新技术、地缘政治目标使DDoS攻击激增

日期: 2023-07-14 作者:Arielle Waldman翻译:邹铮 来源:TechTarget中国 英文

新一波强大的DDoS攻击已经在整个威胁领域出现,网络安全供应商表示,以前的缓解措施变得越来越无效。

过去一年中,针对微软和谷歌等知名供应商的攻击代表着向应用层或第7层DDoS攻击的转变,但并不止于此。随着攻击者开始利用新攻击技术(利用互联网架构协议,例如HTTP 和 DNS)发起极具破坏性的攻击,这种快速发展的威胁正在影响各种规模的企业。

新技术的采用、DDoS 即服务的增长、攻击媒介的扩大以及对更强大的僵尸网络的访问,仅在过去几个月内就导致破纪录的 DDoS 攻击。然而,供应商观察到过去几年的频率、速度和复杂性都有所上升。

上周,Akamai Technologies发布了一篇名为《DDoS攻击的无情演变》的博客。Akamai 产品经理 Craig Sparling 和 Max Gebhardt 强调DDoS威胁的发展速度。两人警告说,“以最小成本提供最大影响的攻击媒介将不可避免地越来越受欢迎”。

Sparling和Gebhardt在博客中写道:“2010年排名前五的媒介占所有攻击的90%,而今天的前五名仅占所有攻击的55%。这种转变不仅突显了现代DDoS工具包的日益复杂,而且还突显了安全团队抵御蓬勃发展的威胁库的巨大压力。”

本月早些时候针对微软的攻击突显了DDoS对企业构成的威胁,无论其规模和资源如何。这家科技巨头证实,Microsoft 365和Azure等服务的广泛中断是由DDoS攻击引起,并将其归因于名为“Storm-1359”攻击者。该团伙也被称为Anonymous Sudan,使用技术来规避以前的缓解策略,包括Slowloris和缓存绕过攻击。

今年2月,Cloudflare透露,他们已经缓解了“破纪录”的每秒7100万个请求(rps)DDoS攻击。这次攻击是一篇博客文章中强调的众多攻击之一,该文章显示该公司在一个周末“检测并缓解了数十次超容量DDoS攻击”。大多数在 50 到 70 rps 之间达到峰值,但有一个脱颖而出。

Cloudflare 写道:“这是有记录以来报告的最大 HTTP DDoS 攻击,比 2022 年 6 月报告的 46M rps 记录高出 54% 以上。”

二月份的博客文章强调了过去几个月攻击的“规模,复杂性和频率”在增加。此外,Cloudflare 的 2022 年第四季度 DDoS 威胁报告确定,HTTP DDoS 攻击的数量同比增加了 79%。

2022 年的另一次重大 HTTP DDoS 攻击针对的是Google Cloud Armor客户,但没有成功。在去年 8 月的一篇博客文章中,谷歌证实他们已在 6 月 1 日阻止了第 7 层 DDoS 攻击,该攻击的峰值为4600万rps。与Cloudflare一样,该供应商还观察到,过去几年DDoS攻击的频率有所增加,并且“呈指数级增长”。

近年来,随着越来越多的企业将工作负载和应用程序转移到云端,威胁参与者通过瞄准扩大的攻击面来加快这一趋势。直到最近,大部分DDoS活动都得到了缓解,造成的中断最小。但专家表示,由于几个因素,威胁格局已经改变。

地缘政治目标推动 DDoS 攻击

除攻击面的增长之外,供应商还确定了一系列导致DDoS危险增加的因素。Akamai的首席信息安全官Steve Winterfeld将其缩小到三个主要来源,包括更多系统受到感染成为僵尸网络军队的一部分,他说僵尸网络军队主要包括物联网和联网设备。

其次,他告诉TechTarget Editorial,网络犯罪分子正在提供更多的DDoS工具和IaaS,这降低了进行攻击所需的技能。第三,越来越多的民族国家威胁组织正在利用DDoS攻击来实现政治目标。

Winterfeld 称:“此外,攻击会跟随资金,因此他们对最关键的资产发起攻击,即网站和API。随着我们过渡到更高的员工和客户在线参与度,这些保护措施比以往任何时候都更加重要。”

Radware高级安全解决方案负责人Eyal Arazi认同,地缘政治动机在DDoS攻击的增加中发挥了重要作用。Radware 观察到 2021 年至 2022 年间 DDoS 攻击的数量增加150%。网络安全供应商缓解了2 月至 4 月期间发生的一次攻击,该攻击总共产生了 150 亿个请求。

他说,新一波强大的攻击可以追溯到2022年2月俄罗斯入侵乌克兰,特别是与Killnet和NoName等俄罗斯国家赞助的团体有关。在国家的支持下,包括Anonymous Sudan在内的组织拥有建立更大、更强大的僵尸网络的资源,现在这种攻击资源正在传播。

Arazi说,针对以色列、印度、澳大利亚和其他国家发生了一波出于政治动机的DDoS攻击。Radware的威胁情报发现黑客在2月中旬至4月中旬期间声称的1800多次DDoS攻击。

