DDoS攻击态势，类型分布，防御建议

当下，互联网已经渗透到人们生活的方方面面，对经济和社会产生了重大影响。然而，近年来出现的大量DDoS攻击事件，不仅给互联网安全带来了严重威胁，而且给企业造成了巨大的经济损失。笔者对DDoS的攻击态势、攻击特点进行分析，并给出相关防御建议，以期助力企业提升网络安全防御的有效性。

当前，一些行业激烈的恶意竞争及攻击成本的降低使得DDoS攻击流量峰值提升至Tbps级，上百Gbps流量攻击频发，直接挑战企业的防御能力。

SYN Flood、ACK Flood、TCP反射、UDP Flood、UDP反射是大流量攻击采用的主要攻击手段，低成本的反射攻击不断刷新攻击最大流量记录。2021年11月，Microsoft云租户遭受SSDP、DNS和CLDAP的混合UDP反射攻击，攻击流量峰值带宽达到3.47Tbps。2022年，T级攻击异常活跃，800Gbps攻击共计232次，是2021年的1.67倍。

目前，新型UDP反射及TCP反射类型不断被挖掘，同时，攻击者惯用多种混合叠加脉冲、扫段等攻击手法，扩大了威胁范围，推高了网络层攻击防御成本。

大流量攻击往往呈现出明显的“Fast Flooding”特点，攻击流量如决堤的洪水，瞬间倾泻而下，这要求防御系统“零延迟”。传统的秒级动态引流防护方案存在瞬间漏防问题，如果漏过的攻击流量达几十Gbps，则将引发明显的网络抖动。

2021年，攻击流量峰值爬升至800Gbps～1Tbps需要20秒，到了2022年则仅需要10秒。如果防御系统响应速度还停留在秒级，那么1秒即可漏过数十Gbits的攻击报文，攻击报文会在依靠会话转发的网络设备及被攻击服务器瞬间创建几千万条会话，导致被攻击服务器访问中断，防火墙或负载均衡设备资源也会因会话而耗尽，继而引发恶性断网事故。即使攻击立即停止，网络和业务系统也无法快速恢复。因此，频繁遭遇大流量攻击的企业，为确保攻击发生时用户无感知，亟待提升边界大容量防御系统的毫秒级攻击响应能力。

一是应用层攻击复杂度持续攀升。随着互联网从PC时代演进到移动互联网时代，企业互联网业务日益多样化，CC攻击目标也逐渐多样化，除Web网站外，App和API也成为CC攻击的主要目标。攻击者往往通过事先“踩点”，找到被攻击服务器响应耗时最长的URI，然后通过僵尸主机、秒拨机、代理等方式向目标服务器发起大量HTTP请求，进而耗尽服务器资源。

二是网络层CC攻击出现新变种。Mirai僵尸网络广泛使用的网络层CC攻击，将虚假源泛洪攻击技术和会话攻击技术相结合，“僵尸”和服务器通过Socket建立TCP连接后，通过Raw-socket发送ACK报文消耗服务器性能，增大网络Inbound带宽压力。为提升攻击躲避能力，先是演进出裹挟完整HTTPS会话的ACKFlood，并通过快速回放确认ACK报文诱发服务器重传，以挤占Outbound带宽;后又出现借助TCPKeep-Alive报文长时间保持TCP会话、耗尽服务器会话资源的新型攻击方式。

据了解，43.03%的网络层DDoS攻击持续时间不超过5分钟，极大地挑战了企业网络防御系统的自动化程度和安全运维团队的响应速度。

人工响应攻击至少需要10分钟，依靠安全运维人员手工调整防御策略应对“短平快”类攻击越来越困难。所以企业防御系统急需构建一定的智能化运维能力，以自动判定攻击漏防和进行防御策略调优。

从开放式系统互联通信参考(Open System Interconnection，OSI)模型来看，除物理层与数据链路层外，其他层均存在不同类型的DDoS攻击(见表1)。

表1 DDoS攻击类型在OSI模型中的分布

2021年4月，针对某企业网上系统的攻击中出现一种新型的网络层CC攻击，不仅攻击效果更加明显，攻击躲避能力也更强。

图1所示的攻击端和服务器交互流程显示，在整个会话过程中有完整的TLS交互，但异常的是，同一个报文高速率重复发送，不符合TCP交互逻辑。

图1 变种网络层CC攻击：攻击端与服务器交互流程

此攻击由Mirai僵尸网络的网络层CC攻击演进而来，即攻击端和服务器在通过Socket进行完整HTTPS数据交互的同时，通过Raw-socket将交互过程的SYN报文和ACK报文进行高速回放，对服务器形成泛洪攻击效果。

为提升客户体验，大多数门户网站、App等均会使用大量图片并将大多数图片进行CDN加速，但总有“漏网之鱼”。为达到少量访问即可形成明显带宽拥塞的攻击效果，这些未经CDN加速的图片往往成为黑客攻击企业网络系统的首选目标。

目前，大型企业的门户网站、业务系统和DNS服务器是DDoS攻击的主要目标，可以预见，未来3～5年，大型企业的开放API必然进入攻击者视野，成为黑客新型攻击的目标。同时，攻击者的攻击手法多样化、复杂化特征日益明显。为此，建议企业采取以下防御措施，以提升自身网络防御能力。

一是降低大资源攻击风险。企业网站图片应尽可能采用CDN加速的方式，网站避免长时间留存低价值的大型静态页面，禁止Range功能，从而减少Outbound带宽攻击威胁。

二是禁止使用GET方法登录。HTTP GET安全性不足，容易引发CSRF攻击、敏感信息泄露等威胁，建议企业改用POST方法实现系统的登录提交。

三是启用域名检查，不允许非本站域名的访问。企业应规定无论是HTTP还是HTTPS访问均需要携带域名，不允许非法域名的访问，以降低机器人攻击风险。

四是按业务类型配置有针对性的防御策略，提升防御成功率。针对门户网站、DNS、API等容易成为攻击目标的问题，企业应基于其业务特点配置有针对性的防御策略，提升防御效果。

五是选择带有安全防护能力的CDN。一旦攻击绕过CDN进入后端业务系统，防御难度将极大提升。因此，建议企业选择能提供安全防护能力的CDN，以降低攻击绕过CDN的风险。

六是采用“上游云清洗+网络边界抗D+WAF/API网关”组成的三层防御架构替代单点防御。大规模的应用层攻击挑战企业WAF的性能极限，企业应尽快摒弃WAF进行HTTP和HTTPS应用层攻击单点防御的固守思维，采用“上游云清洗+网络边界抗D”的方式过滤高速应用层攻击，保护企业网络链路带宽和WAF/API网关可用性，以WAF/API网关过滤低速攻击，从而有效应对高强度的应用层攻击威胁。

目前，针对金融行业的DDoS攻击日益频繁，攻击规模不断扩大，不仅降低了信息基础设施的性能，而且进一步影响了网络和各类系统的正常运行，给金融业务和用户带来较大安全威胁。在此形势下，金融企业应及时对DDoS攻击的态势、类型与手法进行分析，及时完善防御措施，同时加强与运营商、安全厂商之间的合作，从而打造高效稳定的网络安全环境。