一起来听云鼎实验室讲师聊 DDoS 攻防 | CSS 2018云安全分论坛续集

2018-08-30 09:58:04 浏览数 (1)

| 授权转载自 FreeBuf

人工智能、云计算、大数据等新技术,深刻地影响着互联网世界。在此背景下,网络安全面临的威胁也在不断变化升级。腾讯云副总裁黎巍也在第四届 CSS 互联网安全领袖峰会上提到,安全早已超越了技术的范畴,与整个产业的变化息息相关。

有这么一种攻击技术,最早可追溯到1996年,基本可以算是互联网黑产界的活化石了。这种古老的攻击方式经过近二十年的演变沿用至今,成本低、效果好,甚至在2018上半年刷新了攻击流量记录……

(图片来源网络)

CSS 第二天的云安全分论坛上,腾讯安全云鼎实验室威胁情报研究员宋兵为我们带来了他的分享——2018 DDoS 新趋势。宋兵认为,DDoS 已经由分工明确的长链条黑产方式向自动化、平台化、高度的集成化转变,攻击平台的下单自动化和攻击自动化让企业防不胜防。

(腾讯安全云鼎实验室威胁情报研究员宋兵)

DDoS 攻击流量峰值每年都不断地被超越,今年上半年的一起 Memcached DDoS 攻击,其峰值1.7 Tbps 达到了一个新的高度。

攻击流量峰值1.7 Tbps; 5万的反射放大倍数; 少量反射源,达到大流量攻击; 反射源主要分布中国、美国、欧洲 ; 已普遍被 DDoS 黑产平台集成。

宋兵在演讲中表示,随着各行各业的互联网化,DDoS 的攻击面也越来越多。游戏行业因其日流水量最大、变现快,一直站在利益的风口浪尖上,当仁不让地成为 DDoS 首选的攻击目标,也是2018上半年各行业中遭受攻击最多的行业。值得关注的是在医疗、物联网、教育等传统行业互联网化后,也遭受到了不同程度的攻击,且呈上升的趋势。

(图片来源网络)

据统计,2018年最流行的 DDoS 攻击方式包括反射放大攻击、SYN Flood 和 HTTP Flood。按攻击次数统计的话,主要的攻击流量区间在5G以内,其占比超过一半以上。但在流量区间占比分布基础上进行攻击类型的对应分类,则比较难以区分,存在很多交叉现象。

流量情况

主要的攻击流量区间在 5G 以内; 超过百G的攻击累计占总攻击次数不到5%; 超过百G的100-200 Gbps 占比最大。

匹配情况

百G流量主要以反射放大为主; 单一类型攻击向组合攻击转变。

讲到关键的 DDoS 黑产部分,宋兵提到传统攻击有7个环节,而当前最新的页端攻击则方便得多。攻击环节多就容易出问题,比如说金主或者买家首先需要找到一些 DDoS 的群或者网上的论坛发,通过中间人再去寻找攻击手,这样相当于三个环节。那么真正发起攻击是接下来几个小时,甚至一天后,周期明显较长。

而页端攻击平台就方便多了,并且站长也不需要参与 DDoS 攻击的行列。金主或者攻击手到相关网站进行注册,购买 DDoS 服务直接搞定,剩下的都会通过自动化的 API 去实现,200-500块钱就能打出一个很大的流量攻击。

美其名曰“压力测试”,搜一搜有惊喜……

(图片来源网络)

最关键的是,页端 DDoS 攻击网站通过发卡平台把信任环节真正地建立了起来。据宋兵的介绍,发卡平台不光 DDoS 在用,很多其他黑灰色的产业也在用。在他们的研究过程中发现,色情、诈骗、博彩都依赖发卡平台完成交易,可见当前环境下,黑产链条的分工之细、耦合之深。

此外,宋兵还在会上介绍了 DDoS 溯源归类分析的案例。将攻击打法类似、攻击源相似、攻击频率时长相似的流量进行聚合,往往会得到意想不到的效果和收获。笔者了解到,今年早些时候腾讯守护者计划团队就曾通过溯源归类分析成功协助深圳网警调查取证,最终锁定幕后黑手“暗夜攻击小组”。

(图片来源网络)

据悉,该团伙成员多在境外活动,拥有超过800G的网络攻击流量,主要攻击网络游戏、第三方支付、视频直播平台等,以抢占市场份额牟利。从2015年起,在组织者原某辉带领下实施网络攻击犯罪活动,两年时间发展成为国内影响力最大的 DDoS 黑产团伙。

会议的最后,宋兵提到腾讯安全云鼎实验室也做了大量 DDoS 关联研究,包括事前预警和固证分析,也期望在将来有机会分享更多相关内容,与大家共同探讨。

0 人点赞