他提出的一个重大问题是,新攻击会伪装成合法流量,因为它们是用HTTPS加密,这使得缓解服务更难检测到恶意请求。

Arazi 称:“这些新攻击的最大变化之一是转向第7层DDoS攻击,特别是HTTP / S DDoS攻击。这种转变带来新的复杂性,使攻击者能够发起比以往任何时候都更具破坏性的攻击。这些攻击每秒的请求数很高,行为复杂,伪装成合法流量,解密后不会被注意到。”

DDoS攻击在以破坏为目标的政治动机的网络犯罪分子中特别受欢迎。风险管理供应商Vulcan Cyber公司高级技术工程师Mike Parkin表示,鉴于目前的地缘政治局势,他对看到复杂且极具破坏性的攻击并不感到惊讶。Parkin告诉TechTarget Editorial :“也就是说,网络犯罪分子有时仍然会使用DDoS并要求付款以将其关闭,而州级威胁可能会使用勒索软件来隐藏他们的动机。”

当前的缓解措施旨在防御批量攻击,但Parkin指出,威胁参与者已经从简单的洪水转向更复杂的技术。一种更高级的方法涉及攻击者使用 Web 服务器的行为来对付它。

Parkin说:“与其说100000个机器人发送洪水,不如说我有50个机器人快速连续发送简单的查询,从而打击目标的资源。当攻击者找到通过内容分发网络并直接攻击源服务器时,情况会更糟。”

改进缓解策略

本月针对微软的DDoS攻击凸显了当前缓解措施中的漏洞。为了遏制攻击,微软建议客户配置其 Azure Web 应用程序防火墙,以启用机器人保护并阻止恶意 IP 地址。一些安全专家质疑,当科技巨头成为受到攻击的企业时,为什么客户需要采取行动。

但Arazi表示,问题不在于微软本身,而在于整个传统的DDoS保护方法。虽然大多数 DDoS 缓解措施依赖于已知攻击的静态签名并应用暴力缓解技术,但新一代攻击工具使用规避技术,例如随机标头参数、动态请求参数、IP 欺骗等。

Arazi称:“传统上,DDoS缓解解决方案集中在第3层和第4层,以防止容量耗尽网络层攻击。但是,当你在应用层发起攻击时,很难区分合法请求和恶意请求。此外,今天的大多数网络流量都是在HTTPS下加密的,这意味着默认情况下数据包的有效载荷被加密给外部观察者。这使得传统的缓解工具更难识别恶意请求。”

TechTarget企业战略集团高级分析师John Grady表示,第7层DDoS攻击通常功能不那么强大,但更难缓解,因为它们专门针对合法的应用程序进程。考虑到威胁行为者可用的计算资源、工具和技术的数量,他们可以使用多种方法造成长期中断,就像Storm-1359对微软所做的那样。

Grady说:“这些横向或地毯式轰炸攻击迫使安全团队评估更广泛的资源,以了解正在发生的事情并确定如何补救。”

由于攻击模式在不断变化,Arazi说新方法应该基于动态行为检测和缓解。

Akamai 六月的博客文章中强调了新兴的 DDoS 威胁。一种被供应商称为“PhoneHome”的攻击媒介是一种新的反射DDoS媒介,具有“破纪录的潜在放大率”。Akamai观察到PhoneHome部署在野外以发起多次DDoS攻击。第二个名为“TCP Middlebox Reflection”,Akamai 归类为放大向量。它利用公司和国家防火墙来反映针对受害者的流量。

为了防范新兴媒介,Akamai 建议审查关键子网和 IP 空间,确保 DDoS 安全控制处于始终在线的缓解态势,并组建一个危机响应团队,准备好事件响应计划。

Winterfeld 称:“重要的是,在受到攻击之前测试你的DDoS保护并验证你的保护机制。”

我们一直都在努力坚持原创.......请不要一声不吭,就悄悄拿走。

我原创,你原创,我们的内容世界才会更加精彩!

【所有原创内容版权均属TechTarget,欢迎大家转发分享。但未经授权,严禁任何媒体(平面媒体、网络媒体、自媒体等)以及微信公众号复制、转载、摘编或以其他方式进行使用。】

微信公众号

TechTarget微信公众号二维码

TechTarget

官方微博

TechTarget中国官方微博二维码

TechTarget中国

电子邮件地址不会被公开。 必填项已用*标注

敬请读者发表评论,本站保留删除与本文无关和不雅评论的权力。

翻译

邹铮
邹铮

相关推荐

  • 4种类型的访问控制

    完善的身份和访问管理(IAM)策略需要正确利用政策、流程和技术。当企业想通过零信任网络安全原则取得成功时,这些 […]

  • 10款API安全测试工具帮助降低风险

    API是现代应用程序架构的核心。然而,由于其重要性以及提供数据和资源访问的能力,它们经常成为攻击者的目标。 A […]

  • 如何防止DDoS攻击

    分布式拒绝服务(DDoS)攻击,尽管广为人知,但仍然是恶意行为者用来对企业造成财务和声誉损害的常见的方法。 然 […]

  • API安全成熟度模型用于评估API安全态势

    随着企业使用的API数量不断增加,保护这些代码位比以往任何时候都更加重要,它们使软件能够通信。为此,团队必须审 […]