你可能會(huì)想:為什么在2022年我們?nèi)匀粫?huì)遇到分布式拒絕服務(wù)(DDoS)攻擊?兩個(gè)原因:

●現(xiàn)代DDoS攻擊已經(jīng)變得更加有利可圖和商品化

●防御者還沒(méi)有找到一種方法讓DDoS帶來(lái)比它本身更大的麻煩

趨勢(shì)表明，差距可能正在擴(kuò)大，但新興的最佳實(shí)踐可能會(huì)讓防守方的時(shí)間倒流……

只需500美元，任何人都可以支付DDoS訂閱服務(wù)來(lái)發(fā)起DDoS攻擊。Microsoft

???

2022年DDoS攻擊會(huì)是什么樣子

自1974年一個(gè)高中生發(fā)起第一次DDoS攻擊以來(lái)(當(dāng)時(shí)SecOps還不存在)，DDoS攻擊已經(jīng)造成了近40年的嚴(yán)重破壞。拒絕服務(wù)(DoS)的基本目標(biāo)沒(méi)有改變:

通過(guò)大量同時(shí)發(fā)出的請(qǐng)求使網(wǎng)站、服務(wù)或底層網(wǎng)絡(luò)基礎(chǔ)設(shè)施不堪重負(fù)而關(guān)閉正常的業(yè)務(wù)運(yùn)行。

常見(jiàn)的DDOS攻擊

DDoS攻擊已經(jīng)發(fā)展成為一個(gè)大規(guī)模的、經(jīng)過(guò)時(shí)間考驗(yàn)的行業(yè)。

目標(biāo)相同，目標(biāo)更多

惡意、貪婪和政治壓力仍然是驅(qū)動(dòng)DDoS攻擊的主要?jiǎng)訖C(jī)。實(shí)際上，任何公司(或任何虛擬公司)現(xiàn)在都可能成為攻擊目標(biāo)，從云提供商和電子商務(wù)門(mén)戶(hù)到金融經(jīng)紀(jì)公司和世界上的優(yōu)步(uber)。

造成更多傷害

在將DDoS商品化的過(guò)程中，威脅行動(dòng)者通過(guò)Clearnet和Darknet上的市場(chǎng)為幾乎每個(gè)人提供了一種強(qiáng)大的武器。這一過(guò)程變得更加高效，即使成功的攻擊數(shù)量略有減少，但被攻擊企業(yè)的成本仍在繼續(xù)上升。今天的攻擊每分鐘讓企業(yè)損失2.2萬(wàn)美元，2021年的攻擊每分鐘損失超過(guò)20萬(wàn)美元(Radware)。

現(xiàn)代攻擊似乎也更容易成功。到2022年，DDoS的年增長(zhǎng)率為109%。Nexusguard的研究表明，在FH’22年，DDoS攻擊比2021年下半年增加了75.6%，應(yīng)用程序攻擊比2021年下半年增加了330%，放大攻擊增加了106.7%

DDoS攻擊在2022年第三季度穩(wěn)步增長(zhǎng)，特別是由專(zhuān)業(yè)人員進(jìn)行的DDoS攻擊。與去年同期相比，復(fù)雜的攻擊數(shù)量翻了一番，而黑客活動(dòng)分子的攻擊數(shù)量在前兩個(gè)季度顯著上升之后，在第三季度幾乎消失了。

復(fù)雜程度的新水平

今天精心策劃和商品化的攻擊與他們的早期祖先沒(méi)有什么相似之處:

◎使用僵尸網(wǎng)絡(luò)：大量有效請(qǐng)求來(lái)自受感染的pc和物聯(lián)網(wǎng)設(shè)備(溫度/水/占用傳感器，閉路電視攝像機(jī)，CPE等)的大型全球網(wǎng)絡(luò)，這些設(shè)備被惡意軟件感染，變成機(jī)器人(通過(guò)“僵尸網(wǎng)絡(luò)”連接在一起)。

