您所在的位置: 首頁 >
新聞資訊 >
威脅情報(bào) >
DDoS攻擊花樣百出,第三季度多個(gè)行業(yè)被暴擊
Lumen和卡巴斯基實(shí)驗(yàn)室最新發(fā)布的第三季度 DDoS 報(bào)告,都顯示本季度DDoS攻擊暴增,Lumen發(fā)現(xiàn)本季度比上一季度多 35%。安全專家警告說,且攻擊技術(shù)也越來越復(fù)雜。Lumen 研究人員分析發(fā)現(xiàn)DDoS攻擊開始越來越多地針對VoIP語音等新服務(wù)??ò退够鶎?shí)驗(yàn)室研究人員也同時(shí)發(fā)現(xiàn)第三季度DDoS攻擊出現(xiàn)了一個(gè)明顯的趨勢,即網(wǎng)絡(luò)電話提供商受到大量攻擊,主要影響了英國、加拿大和美國的公司。由于功能強(qiáng)大而復(fù)雜,它們給客戶帶來了語音和短信問題。同時(shí),近年來,越來越多的攻擊者開始使用DDoS 攻擊向受害者勒索贖金,這些攻擊者自稱來自勒索軟件組織REvil,要求支付巨額贖金來才能停止攻擊。但是,目前還無法確認(rèn)該組織的真實(shí)身份是 REvil 還是其他。無論如何,對 VoIP 提供商的勒索攻擊僅限于 DDoS,而 REvil 主要進(jìn)行數(shù)據(jù)加密。
早在10月份,一家名為 VoIP.ms 的主要 VoIP 提供商已經(jīng)受到 DDoS攻擊。造成企業(yè)無法為他們的客戶服務(wù),客戶反饋說他們無法連接到 VoIP.ms 的 SIP 服務(wù)器以及其他資源。與此同時(shí),有人聲稱自己是 REvil 勒索軟件組織的一員,要求支付贖金來恢復(fù)業(yè)務(wù)。研究人員在樣本中沒有看到任何 SIP 數(shù)據(jù)包。相反,他們看到的是 DNS、SNMP 和其他通常出現(xiàn)在放大攻擊和僵尸網(wǎng)絡(luò) DDoS 攻擊中的流量。
卡巴斯基實(shí)驗(yàn)室研究人員也同時(shí)發(fā)現(xiàn),第三季度發(fā)現(xiàn)的最大攻擊帶寬為 612 Gbps,比第二季度增長了 49%;基于數(shù)據(jù)包速率統(tǒng)計(jì)的最大攻擊規(guī)模為252 Mbps,較第二季度增加了 91%;對客戶的最長攻擊持續(xù)了兩周,突顯了 DDoS 可能對組織產(chǎn)生較嚴(yán)重影響;在受攻擊次數(shù)達(dá) 500 次的行業(yè)中,受攻擊最頻繁的行業(yè)是電信和軟件/技術(shù),其次是零售;28% 的多重緩解措施首次面對四種不同攻擊類型的復(fù)雜組合,分別是DNS、TCP RST、TCP SYN-ACK和 UDP 放大。DDoS攻擊這些年來并沒有太大變化,因?yàn)榇祟惞羧匀幌鄬Ρ阋?、容易和有效,因此,近年來,越來越多的攻擊者開始使用DDoS 攻擊向受害者勒索贖金。其中俄羅斯服務(wù)商 Yandex 遭遇了有史以來最大規(guī)模的DDoS攻擊。
