《2015年上半年DDoS威脅報告》中,綠盟科技發(fā)現(xiàn)DDoS攻擊存在兩極分化的態(tài)勢,大流量攻擊不斷增長(>100G的攻擊有33起)并開始走向云端,小流量攻擊(1分鐘以下42.74%)變身脈沖及慢速攻擊,主要針對行業(yè)業(yè)務(wù)特性。在此背景下,攻擊流量呈現(xiàn)混合化,并以UDP混合流量為主(72%)。
面對如此惡劣的DDoS攻擊態(tài)勢,主管機(jī)構(gòu)、運(yùn)營商、行業(yè)組織、廠商及用戶都在不斷開展DDoS治理及緩解工作,在解決方案除了本地清洗、云清洗方案之外,更出現(xiàn)了分層清洗、信譽(yù)云及近源清洗多種方案及實踐。
與此同時,基于SDN的攻擊模式及緩解技術(shù),更讓筆者眼前一亮,由此也預(yù)測這些演變將與云計算及大數(shù)據(jù)一起,催生DDoS防護(hù)向下一代DDoS防護(hù)及APT時代邁進(jìn)。
很多人的印象中,DDoS是一種野蠻的攻擊方式,我們就來重點看一下DDoS是如何和APT扯上關(guān)系的?報告指出了幾個特點:
攻擊業(yè)務(wù)多樣化
DDoS多年難以治理,有一方面原因就是因為業(yè)務(wù)形態(tài)的多樣性。隨著業(yè)務(wù)形態(tài)的不斷發(fā)展及演變,結(jié)構(gòu)及業(yè)務(wù)流程越來越復(fù)雜,攻擊者無時無刻不在反復(fù)跟蹤分析這些業(yè)務(wù)特點及可能存在的問題,而攻擊形式也隨之而變。
攻擊流量多樣化
在2015年上半年數(shù)據(jù)顯示,在DDoS攻擊中,攻擊者往往混合使用多種攻擊手段和多種類型的攻擊源。UDP混合流量占主要比重,達(dá)到72%。這些流量組合正如前面的分析所展示的那樣,并非無的放矢,而是跟隨業(yè)務(wù)的特性發(fā)生的變化。
圖 UDP混合流量占據(jù)大比例
攻擊設(shè)備多樣化
如今,用戶連接互聯(lián)網(wǎng)的設(shè)備越來越多樣化,在終端方面,已經(jīng)不再局限于PC,更多的設(shè)備也包括平板電腦、手機(jī)、電視等智能終端;同時,反射放大式攻擊,讓業(yè)界清晰的認(rèn)識到,DDoS可利用的設(shè)備也不再局限于終端,更多的設(shè)備也包括路由器、打印機(jī)、攝像頭、掃描儀等智能設(shè)備。
在2014年的報告中,綠盟科技統(tǒng)計了全球的這些可能被利用的智能設(shè)備超過80萬,在6月份的數(shù)據(jù)中,我們統(tǒng)計了全球SSDP協(xié)議設(shè)備的分布狀況(如下圖),顯然一情況并未得到大的改觀,這也是基于SSDP協(xié)議的放大攻擊仍舊肆虐的原因。在此我們呼吁這些設(shè)備的廠商盡快發(fā)布相關(guān)補(bǔ)丁or升級相關(guān)固件,最終用戶也需要隨時關(guān)注升級信息,盡快升級及采用對應(yīng)的防護(hù)措施,不要被利用,成為“攻擊者”!同時,在智能設(shè)備增加、混合流量攻擊模式下,傳統(tǒng)的業(yè)務(wù)場景和思路可能需要考慮新的模式和新的應(yīng)用場景。
圖 全球SSDP分布情況
在這些智能設(shè)備中,手機(jī)等相關(guān)移動終端的大量接入及快速增長,勢必造成互聯(lián)網(wǎng)環(huán)境的改變,而且它們?nèi)狈κ芷毡樽裱囊?guī)范和標(biāo)準(zhǔn),很多傳統(tǒng)的防護(hù)算法面臨挑戰(zhàn)。這種情況下,手機(jī)等移動終端被利用,成為攻擊者或者被攻擊者,只是一個時間或者時機(jī)的問題,防護(hù)廠商如何提供更有效的算法是當(dāng)前行業(yè)需要解決的難題。
綠盟科技分析報告認(rèn)為,2015年上半年DDoS的攻擊呈現(xiàn)兩極分化形式,一類持續(xù)大流量攻擊,尤其是針對高性能、高價值、大范圍的攻擊目標(biāo);另一類則呈現(xiàn)小而快、小而慢的形式,進(jìn)入細(xì)分行業(yè),主要是針對小流量及特殊業(yè)務(wù)目標(biāo);同時,也發(fā)現(xiàn)這兩類攻擊并非格格不入,而是伴隨著環(huán)境、業(yè)務(wù)、時間、流量、設(shè)備的變化而組合演變,這些演變將與云計算及大數(shù)據(jù)一起,催生DDoS防護(hù)向下一代DDoS防護(hù)及APT時代邁進(jìn)。