◎分階段發(fā)生：攻擊可以持續(xù)幾分鐘，幾小時(shí)，甚至幾天，并可能定期重復(fù)

◎有多種類(lèi)型：應(yīng)用程序、協(xié)議和體積攻擊針對(duì)堆棧的每一層

復(fù)雜性混淆防御

DDoS攻擊最初類(lèi)似于合法流量的峰值，這使得它們更難被發(fā)現(xiàn)，防御者的響應(yīng)速度更慢，甚至無(wú)法識(shí)別出跡象：

●來(lái)自單個(gè)IP地址或范圍的過(guò)量流量

●來(lái)自一個(gè)區(qū)域或?yàn)g覽器類(lèi)型的非典型流量

●異?；蚍潜镜亓髁糠逯?/p>

分布式拒絕服務(wù)攻擊現(xiàn)在可能提供了一種多向量“三重勒索勒索軟件”攻擊的元素，旨在從勒索軟件受害者那里榨取更高的報(bào)酬。網(wǎng)絡(luò)罪犯也可能把它當(dāng)作煙霧彈，從惡意軟件插入或數(shù)據(jù)泄露等更復(fù)雜的活動(dòng)中轉(zhuǎn)移資源。

循環(huán)攻擊向量或針對(duì)堆棧多層的活動(dòng)使標(biāo)記異常變得更加困難。威脅參與者還可能將對(duì)DNS服務(wù)器的突發(fā)攻擊與基于加密(SSL/TLS)的攻擊相結(jié)合，使防御者更難檢測(cè)和了解他們?cè)诤螘r(shí)何地受到攻擊。

最重要的是：規(guī)模很重要

研究表明，當(dāng)今DDoS攻擊改變游戲規(guī)則的方面不是其頻率、技術(shù)、成功率，甚至不是其復(fù)雜性，而是其速度。根據(jù)NIST：

這種快速增長(zhǎng)的威脅的特征是，此類(lèi)攻擊的帶寬呈數(shù)量級(jí)增長(zhǎng)(從每秒一億比特到每秒千億比特)，目標(biāo)范圍也在不斷擴(kuò)大(從電子商務(wù)網(wǎng)站到金融機(jī)構(gòu)，再到關(guān)鍵基礎(chǔ)設(shè)施的組件)。

F5《2022年應(yīng)用保護(hù)報(bào)告:DDoS攻擊趨勢(shì)報(bào)告》顯示，超過(guò)250gbps的DDoS攻擊增長(zhǎng)了1300%。Radware報(bào)告稱(chēng)，已知最大的DDoS攻擊發(fā)生在2022年第二季度，最高達(dá)到1.46 Tbps(此后可能發(fā)生了更大的DDoS攻擊)。Radware還報(bào)告客戶(hù)端每月攔截3.39 TB攻擊量。

DDoS緩解的目的是跟上步伐

在任何攻擊中，防御者的目標(biāo)都是相同的:在快速檢測(cè)和關(guān)閉到來(lái)的威脅的同時(shí)，保持業(yè)務(wù)運(yùn)營(yíng)。隨著DDoS攻擊成為一個(gè)有利可圖的行業(yè)，DDoS緩解行業(yè)圍繞著阻止攻擊而發(fā)展起來(lái)。DDoS緩解是指使用專(zhuān)用設(shè)備或基于云的保護(hù)服務(wù)保護(hù)目標(biāo)網(wǎng)絡(luò)和服務(wù)器的過(guò)程。

專(zhuān)家預(yù)計(jì)，DDoS防護(hù)和緩解安全市場(chǎng)將在2027年達(dá)到80億美元，因?yàn)樾屡d的最佳實(shí)踐將使防御方的時(shí)間倒流。

DDoS防御包括監(jiān)控、檢測(cè)以及越來(lái)越多的自動(dòng)化響應(yīng)。許多企業(yè)已經(jīng)運(yùn)行防火墻、負(fù)載均衡器和其他設(shè)備，以創(chuàng)建彈性的、堅(jiān)如磐石的邊界，沒(méi)有單點(diǎn)故障。