本季度另一個(gè)備受矚目的事件是 Mēris 的發(fā)現(xiàn),這是一種能夠進(jìn)行強(qiáng)大的 DDoS 攻擊的新型僵尸網(wǎng)絡(luò)。據(jù)最先報(bào)告僵尸網(wǎng)絡(luò)的 Yandex 和 Qrator Labs 稱,它由高性能網(wǎng)絡(luò)設(shè)備組成,主要來自 Mikrotik,并使用 HTTP管道,允許在一個(gè)連接中向服務(wù)器發(fā)送多個(gè)請求,而無需等待響應(yīng)。這種僵尸網(wǎng)絡(luò)的攻擊以每秒大量的請求而引人注目。例如,針對Cloudflare客戶(歸因于Mēris)的DDoS攻擊,盡管持續(xù)時(shí)間不到一分鐘,但每秒仍有1720萬次請求,而 Yandex 報(bào)告每秒請求 2180 萬次。
信息安全領(lǐng)域的知名記者 Brian Krebs 的網(wǎng)站也遭到了短暫但威力巨大的 Mēris 攻擊。Krebs 指出,雖然每秒請求數(shù)沒有 Yandex 或 Cloudflare 那樣令人印象深刻,但它仍然是 Mirai 對其網(wǎng)站的攻擊的四倍多。
如上所述,Cloudflare最近成功阻止了一次DDoS攻擊,其峰值略低于2Tbps,成為有史以來最兇猛的DDoS攻擊。
這次DDoS攻擊發(fā)生在安全機(jī)構(gòu)Rapid7警告GitLab漏洞(在CVSS嚴(yán)重程度上被評為滿分10.0)僅兩周后,該漏洞就已經(jīng)被外部利用,允許掌握它的攻擊者在受影響的服務(wù)器上遠(yuǎn)程運(yùn)行代碼,如僵尸網(wǎng)絡(luò)惡意軟件。Rapid7發(fā)現(xiàn),在60000個(gè)面向互聯(lián)網(wǎng)的GitLab實(shí)例中,至少有一半仍未打補(bǔ)丁,并警告說,隨著該漏洞的細(xì)節(jié)被公開,利用將持續(xù)增加。
根據(jù)對攻擊的分析,Cloudflare認(rèn)為這是一次多載體攻擊,結(jié)合了DNS放大攻擊和UDP FLOOD的方式。這次攻擊持續(xù)了不到一分鐘,是Cloudflare迄今為止看到的最大的一次。
Cloudflare的產(chǎn)品經(jīng)理Omer Yoachimik說:"我們第三季度DDoS趨勢報(bào)告的另一個(gè)關(guān)鍵發(fā)現(xiàn)是,網(wǎng)絡(luò)層的DDoS攻擊實(shí)際上比一季度增加了44%。雖然第四季度還沒有結(jié)束,但我們已經(jīng)看到了多起針對Cloudflare客戶的攻擊。"
第三季度,針對美國的DDoS攻攻擊增加了4.8個(gè)百分點(diǎn),達(dá)到40.80%。在經(jīng)歷了第一季度和第二季度的平靜期后,該國的攻擊比例一下子增長了12.61%。
DDoS 攻擊次數(shù)激增
第三季度的DDoS攻擊數(shù)量異常多。7月上旬比較平靜,但到月中,DDoS攻擊日均數(shù)超過1000次,8月18日達(dá)到8825次, 8月21日和22日,日均數(shù)超過5000次。在8月2日和6日,9月16日、18日、19日和22日,發(fā)現(xiàn)了超過3000次攻擊。
