阿里云安全运营中心:DDoS攻击趁虚而入,经过代理攻击已成常态

应用层DDoS攻击与传统的DDoS攻击有着很大不一样。传统的DDoS攻击经过向攻击目标发起大流量并发式访问形成服务不可用,系统瘫痪,这种方式比较容易被识破,且市场上已经有成熟的应对方案。而近年来兴起的应用层DDoS攻击流量则会假装成正常的流量,甚至和正常业务同样,绕过防护设备,形成企业服务器不可用,业务卡顿等,对防护方形成很大困扰。安全

阿里云安全运营中心对疫情期间的应用层DDoS攻击事件作了深刻分析,但愿给企业提高防护水位提供参考。服务器

疫情期间攻击量级持续高位

此次疫情爆发在春节期间,2020年1-3月份抗击疫情期间应用层DDoS攻击量持续处于高位。尤为是1月中旬到2月中旬疫情最严重时期,攻击量与春节前期相比,有了明显大幅提高。从图1能够看出,攻击者在抗击疫情期间“趁虚而入”,试图从中获利。并发

1

游戏、医疗和在线教育行业成全新重点目标

据阿里云安全运营中心统计分析发现,2020年1月16日到3月15日疫情期间,应用层DDoS攻击环比增加幅度排名前三的分别为医疗、在线教育及在线办公、游戏三大行业,如图2所示。性能

2

在这期间,医疗、在线教育及在线办公获得了史无前例的关注,大量资源开始投入到这两大行业中。因为黑客逐利属性的驱使,使得这两大行业也成为重点攻击对象。同时不难看出,疫情期间,你们闭门在家,可选的娱乐活动有限,使得游戏行业异常火爆,也所以使得游戏行业受攻击数量环比增加超过300%。网站

主要攻击来源演变为代理、感染肉鸡、云平台服务器

经过对疫情期间数百起应用层DDoS攻击事件及数亿次攻击请求作图聚类分析发现,攻击来源主要分为三类:代理、感染肉鸡、各大云平台服务器,且单次攻击的攻击来源类型单一,如图3所示。阿里云

3

从图3能够发现,单次攻击一般利用单一攻击来源发起攻击,交叉使用不一样攻击源发起的攻击数量较少。举例来讲,若是一次攻击利用了代理做为攻击源,那就几乎再也不同时利用感染肉鸡或云平台服务器发起攻击。spa

不一样攻击类型特色不一样,企业须要作好相应的防护措施

经过不一样攻击源发起攻击的次数占比分别为,代理攻击源占比78.6%,感染肉鸡攻击占比20.65%,各大云平台服务器攻击占比0.68%。如图4所示。3d

4

不一样类型的攻击源占比分别为,代理攻击用到的攻击源占比为12.40%,感染肉鸡攻击用到的攻击源占比为87.42%,各大云平台服务器攻击用到的攻击源占比0.18%。如图5所示。代理

5

对图4图5综合分析,咱们能够看出:对象

1)代理攻击已成为常态,企业须要足够重视

代理攻击在全部攻击事件中占比最高,而攻击源个数仅占12.40%。对攻击者而言,此类攻击源性价比最高,攻击IP易得到且成本低廉,用于攻击时攻击性能较好,因此成为攻击中的主力军。

对企业而言,咱们建议在放行业务相关代理的基础上,对无需使用代理访问的网站封禁代理,可在防护中起到“四两拨千斤”的效果。

2)感染肉鸡攻击源分散,企业应动态调整防护策略

经过感染肉鸡发起的攻击事件占比为20.65%,但攻击源个数最多,占比达87.42%。这类攻击的攻击源极为分散,且对应IP每每为宽带/基站出口IP。对攻击者而言,此类攻击源在线状况并不稳定,单个攻击源攻击性能通常。

对于这类攻击源发起的攻击,不建议企业采用IP粒度的防护方式。感染肉鸡对应的IP每每是宽带/基站出口IP,背后的正经常使用户不少,封禁一个历史攻击IP的代价有多是阻止成百上千的潜在用户正常访问。

更进一步来说,感染肉鸡的IP变化较快,设备位置的变化以及运营商的IP动态分配机制都会改变它们的IP,从而容易绕过封禁。

防御此类攻击,须要基于正常业务请求特性,事前封禁不可能出现的请求特征,如纯APP业务可封禁来自PC端的请求;或事中基于正常业务请求及攻击请求的差别性,动态地调整策略。

3)借云平台发起攻击量明显下降

借助各大云平台服务器发起的攻击事件占比最少,仅为0.68%,且攻击源个数仅为0.18%。这得益于各大云平台针对DDoS攻击作了严格管控,也形成攻击者使用此类攻击源攻击的固定成本较高。

所以,咱们建议若是发现攻击源IP来自少数几个C段,且正常状况下不多有该IP段的请求来访问,能够考虑将其封禁,避免潜在的恶意请求。

安全建议

基于上述分析,针对如何防护应用层DDoS攻击,咱们给出以下建议:

1. 拉黑历史攻击IP有风险,添加需谨慎

拉黑先前攻击中出现过的攻击源是较为常见的过后防护加固手段,当遭遇攻击来自代理或各大云平台服务器时,这一作法确实对后续的攻击在必定程度上有免疫效果。然而,假若赶上的是感染肉鸡发起的攻击,那封禁历史攻击IP的作法就是“杀敌一万,自损三千”了。所以,拉黑历史攻击IP前要先对攻击源类型加以区分,避免风险。

2.仅限制访问频率高的IP,防护效果有限

拉黑高频请求的IP是最传统的事中防护手段,在攻击源个数较少时,这样的作法是很是有效的。然而,上述三大类攻击中任何一类,哪怕是攻击源占比最小的各大云平台服务器,观测到的攻击源数量都在万量级。这意味着,即便防护策略严苛到每秒每一个IP只放行一个请求,每秒总计会有上万的请求涌向网站,绝大多数中小网站的服务器也是没法承受的。所以,要彻底压制攻击,须要打出组合拳:事前尽量封禁不可能出现的请求来源及请求特征;事中基于攻击与正常业务的差别动态精细化调整防护策略。频次策略只能起到辅助防护的做用。​

相关文章
相关标签/搜索