定的是,2024 年网络犯罪分子将会设定更高的目标。数字设备的激增让攻击者有机会建立更多僵尸网络,数字基础架构在 EMEA 和 APAC 地区迅速普及,欧洲和中东的地缘政治局势持续紧张,使得环境混乱继续加剧,这些都为有动机的网络犯罪分子提供了便利。
在这种背景下,Akamai 建议采取以下三项实用行动策略:
完善 DDoS 防护态势,提前做好准备
保护 DNS 基础架构
不要依赖“足够好”的解决方案
1.完善 DDoS 防护态势,提前做好准备
由于 DDoS 攻击的成本相对较低,尤其随着 DDoS 即服务的迅速扩散,发起攻击的成本变得更低廉,因此这种攻击手段成为了网络犯罪的有力武器。虽然 DDoS 攻击无法预防,但通过采取以下措施,企业完全可以保护自己的数字资产免受此类攻击影响:
检查所有关键子网和 IP 空间,确保已采取抵御控制措施。
以 不间断防护 状态 部署 DDoS 安全控制措施,将此作为第一层防御,避免紧急集成场景的发生,并减轻事件响应人员的负担。
提前指定危机响应团队,制定行动手册和事件响应计划并确保及时更新。这样可以避免在受到攻击时措手不及!
使用 混合防护平台 作为本地 DDoS 防护的备份,防止攻击造成本地设备过载。
通过网络云防火墙设置主动安全控制规则,将安全态势扩展到基本 DDoS 防护以外。
最后,利用久经考验的全球 SOCC 团队的专业能力和经验,来减轻关键内部资源的压力。SOCC 服务可以和稳定可靠的 DDoS 平台的自动化操作和功能相辅相成。
2.保护 DNS 基础架构
DNS 基础架构已重新成为 DDoS 攻击的主要目标。如果 DNS 出现故障,在线业务就会受到影响。攻击者可能并非总是以破坏 DNS 名称服务器为目标。相反,他们可能只是想要耗尽服务器资源,使全球服务器负载平衡性能退化,难以正确响应合法请求。
在某些情况下,如果系统设置为在云中管理某些区域,而在本地管理其他区域,则可能很难确保 DNS 基础架构的安全和性能不受影响。在很多这样的例子中,传统 DNS 防火墙提供的防护并不够。更优的解决方案是混合平台,它让企业能够做到以下几点:
保护本地和云中的 DNS 区域免受各种攻击(包括 DNS 水刑攻击、DNS 泛洪攻击等)的影响
直观、轻松地管理策略和 IP 允许列表,并实时提供具有实用价值的分析,帮助构建主动安全态势
利用高度分布的入网点基础架构,从最近的位置响应用户,提高 DNS 性能
3.不要依赖“足够好”的解决方案
也许最重要的一点是,不要认为现有的 DDoS 和 DNS 安全态势已“足够好”,或者认为自己的企业不在攻击者的目标范围内。2023 年的受害者正是那些在这方面毫无戒心且准备不足的企业和机构,很多人低估了 DDoS 威胁的演变形势,并且高估了现有安全措施的应对能力。
企业应警惕“免费增值”解决方案的真实成本,这些解决方案会以免费或相对便宜的初期投入引诱企业使用入门级服务,但任何有效的服务都会精心隐藏在付费门槛后面。按需引入更高级别防护功能的想法可能很吸引人,但在遭受攻击时,人们可能完全不会想到签署订单执行表的事。
最后,不要忘了从技术解决方案的角度和最佳实践的角度对防御系统进行压力测试。这包括事件行动手册、流程、文档等的测试和完善,因为这些都可以决定企业防御系统是否准备充分,是否足以保障网络安全。
如果说 2023 年的情形给我们上了一堂关于 DDoS 的课,那么我们现在应该知道去年的防护措施已经无法应对今年的攻击。我们都不希望在 2024 年遭遇同样的情形。