在本季度最平靜的日子里,研究人員觀察到將近500起DDoS攻擊:6月2日494起,6月3日485起。
在第三季度,DDoS攻擊的分布是一年中最不均勻的。大多數(shù)攻擊發(fā)生在周三——19.22%。這一統(tǒng)計(jì)結(jié)果很大程度上受到了8月18日(周三)DDoS攻擊的影響。由于8月份的另外兩個(gè)高峰期,發(fā)生在周六和周日的攻擊比例也有所增加。在其他時(shí)間,DDoS活動(dòng)的比例比上一季度有所下降。
DDoS攻擊的持續(xù)時(shí)間和類型
在第三季度,平均 DDoS 攻擊持續(xù)時(shí)間減少到 2.84 小時(shí)。這可能是由于持續(xù) 50 小時(shí)或更長時(shí)間的攻擊次數(shù)減少,而相對較短的攻擊次數(shù)增加。例如,盡管極短攻擊的比例 (86.47%) 比上一季度有所下降,但其數(shù)量幾乎翻了一番:從第二季度的3.3萬次增至6.3.7萬次。與此同時(shí),第三季度最長的攻擊持續(xù)了339小時(shí),比之前報(bào)告的最長攻擊時(shí)間少了2倍以上。
從攻擊類型來看,SYN Flood攻擊在第三季度遙遙領(lǐng)先,51.63%的攻擊使用了該攻擊。UDP FLOOD攻擊位居第二(38.00%),比例比上一季度下降了22%。TCP FLOOD仍排在第三位,但其比例也降至8.33%。
僵尸網(wǎng)絡(luò)的地理分布
第三季度,大部分C&C僵尸網(wǎng)絡(luò)服務(wù)器位于美國(43.44%),然而,他們的比例下降了4.51%。德國(10.75%)仍然位居第二,其比例也略有下降,荷蘭(9.25%)排名第三。俄羅斯(5.38%)取代法國(3.87%)位居第四,與捷克(3.87%)并列第6位和第7位,加拿大(4.73%)仍位居第五。英國 (2.58%) 在 C&C 服務(wù)器數(shù)量方面排名第八,羅馬尼亞 (1.94%) 和瑞士 (1.94%) 位居榜首。
30000臺(tái)服務(wù)器被攻擊!GitLab再次遭受DDoS攻擊,峰值超1Tbs
DDoS攻擊并不少見,但近期這類攻擊卻有著愈演愈烈的趨勢。有專家警告說,超過1Tbps以上的大流量DDoS攻擊越來越普遍。
今年10月,微軟曾宣布其Azure云服務(wù)成功攔截一次每秒2.4 Tbps的DDoS攻擊,這是當(dāng)時(shí)發(fā)現(xiàn)的最大的DDoS攻擊。
截止發(fā)稿前,GitLab又被DDoS攻擊了,峰值流量超1 Tbps。此次攻擊的漏洞來源于4月份已經(jīng)修復(fù)的漏洞,但仍有30000臺(tái)未安裝更新的服務(wù)器被攻擊。
負(fù)責(zé)谷歌DDoS防御的云安全可靠性工程師Damian Menscher最近披露,有攻擊者正在利用 GitLab 托管服務(wù)器上的安全漏洞來構(gòu)建僵尸網(wǎng)絡(luò),并發(fā)起流量驚人的攻擊。
最常遭到DDoS攻擊的行業(yè)有哪些?
DDoS攻擊是目前被公認(rèn)為最難防御的網(wǎng)絡(luò)攻擊之一,最常遭到DDoS攻擊的行業(yè)有哪些?
網(wǎng)絡(luò)游戲行業(yè)
網(wǎng)絡(luò)游戲行業(yè)除了應(yīng)對網(wǎng)絡(luò)高峰,最大的問題就是部署業(yè)務(wù)時(shí)容易遭到DDoS攻擊。數(shù)據(jù)顯示,游戲行業(yè)是攻擊的重災(zāi)區(qū),攻擊次數(shù)占比高達(dá)49%。第三季度,《最終幻想14》的歐洲服務(wù)器受到多次攻擊。在被攻擊的幾個(gè)小時(shí)時(shí)間里,游戲玩家都遇到了掉線、速度變慢和登錄問題。
電子商務(wù)行業(yè)
數(shù)據(jù)顯示,有將近30%的網(wǎng)絡(luò)攻擊是針對電商,電商行業(yè)因?yàn)榻桓豆δ堋⑵脚_(tái)的實(shí)時(shí)響應(yīng)對安全和速度有著較高要求。特別是在618、雙11這類特殊的節(jié)日,電商企業(yè)由于DDoS大流量攻擊導(dǎo)致的業(yè)務(wù)中斷、客戶流失、營收損失等難以計(jì)數(shù)。
互聯(lián)網(wǎng)金融行業(yè)
金融領(lǐng)域可以說是DDoS攻擊的高發(fā)行業(yè),金融部門更容易受到攻擊,攻擊會(huì)使金融系統(tǒng)無法訪問。黑客一般是為了贖金和敲詐勒索。
虛擬貨幣行業(yè)
遭受DDoS攻擊的還有最古老的比特幣網(wǎng)站Bitcoin.org。盡管在這個(gè)案例中,不像對VoIP提供商的攻擊,攻擊者愿意接受半個(gè)比特幣,但對于非營利信息門戶網(wǎng)站來說,這仍然是一筆不小的贖金。
值得注意的,因?yàn)榧用茇泿诺膬r(jià)格攀升仍然和以前一樣強(qiáng)勁,而DDoS市場的增長與加密貨幣開始暴漲之前相似。過去幾年,這兩個(gè)市場一直在爭奪計(jì)算能力,許多僵尸網(wǎng)絡(luò)既可以用于DDoS,也可以用于挖礦,因此加密貨幣的高價(jià)格吸引了DDoS的計(jì)算力。現(xiàn)在,在加密貨幣價(jià)格持續(xù)走高的背景下,DDoS市場不斷增長,從這一點(diǎn)來看,攻擊者已經(jīng)開始以不同的方式分配資源。
惡意軟件運(yùn)營商在第三季度也決定使用DDoS作為恐嚇工具,攻擊者向公司發(fā)送電子郵件,稱他們的資源被用于DDoS攻擊,他們可能面臨法律問題。這些消息包含一個(gè)指向云目錄的鏈接,據(jù)稱其中包含有關(guān)事件的詳細(xì)信息,其中實(shí)際上包含 BazarLoader 惡意軟件加載程序。
在一些國家,DDoS攻擊針對的是幫助抗擊COVID-19的網(wǎng)站。今年8月,攻擊者試圖關(guān)閉馬尼拉的一個(gè)疫苗注冊門戶網(wǎng)站。今年9月,他們盯上了荷蘭網(wǎng)站CoronaCheck,在該網(wǎng)站上,人們可以獲得訪問咖啡館和文化景點(diǎn)所需的二維碼,但這個(gè)二維碼明顯是釣魚類的攻擊。
第三季度,各國發(fā)生了許多出于政治動(dòng)機(jī)的 DDoS 攻擊。例如,在 7 月上旬和中旬,不明身份的攻擊者用垃圾流量攻擊了俄羅斯和烏克蘭安全機(jī)構(gòu)的資源。7月下旬,俄羅斯報(bào)紙 Vedomosti 成為 DDoS 受害者。最有可能的是,這次攻擊與該網(wǎng)站的一篇在線文章有關(guān)。8月中旬,攻擊者試圖阻止用戶訪問菲律賓人權(quán)組織Karapatan的網(wǎng)絡(luò)資源。然后,在月底,德國聯(lián)邦選舉官(Federal returns Officer)的網(wǎng)站因與9月26日的聯(lián)邦議院(Bundestag)選舉有關(guān)而短暫遭到攻擊。
如上所述,DDoS攻擊者一直在跨地域和跨行業(yè)方面進(jìn)行多樣化嘗試,DDoS攻擊更具針對性和持久性,除了上面這幾大行業(yè)外,醫(yī)療,教育,直播等行業(yè)也逐漸成為攻擊者的目標(biāo)。攻擊流量也越來越大屢破紀(jì)錄,而且攻擊方式也變得越來越復(fù)雜。近年來,DDoS攻擊者越來越多地使用此類攻擊向受害者勒索贖金。
Neustar在8月份發(fā)布的一份報(bào)告稱,在過去12個(gè)月內(nèi),超過五分之二(44%)的組織成為與贖金相關(guān)的DDoS(RDDoS)攻擊的目標(biāo)或受害者。
2021年第三季度出現(xiàn)了兩種新的DDoS攻擊媒介,可能會(huì)對主要網(wǎng)絡(luò)資源構(gòu)成嚴(yán)重威脅。來自馬里蘭大學(xué)和科羅拉多大學(xué)博爾德分校的一組研究人員發(fā)現(xiàn)了一種通過TCP欺騙受害者IP地址的方法。到目前為止,由于不需要建立連接,允許IP欺騙,放大攻擊大多使用UDP協(xié)議進(jìn)行。
這種新攻擊的目標(biāo)是位于客戶端和服務(wù)器之間的安全設(shè)備(所謂的中間件)——防火墻、負(fù)載平衡器、網(wǎng)絡(luò)地址轉(zhuǎn)換器 (NAT)、深度包檢測 (DPI) 工具等??梢愿蓴_ TCP 連接,例如,通過阻止與禁止資源的連接,并且他們經(jīng)常對從一方收到的數(shù)據(jù)包做出反應(yīng),而沒有看到完整的圖片或監(jiān)控TCP會(huì)話的有效性。如果以受害者的名義發(fā)送訪問被禁止資源的請求,中間層的響應(yīng)可能會(huì)大得多。因此,研究人員發(fā)現(xiàn)超過 386000 臺(tái)設(shè)備的放大系數(shù)超過 100,其中超過 97000 臺(tái)超過 500,其中 192 臺(tái)超過 51000。
第二種攻擊被稱為 Black Storm,可以針對任何網(wǎng)絡(luò)設(shè)備。攻擊者可以偽裝成同一網(wǎng)絡(luò)中的其他設(shè)備,向通信服務(wù)提供商 (CSP) 網(wǎng)絡(luò)中的設(shè)備上的關(guān)閉端口發(fā)送請求。接收器設(shè)備用一條消息說明該端口不可用來響應(yīng)此類請求。處理這些消息會(huì)消耗大量資源,這會(huì)使受害設(shè)備過載并阻止它們接受合法請求。研究人員指出,這種方法不僅可以讓攻擊者關(guān)閉單個(gè)服務(wù)器,還可以關(guān)閉提供商的整個(gè)網(wǎng)絡(luò),包括一個(gè)大型網(wǎng)絡(luò)。
上述針對VoIP服務(wù)的攻擊就屬于這種攻擊類型。
隨著技術(shù)的不斷進(jìn)步,攻擊源追蹤技術(shù)已經(jīng)在追蹤速度、自動(dòng)化程度、追蹤精確度等方面取得顯著進(jìn)步, DDoS網(wǎng)絡(luò)層攻擊檢測也分為多種方式。
那要如何從IP源地址角度預(yù)防DDoS攻擊呢?
如上所述,研究人員發(fā)現(xiàn)了一種通過TCP欺騙受害者IP地址的方法。那要如何從IP源地址角度預(yù)防DDoS攻擊呢?當(dāng) DDoS 攻擊發(fā)生時(shí)或結(jié)束后,可以根據(jù)相關(guān)信息定位攻擊的來源,找到攻擊者的位置或攻擊來源。IP地址來源定位它是 DDoS 攻擊防御過程中的重要環(huán)節(jié),并在其中起到承上啟下的關(guān)鍵作用。精準(zhǔn)的IP地址定位結(jié)果既可以為進(jìn)一步追蹤真正攻擊者提供線索,也可以為其他的防御措施,如流量限速、過濾等措施提供信息,還可以在法律上為追究攻擊者責(zé)任提供證據(jù)。
參考及來源:
https://www.rtcsec.com/post/2021/09/massive-ddos-attacks-on-voip-providers-and-simulated-ddos-testing/
https://securelist.com/ddos-attacks-in-q3-2021/104796/
https://therecord.media/gitlab-servers-are-being-exploited-in-ddos-attacks-in-excess-of-1-tbps/
文章來源:嘶吼專業(yè)版