【企業資安防護守門員】1.44 Tbps、809 Mpps 規模的 DDoS 攻擊,Akamai 連續兩次實現 0 秒解除

2020 年上半年,整個世界都經歷了很多事件,尤其當社交距離、遠程辦公成為新常態,不僅影響著我們的日常生活,也對網路的運行模式和規則產生了深遠影響。例如,DDoS 攻擊,早些年我們在一些大規模攻擊中記錄到的一些嚴重案例,現在已經逐漸成為全新攻擊手段的「基本水準」,這不免讓人有些擔憂了。

DDoS 攻擊並不是什麼新手段,但伴隨著全球網路基礎架構和網路應用的快速發展,其攻擊規模已經從最初幾百兆發展到幾百個 G 甚至是幾個 T 的規模,一次又一次超越了我們的想像力。近一兩年,大規模全球性 DDoS 攻擊事件似乎不如前幾年那麼兇猛,是否 DDoS 的攻擊模式已經過時?

並非如此!從 Akamai 在 2020 年 6 月發現並解除的 2 次大規模攻擊中可以發現:DDoS 攻擊不僅沒有走向衰落,而且隨著網路新常態的出現,正在以更多、更複雜的方式呈現出來!

DDoS 攻擊紀錄在一個月內連續被打破

Akamai 安全運營控制中心(SOCC)有一個專門負責 Prolexic 平台的團隊,該團隊的主要任務是透過不斷改善的自動化工具和專業知識,幫助客戶解決持續不斷發生的 DDoS 攻擊。

最近不到一個月時間裡,該團隊已經成功處理了 Akamai 平台上客戶遭遇的兩次從不同指標來看,都屬於到目前為止最大規模的 DDoS 攻擊:

Akamai_DDoS 攻擊
Akamai 平台上 – DDoS 攻擊紀錄在一個月內連續被打破 (圖片來源:Akamai)
  • 第一次,最大 BPS: 2020 年 6 月的第一周,Akamai 平台上觀察到來自全球的高達 1.44 Tbps 的攻擊流量,每秒收到的封包多達 3.85 億個(385 Mpps)。這是 Akamai 平台監控到的自 2018 年 GitHub 遭受 1.3 Tbps 流量攻擊以來,再一次歷史新高。這次攻擊主要針對一家網路託管服務提供商,整個攻擊持續了約兩小時。
  • 第二次,最大 PPS: 6 月 21 日,Akamai 平台再次偵測到每秒高達 8.09 億個封包(809 Mpps)的 DDoS 攻擊。而這次攻擊的受害者是歐洲某銀行客戶,雖然攻擊時間只有 10 分鐘,但是對於銀行的業務影響可是相當嚴重。

三個面向解析兩次重大攻擊

前後不到一個月時間裡,DDoS 攻擊的記錄連續兩次被打破,這些攻擊有哪些特色?

1. 攻擊規模

在上述兩次大規模 DDoS 攻擊事件中,與規模有關的兩個概念值得引起我們的重視:BPS 和 PPS。

BPS: Bits per second,是衡量網路頻寬的指標,對於流量型的 DDoS 攻擊,就是要構建足夠大的攻擊流量去淹沒受害者的入口頻寬,從而使得正常請求無法回應。比如像對於網路託管提供商,數據中心等類型用戶的攻擊,如果入口頻寬被阻塞,將直接影響其所有的業務。

PPS: Packets per second,指每秒設備所處理的封包的數目,反映了設備的處理能力。對於資源消耗型 DDoS 攻擊,通常會構成小封包,這樣在相同頻寬的情況下,可以獲得更多的封包,從而消耗攻擊目標的 CPU 等計算資源。所以像銀行或者網路應用業務,由於很依賴於服務器處理的能力,便很容易遭受這種類型的攻擊。本次被發現的攻擊,其構成的封包只有 1 位位元負載,有效封包長度為 29 位位元。

如果用一個更具體的例子來解釋,可以想像有一家雜貨店,顧客打算結帳付款。基於 BPS 的高頻寬攻擊,類似於有上千人排隊等著結帳,每個人都買了一購物車的東西;而基於 PPS 的攻擊,更像是有上百萬人排著隊等待結帳,但每個人只買了一包口香糖。無論任何一種方式,最終結果都是:服務或網路難以招架洶湧而來的流量,進而崩潰或中斷。

2. 攻擊向量

除了規模,第一次攻擊最特別的地方在於,共使用了九個不同攻擊向量(ACK 洪水、CLDAP 反射、NTP 洪水、RESET 洪水、SSDP 洪水、SYN 洪水、TCP 異常、UDP 洪水、UDP 片段)以及多個殭屍網絡攻擊工具。其實多向量攻擊已經非常普遍,僅 2020 年至今,由 Prolexic 平台緩解的攻擊中,就有約 33% 包含三個或更多攻擊向量,目前發現最複雜的攻擊共包含 14 個攻擊向量。

3. IP 位址暴露

在第二次攻擊中使用了大量 IP 位址,而且 96% 的源地址並沒有在 2020 年以前的攻擊中出現過。透過追蹤這些來源地址,Akamai 發現他們都參與了多起攻擊事件。結合 ISP 的 AS 域進行分析發現,這些地址來自於大量被入侵的用戶終端,這和疫情下大量不受控終端設備連接網路不無關係。

全方位部署資安策略,再厲害的 DDoS 攻擊也能即時解決

面對規模和複雜度日益增加的 DDoS 攻擊,我們認為唯一有效並且可行的應對方式是自動解決和人工解決技術的結合,這一過程離不開技術、人員以及流程的有效配合。

具體到上述兩次攻擊,Akamai 均實現了 0 秒解決的服務承諾,這是基於 Akamai 對於 DDoS 攻擊向量和解決措施的累積,所以能夠預先檢測攻擊威脅並能部署主動緩解。

換句話說,DDoS 攻擊的規模變得越來越大,也越來越複雜,如果缺乏經歷過實戰考驗的 DDoS 解決措施,最終可能只會造成更大的災難。

不過好在對於 Akamai 以及 SOCC 團隊來說,由於我們獨特的技術、人員和流程組合,我們能夠解決大型攻擊。這只是我們每天的日常,我們每天都會在實戰中磨合、演練並增進自己的安全防護能力,進而為客戶提供更充分的保障。

完整報導-資料來源: https://buzzorange.com/techorange/2020/12/31/ddos-attack-akamai/

相關解決方案: DDoS與WAF(L7)威脅防護

Tagged with: