2022年的DDoS攻击：一次性瞄准所有在线内容

2022年是网络安全诸多领域发生重大变化的一年。在动荡中，分布式拒绝服务（DDoS）的攻击目标和对抗行为都发生了明显的变化。也许从去年得到的最重要的教训是，DDoS攻击者瞄准了所有在线内容，有时甚至是一次性瞄准。

2022年出现了两个突出的主题——横向DDoS攻击的兴起，以及针对客户资产的目标不断增加，这些客户资产以前通常被对手视为不具吸引力的目标——但我们认为业界并未对DDoS攻击技术、战术和过程（TTPs）提供了足够的端到端分析。

缺乏对DDoS攻击TTP的详细分析

尽管有足够多的数据来说明DDoS攻击的数量、生成的攻击向量的类型、新发现的攻击向量以及它们是如何被破坏或利用的，但业界仍然没有对攻击目标和围绕这些行为的技术进行全面的分析。

攻击TTP应该涵盖基本细节，包括目标资产及其功能，以及对手用来编排这些攻击的技术。虽然我们收集了关于攻击持续时间、规模和频率的信息，但却很少关注用于攻击目标的技术。了解用于攻击目标的TTP可以帮助网络运营人员和安全专家更好地防御此类攻击。

2022年DDoS攻击的突出主题

接下来，让我们更深入地探讨两个突出的主题——横向DDoS攻击的增加以及针对客户资产的攻击不断增加。

横向攻击的兴起

传统的DDoS攻击通常针对高度可见的资产，例如公司的主网站，然后使用一种或多种方法（也称为向量）发起攻击，以淹没支持目标的基础设施。这种攻击的成败取决于攻击的规模、载体以及资产为防止滥用而实施的检测和缓解措施的适当性。

横向攻击指的是针对多个不相关目标的同时DDoS攻击（这就是它们有时被称为“地毯式炸弹攻击（carpet bomb attack）”的原因所在）。在这种攻击中，攻击者并非优先考虑单个高价值目标，而是选择多个目标来分布攻击，这使得安全团队在减轻和最大化大范围破坏的可能性方面更具挑战性。

例如，对手可能会攻击与特定组织关联的所有IP地址，或者他们可能会进行更深入的侦察，以识别大量活动的服务或系统，并同时攻击所有这些服务或系统。2022年9月，研究人员发现了一起破纪录的DDoS攻击，攻击者攻击了分布在六个物理数据中心的1813个IP地址，这是这种威胁的完美说明。

尽管这种攻击形式早在20多年就已存在，但由于其日益流行和复杂性，横向攻击仍然是一个高度相关的威胁。最近几个月，研究人员观察到横向攻击不断激增（如图1）。

【图1：横向攻击激增（按季度划分）】

针对客户资产的攻击增加

并非所有面向互联网的资产都是相同的。每个公司都有自己独有的资产，比如主页、客户门户、API端点或新实现的SD-WAN。然而，公司同样依赖于不太显眼的资产，如后端接口、员工门户、SSH端点、FTPs等等。

在讨论攻击趋势时，我们往往忽略了攻击的目标。但是，我们负责实施针对真实攻击的主动防御的同事需要这些知识，以确保他们开发出最有效的签名和防御性访问控制列表态势。

通过分析流经组织网络的数据流，我们可以在攻击之前获得对IP活动的有价值洞察。典型的Web资产在端口tcp:80、tcp:443或tcp:8080（偶尔）上运行，但我们也不应忽视其他关键服务，如端口4500上的IPSEC/VPN、端口22上的SFTP和端口53上的DNS。

【图2：IP上最常用端口的攻击】

2022年被攻击的IP有187种不同的日常工作。为了演示目标资产活动的多样性，我们创建了如图2所示的散点图。结果显示，TCP:443成为最常用的端口，紧随其后的是为保护客户而匿名化的定制端口。

理解越深，防御越好

我们可以采取的一种加强防御的方法是检查目标，并确定用于攻击目标的最常见攻击向量。

图3显示了针对某些感兴趣的端口使用的最常见攻击向量。

【图3：针对tcp:80、tcp:443、端口53和端口>1000的最常见攻击向量】

通过了解目标IP的日常工作以及用于攻击它们的方法，网络运营人员和安全专家可以更好地防御此类攻击。虽然并不是所有的DDoS技术都可以通过IP卫生和协议误用滥用策略来阻止，但将这些战术与其他防御措施结合使用可以建立分层、强大的防御机制。

阻断DDoS攻击

主动型缓解措施使我们能够实现零秒（Zero-Second）服务水平协议（SLA），并保持高质量和一致的缓解措施。虽然被动反应型缓解仍是必要的，但绝不应以用户影响或服务退化为代价。

如今，随着威胁变得越来越复杂，部署强大的DDoS控制和弹性计划对于最大限度地减少停机和中断的风险至关重要。安全专家鼓励各组织采取以下步骤来加强自身的安全态势。

• 审查关键子网和IP空间，并确保它们有适当的缓解控制；
• 检查更广泛的网络空间上的安全态势，这些网络空间共享基础设施，如果受到攻击，可能会造成附带损害；
• 以始终在线的缓解态势部署DDoS安全控制，作为第一层防御，以避免紧急集成场景，并减轻事件响应人员的负担。如果你还没有可信的、经过验证的云计算提供商，现在就去寻找吧；
• 积极组建危机响应团队，并确保运行手册和事件响应计划是最新的：你有应对灾难性事件的手册吗？战术手册中的联系人更新了吗？运行手册更新与否可能是决定业务连续性或遭受灾难性服务中断的关键所在；
• 通过评估在当前的安全编排、自动化和响应工具中批量删除警报会是什么样子来保护您的流程；部署安全信息和事件管理工具（SIEM）或其他事件响应工具。了解如何在大范围攻击期间轻松地对警报进行分组、过滤、确认和查看。

原文链接：

https://www.akamai.com/blog/security/ddos-attacks-in-2022-targeting-everything-online

精彩推荐