新一波强大的DDoS攻击已经在整个威胁领域出现，网络安全供应商表示，以前的缓解措施变得越来越无效。

过去一年中，针对微软和谷歌等知名供应商的攻击代表着向应用层或第7层DDoS攻击的转变，但并不止于此。随着攻击者开始利用新攻击技术（利用互联网架构协议，例如HTTP 和 DNS）发起极具破坏性的攻击，这种快速发展的威胁正在影响各种规模的企业。

新技术的采用、DDoS 即服务的增长、攻击媒介的扩大以及对更强大的僵尸网络的访问，仅在过去几个月内就导致破纪录的 DDoS 攻击。然而，供应商观察到过去几年的频率、速度和复杂性都有所上升。

上周，Akamai Technologies发布了一篇名为《DDoS攻击的无情演变》的博客。Akamai 产品经理 Craig Sparling 和 Max Gebhardt 强调DDoS威胁的发展速度。两人警告说，“以最小成本提供最大影响的攻击媒介将不可避免地越来越受欢迎”。

Sparling和Gebhardt在博客中写道：“2010年排名前五的媒介占所有攻击的90%，而今天的前五名仅占所有攻击的55%。这种转变不仅突显了现代DDoS工具包的日益复杂，而且还突显了安全团队抵御蓬勃发展的威胁库的巨大压力。”

本月早些时候针对微软的攻击突显了DDoS对企业构成的威胁，无论其规模和资源如何。这家科技巨头证实，Microsoft 365和Azure等服务的广泛中断是由DDoS攻击引起，并将其归因于名为“Storm-1359”攻击者。该团伙也被称为Anonymous Sudan，使用技术来规避以前的缓解策略，包括Slowloris和缓存绕过攻击。

今年2月，Cloudflare透露，他们已经缓解了“破纪录”的每秒7100万个请求（rps）DDoS攻击。这次攻击是一篇博客文章中强调的众多攻击之一，该文章显示该公司在一个周末“检测并缓解了数十次超容量DDoS攻击”。大多数在 50 到 70 rps 之间达到峰值，但有一个脱颖而出。

Cloudflare 写道：“这是有记录以来报告的最大 HTTP DDoS 攻击，比 2022 年 6 月报告的 46M rps 记录高出 54% 以上。”

二月份的博客文章强调了过去几个月攻击的“规模，复杂性和频率”在增加。此外，Cloudflare 的 2022 年第四季度 DDoS 威胁报告确定，HTTP DDoS 攻击的数量同比增加了 79%。

2022 年的另一次重大 HTTP DDoS 攻击针对的是Google Cloud Armor客户，但没有成功。在去年 8 月的一篇博客文章中，谷歌证实他们已在 6 月 1 日阻止了第 7 层 DDoS 攻击，该攻击的峰值为4600万rps。与Cloudflare一样，该供应商还观察到，过去几年DDoS攻击的频率有所增加，并且“呈指数级增长”。

近年来，随着越来越多的企业将工作负载和应用程序转移到云端，威胁参与者通过瞄准扩大的攻击面来加快这一趋势。直到最近，大部分DDoS活动都得到了缓解，造成的中断最小。但专家表示，由于几个因素，威胁格局已经改变。

地缘政治目标推动 DDoS 攻击

除攻击面的增长之外，供应商还确定了一系列导致DDoS危险增加的因素。Akamai的首席信息安全官Steve Winterfeld将其缩小到三个主要来源，包括更多系统受到感染成为僵尸网络军队的一部分，他说僵尸网络军队主要包括物联网和联网设备。

其次，他告诉TechTarget Editorial，网络犯罪分子正在提供更多的DDoS工具和IaaS，这降低了进行攻击所需的技能。第三，越来越多的民族国家威胁组织正在利用DDoS攻击来实现政治目标。

Winterfeld 称：“此外，攻击会跟随资金，因此他们对最关键的资产发起攻击，即网站和API。随着我们过渡到更高的员工和客户在线参与度，这些保护措施比以往任何时候都更加重要。”

Radware高级安全解决方案负责人Eyal Arazi认同，地缘政治动机在DDoS攻击的增加中发挥了重要作用。Radware 观察到 2021 年至 2022 年间 DDoS 攻击的数量增加150%。网络安全供应商缓解了2 月至 4 月期间发生的一次攻击，该攻击总共产生了 150 亿个请求。

