DDoS 攻擊隨時間的演變,傳統的清洗方式逐漸失效中

2021/10/14 | Imperva News, 最新消息, 產品新訊

DDoS 攻擊,隨時間演變週期更短,流量更大,傳統的清洗方式逐漸失效中

想像一下,幾分鐘前,檢測到一個流量進入;幾分鐘後流量就超過60Gbps,並對您的網路造成巨大的負擔,而你的緩解服務還沒有發現這是個攻擊,你剛想仔細查看,它就像按了開關一樣,停止了。幾分鐘後,攻擊又開始了,這一次,它的規模和威力足以讓您的清洗平台停止運作,在您還沒來得及控制它之前,它又停止了。究竟發生了甚麼事?

如果這種情況聽起來很熟悉,您的組織成為了 DDOS 攻擊的受害者之一。IMPERVA 2021 年度報告顯示 DDoS 威脅態勢報告揭示了一個明顯的趨勢,DDoS 的攻擊時間變得更短,且攻擊量變得更大,平均持續時間僅為6分鐘。超過五分之一的攻擊會持續超過兩分鐘,且攻擊者會返回再次攻擊。幾年前,當 IMPERVA 研究實驗室首次開始研究這些脈衝攻擊時,它們被認為不尋常,IMPERVA 的最新研究表明,它們幾乎佔了當今所有攻擊的一半,而且其中的攻擊還帶有來自攻擊者的贖金通知。

數據顯示,長時間的波段攻擊也成為脈衝趨勢的一部份。

正常 DDoS 攻擊的剖析

當 IMPERVA 緩解 DDoS 攻擊時,我們會在流量恢復正常的三個小時後才發送 DDoS 攻擊結束通知。因此,三小時內的異常流量都會被視為持續攻擊。

兩小時內 100 Gbps DNS 放大攻擊的第一印象。

其中長達四小時的攻擊

在這四小時的持續攻擊,放大仔細觀察,會發現是持續一分鐘短暫且重複的攻擊。

IMPERVA 也分析了近期相似的攻擊方式,一次持續 8 小時,另一次持續 12 小時,雖然持續時間短但攻擊力強。在八小時攻擊的情況下,你可以看到每個尖峰持續了 1.5-8 分鐘。

這 12 小時的攻擊更值得注意,SYN flood 和 Large SYN 一波接一波,流量達到 26 Gbps。

同樣,受害者幾乎不可能預測這種情況何時會停止。重要的是,即使這種情況持續了 12 個小時,它也是一系列多次且重複的攻擊,包含一次性攻擊。有些人可能將此解釋為 19 次攻擊,但如先前所述,IMPERVA 會將在三小時內的異常流量視為持續攻擊。

但很多時候,只需要一次瞬間高流量的攻擊;這種攻擊會在 90 秒內上升到 400 Gbps,就足以讓一個組織崩潰,即使是短暫的服務中斷也可能需要數小時甚至數日才能恢復服務,公司所遭受的損失難以估計。

正如 IMPERVA  2021 年度報告的研究顯示,當一個組織受到一次性攻擊後,攻擊者幾乎會回來反覆進行更多攻擊測試。

帶有警告通知的DDoS:當攻擊者要求贖金時

對受害者來說許多攻擊是憑空冒出,且帶有勒索要求的 DDoS (RDoS) 趨勢越來越多。這些攻擊者會發送帶有支付贖金通知的攻擊威脅,有時贖金通知會存在攻擊本身內部傳遞;像我們最近從一個不喜歡特定客戶的駭客”正義魔人”上看到的例子一樣:

但在這種情況下,攻擊者無法 “fight to the end” 因為 IMPERVA 會在攻擊成功之前就緩解了攻擊。

當客戶忽略支付贖金的通知時會發生什麼事?讓我們來看看

攻擊者慢慢的從簡單服務發現協議(SSDP) 開始攻擊:”我們將隨機對幾個 IP 進行小規模攻擊,以表明我們是認真的。”從圖中您可以看到 2.46Gbps 的 SSDP 作為警告。

再來這是”最後一次付款機會”時的樣子,您可以看到攻擊隨著時間的推移逐漸增加。

最後,真正的攻擊發生在 13:10:860 Gbps 的 DNS 攻擊摻雜UDP-flood, SYN-flood,Large SYN 

You snooze, You lose:時間來緩解問題

IMPERVA 研究實驗室去年觀察到的網絡層 DDoS 攻擊持續時間更短、攻擊趨勢更猛烈。這凸顯了對始終在線的 DDoS 保護的明確需求,以及對緩解時間的更快反應。

當 DDoS 攻擊者能夠隨意攻擊時,並縮短攻擊的時間;我們堅持的 SLA 保證就更加重要,2021 年 7 月Imperva 有史以來緩解的最大攻擊,此攻擊提供了大量的信息;它在不到 5 秒的時間內,流量就上升到 1.06 Tbps。且這種狀況下,第一波攻擊包含了 90 秒的大型 SYN-flood,因此能夠在幾秒鐘內開始緩解至關重要。使用本地或混合 DDoS 方法無法緩解此類攻擊,因為上游完全承受不了這種大型的 DDos 攻擊。

為什麼這很重要?

基於各種原因,短時間的波段攻擊是相對危險,它們屬於一種分散注意力的策略。傳統的 DDoS 解決方案通常會忽略這種級別的活動,讓攻擊者有機會躲在雷達下並尋找更大的攻擊範圍。

短暫且持續的攻擊通常會癱瘓混合雲和內部佈署解決方案,在緩解開始之前就造成最大的損害。這些更短更強烈的攻擊,除非您有始終在線的防護或與您的提供商簽訂 SLA 保證。

想了解更多產品訊息? 立即點選下方按鈕”聯絡亞利安”並訂閱最新快訊