現(xiàn)代的DDoS緩解方案和策略還包括在你的服務(wù)器和互聯(lián)網(wǎng)之間部署專(zhuān)門(mén)的Web應(yīng)用防火墻(WAFs)，以過(guò)濾請(qǐng)求和檢測(cè)DoS技術(shù)。WAFs通過(guò)應(yīng)用它設(shè)置的自定義規(guī)則來(lái)應(yīng)對(duì)攻擊。

與服務(wù)提供商和網(wǎng)絡(luò)設(shè)備(路由器、交換機(jī)、服務(wù)器、防火墻)制造商一樣，電子商務(wù)提供商和擁有大量web業(yè)務(wù)的企業(yè)依靠DDoS緩解來(lái)維持業(yè)務(wù)連續(xù)性和聲譽(yù)。關(guān)鍵是要確保它能像宣傳的那樣工作。

對(duì)DDoS緩解進(jìn)行測(cè)試

如果你能輕易分辨好人和壞人，阻止DDoS攻擊就變成了一場(chǎng)與時(shí)間的賽跑。當(dāng)您做不到時(shí)，您需要更大的靈活性、更多的實(shí)踐和更廣泛的經(jīng)過(guò)驗(yàn)證的響應(yīng)，以最小化停機(jī)時(shí)間、避免財(cái)務(wù)損失并盡可能少地加劇客戶(hù)。例如，簡(jiǎn)單地限制帶寬或速率，限制服務(wù)器接受的請(qǐng)求量，不會(huì)讓任何人滿(mǎn)意(即使它會(huì)暫時(shí)減慢攻擊者的速度)。

為了盡可能地做好準(zhǔn)備，您需要在投資之前測(cè)試現(xiàn)有的和預(yù)期的DDoS緩解解決方案和程序，同時(shí)評(píng)估第三方風(fēng)險(xiǎn)，并在日常操作中。證明緩解措施如承諾的那樣有效還可能影響合規(guī)和網(wǎng)絡(luò)保險(xiǎn)保費(fèi)。

從可見(jiàn)性開(kāi)始

給捍衛(wèi)者更多時(shí)間的第一步是理解應(yīng)用程序的正常行為并識(shí)別異常。這些問(wèn)題可能包括服務(wù)降級(jí)、用戶(hù)投訴和不正常的使用模式?？梢?jiàn)性應(yīng)該包含用戶(hù)配置的警報(bào)，當(dāng)流量超過(guò)預(yù)定義的閾值時(shí)，信號(hào)分析人員和實(shí)時(shí)遙測(cè)以加速調(diào)查。

模擬攻擊

下一步是模擬可能類(lèi)似于正常流量的攻擊，以評(píng)估監(jiān)控工具和緩解團(tuán)隊(duì)的響應(yīng)能力。要驗(yàn)證您檢測(cè)和破壞當(dāng)今大規(guī)模DDoS/勒索軟件活動(dòng)的能力，需要四個(gè)重要的模擬能力：

●現(xiàn)實(shí)主義：能夠創(chuàng)建和試驗(yàn)來(lái)自不同國(guó)家的攻擊，使用一系列預(yù)設(shè)和自定義攻擊來(lái)針對(duì)緩解過(guò)程的多個(gè)層面和組件。傳統(tǒng)的測(cè)試通常包括用看起來(lái)來(lái)自單個(gè)設(shè)備的流量淹沒(méi)目標(biāo)。更高級(jí)的流量生成必須用于模擬多個(gè)設(shè)備，這些設(shè)備具有來(lái)自自定義混合國(guó)家的唯一IP或MAC地址。