他说，新一波强大的攻击可以追溯到2022年2月俄罗斯入侵乌克兰，特别是与Killnet和NoName等俄罗斯国家赞助的团体有关。在国家的支持下，包括Anonymous Sudan在内的组织拥有建立更大、更强大的僵尸网络的资源，现在这种攻击资源正在传播。

Arazi说，针对以色列、印度、澳大利亚和其他国家发生了一波出于政治动机的DDoS攻击。Radware的威胁情报发现黑客在2月中旬至4月中旬期间声称的1800多次DDoS攻击。

他提出的一个重大问题是，新攻击会伪装成合法流量，因为它们是用HTTPS加密，这使得缓解服务更难检测到恶意请求。

Arazi 称：“这些新攻击的最大变化之一是转向第7层DDoS攻击，特别是HTTP / S DDoS攻击。这种转变带来新的复杂性，使攻击者能够发起比以往任何时候都更具破坏性的攻击。这些攻击每秒的请求数很高，行为复杂，伪装成合法流量，解密后不会被注意到。”

DDoS攻击在以破坏为目标的政治动机的网络犯罪分子中特别受欢迎。风险管理供应商Vulcan Cyber公司高级技术工程师Mike Parkin表示，鉴于目前的地缘政治局势，他对看到复杂且极具破坏性的攻击并不感到惊讶。Parkin告诉TechTarget Editorial ：“也就是说，网络犯罪分子有时仍然会使用DDoS并要求付款以将其关闭，而州级威胁可能会使用勒索软件来隐藏他们的动机。”

当前的缓解措施旨在防御批量攻击，但Parkin指出，威胁参与者已经从简单的洪水转向更复杂的技术。一种更高级的方法涉及攻击者使用 Web 服务器的行为来对付它。

Parkin说：“与其说100000个机器人发送洪水，不如说我有50个机器人快速连续发送简单的查询，从而打击目标的资源。当攻击者找到通过内容分发网络并直接攻击源服务器时，情况会更糟。”

改进缓解策略

本月针对微软的DDoS攻击凸显了当前缓解措施中的漏洞。为了遏制攻击，微软建议客户配置其 Azure Web 应用程序防火墙，以启用机器人保护并阻止恶意 IP 地址。一些安全专家质疑，当科技巨头成为受到攻击的企业时，为什么客户需要采取行动。

但Arazi表示，问题不在于微软本身，而在于整个传统的DDoS保护方法。虽然大多数 DDoS 缓解措施依赖于已知攻击的静态签名并应用暴力缓解技术，但新一代攻击工具使用规避技术，例如随机标头参数、动态请求参数、IP 欺骗等。

Arazi称：“传统上，DDoS缓解解决方案集中在第3层和第4层，以防止容量耗尽网络层攻击。但是，当你在应用层发起攻击时，很难区分合法请求和恶意请求。此外，今天的大多数网络流量都是在HTTPS下加密的，这意味着默认情况下数据包的有效载荷被加密给外部观察者。这使得传统的缓解工具更难识别恶意请求。”

TechTarget企业战略集团高级分析师John Grady表示，第7层DDoS攻击通常功能不那么强大，但更难缓解，因为它们专门针对合法的应用程序进程。考虑到威胁行为者可用的计算资源、工具和技术的数量，他们可以使用多种方法造成长期中断，就像Storm-1359对微软所做的那样。

Grady说：“这些横向或地毯式轰炸攻击迫使安全团队评估更广泛的资源，以了解正在发生的事情并确定如何补救。”

由于攻击模式在不断变化，Arazi说新方法应该基于动态行为检测和缓解。

Akamai 六月的博客文章中强调了新兴的 DDoS 威胁。一种被供应商称为“PhoneHome”的攻击媒介是一种新的反射DDoS媒介，具有“破纪录的潜在放大率”。Akamai观察到PhoneHome部署在野外以发起多次DDoS攻击。第二个名为“TCP Middlebox Reflection”，Akamai 归类为放大向量。它利用公司和国家防火墙来反映针对受害者的流量。

为了防范新兴媒介，Akamai 建议审查关键子网和 IP 空间，确保 DDoS 安全控制处于始终在线的缓解态势，并组建一个危机响应团队，准备好事件响应计划。

Winterfeld 称：“重要的是，在受到攻击之前测试你的DDoS保护并验证你的保护机制。”