●規(guī)模：模擬器必須每秒生成多個(gè)tb級(jí)的攻擊，要么一次性全部發(fā)起，要么緩慢上升以避免被檢測(cè)。

●可重復(fù)性：任何有價(jià)值的測(cè)試過(guò)程中最關(guān)鍵的方面，管理員在比較解決方案和調(diào)整配置時(shí)必須重復(fù)測(cè)試，以查看更改對(duì)針頭的影響有多大。

●易用性：否則人們不會(huì)這么做。

考慮到這些標(biāo)準(zhǔn)，Apposite開(kāi)發(fā)了DDoS Storm用于使用Netropy流量生成器進(jìn)行擴(kuò)展的網(wǎng)絡(luò)安全測(cè)試。DDoS Storm讓制造商、供應(yīng)商和企業(yè)IT團(tuán)隊(duì)能夠在幾分鐘內(nèi)模擬評(píng)估監(jiān)測(cè)、檢測(cè)和DDoS防御。

步驟1：配置攻擊和目標(biāo)

用戶(hù)將DDoS Storm配置為充當(dāng)攻擊者(使用一個(gè)端口)或同時(shí)充當(dāng)攻擊者和被攻擊者(使用兩個(gè)端口)。一個(gè)或多個(gè)目標(biāo)可以包括防火墻、路由器、DNS或web服務(wù)器，或DDoS緩解服務(wù)和與電子商務(wù)門(mén)戶(hù)相關(guān)的功能。

步驟2：配置機(jī)器人

徹底的測(cè)試需要從特定區(qū)域產(chǎn)生流量。管理員可以使用DDoS Storm的交互式世界地圖來(lái)指定攻擊的組成，定義用于啟動(dòng)活動(dòng)的機(jī)器人將包含的時(shí)間、地點(diǎn)和設(shè)備數(shù)量。

步驟3：配置負(fù)載配置文件

攻擊配置文件指定了來(lái)自每個(gè)區(qū)域的流量的百分比，以及攻擊是一次性全部加載還是隨著時(shí)間的推移緩慢加載。攻擊可以針對(duì)實(shí)際設(shè)備(只需輸入真實(shí)的目標(biāo)IP地址)，或者DDoS Storm可以模擬目標(biāo)設(shè)備，以避免破壞生產(chǎn)環(huán)境的防御，或者在購(gòu)買(mǎi)之前評(píng)估潛在的新解決方案。

步驟4：配置攻擊

最后但并非最不重要的是，選擇目標(biāo)層。測(cè)試人員可以拖放選擇一層或混合層2、3和4-7流量。Apposite測(cè)試庫(kù)包含128種預(yù)定義的攻擊變種。

典型攻擊總結(jié)

步驟5：評(píng)估你的結(jié)果

在這里，你將看到目標(biāo)發(fā)送和接收了多少數(shù)據(jù)包，并通過(guò)圖表說(shuō)明了每個(gè)攻擊流的每秒數(shù)據(jù)包數(shù)(PPS)、吞吐量和延遲。如果所有模擬的DDoS數(shù)據(jù)包都被識(shí)別并丟棄，防御就會(huì)有效地工作。如果到達(dá)目標(biāo)的數(shù)據(jù)包過(guò)多，可能會(huì)對(duì)設(shè)備或配置進(jìn)行更新和重新測(cè)試。

不要在沒(méi)有測(cè)試DDoS緩解措施的情況下進(jìn)行轉(zhuǎn)換

今天的混合基礎(chǔ)設(shè)施天氣不斷變化。在云中來(lái)回移動(dòng)服務(wù)會(huì)創(chuàng)建新的可用區(qū)域、新的地理目標(biāo)位置，并且經(jīng)常臨時(shí)暴露基礎(chǔ)設(shè)施，而沒(méi)有添加足夠的保護(hù)。加速的數(shù)字化變革繼續(xù)使網(wǎng)絡(luò)安全——尤其是像DDoS這樣的老后備系統(tǒng)——成為每個(gè)人的工作。

DDoS Storm使工作變得簡(jiǎn)單。