00:00
我是网络安全垂直媒体安全419的创始人张毅。首先为大家介绍的是今天呃在线的两位嘉宾啊,一位嘉宾是来自于腾讯安全地S防护安全专家徐祖君徐老师啊,然后还有绿盟科技的福影实验室的负责人吴铁军老师,那么呃,还是先请两位老师跟大家分别打个招呼,然后大概介绍一下各自分别日常在做一些什么工作啊好的,各位老师,呃,各位专业大家好,我是利盟科技福尹实验室的负责人吴铁军,呃,今天非常荣幸和大家一起探讨关于S方向的一些呃相关的一些技术。呃,我本人呢,是主要是研究僵尸网络相关的一些,呃,相关一些技术,呃,一直以来一直在从事这个S攻击这些方向,所以呢,今天非常荣幸有这样一次这样一次机会。好嘞,感谢老师,那徐老师再帮忙补充两句,因为刚刚网络好像是有一点问题,呃,我希望就是今天这种访谈能够让大家更好的去理解,就是当前的D攻击的一种态势,以及未来我们可能要去做一些防护的。
01:11
呃,我这边再补充一下,就是我这边主要从事的一些工作,主要聚焦在网络安全的一些攻防对抗,呃,希望后面有机会跟大家做更多呃,更加深入的信息交流。好的,谢谢徐老师,那我们现在就进入正题啊,就是刚刚也刚刚大家也听我们读这个,其实呃读DDOS可能是一个不是特别专业的读法,但是可能大家习惯这么读啊,正正常可能咱们专家一般都说的是DDOS,我们可能平时读的比较方便一些,说这个是DDOS攻击啊,这是个题外话,那呃刚刚其实呃刚刚徐老师说到交流的问题,我们大家注意在屏幕的我们的这个直播屏幕的右下角有一个二维码,大家可以扫码进入到我们这个直播的一个交流群里面啊,里面会有我们绿盟和腾讯的相关的专家在群里面为大家解答一些问题,大家针对这个问题呢,也可以实时的在群里面进行讨论啊,大家可以扫码,那接下来我们就进入正题啊,就是说我们介绍一下这个咱们今天这个访谈的一个背景,呃,我们知道就是有腾讯安全和绿盟科技的威胁情报团队已经联合,呃制作了一个叫2021全球第座S威胁报告这样一份,呃报告目前呢,已经发布了。
02:26
那在这之前呢,我其实也已经拜读过了啊,那今天我们就借着这个机会,就与两位嘉宾一起来聊一下我们机构相关的一些话题,那首先呢,可能还是从一个呃最基本的概念来讲,可能在线的很多朋友,呃,也许如果你接触过这个地动式攻击的,你可能已经很了解了,但我相信可能还是有部分的同学对于S这个东西到底是个什么东西不是特别了解,那我们还是先简单科普一下啊啊就是呃另外的话,呃,就是说我们也很好奇,为什么其实它也不是一个新东西,它其实存在很多年,为什么这么多年也一直存在,然后大家还在因为S而头疼啊,所以说接下来我们就想请呃两位专家分别针对DS给大家有一个简单的一个描述吧,让大家更了解DS到底是个什么东西,呃,我们先请腾讯的徐老师。
03:20
呃,那个DDOS攻击哈,从字面上确实是比较难去理解,我们翻译中的话就是分式抗攻击,但如果说我们要一种比较客观,或者说让大家能够通俗去理解这种方式的话。那我觉得今天我可能会举一个比较,就是相对说比较。大一点的例子。假设这一个银行柜台,就是在平常的时候,可能在这个柜台里面可能也就一两个人,呃,在办理那个存取款的业务,但是如果说当有一天发现有1000个人同时来到这柜台前面排队。
04:00
有1000个人都都是在同时办理的一个存取款的业务,而且的话,他们存款的钱的金额可能就是一块钱。在这种情况下,其实按照我们的理解的话,它就是一种具体服务攻击这种场景,其实这种场景的话,其实就跟我们,呃,具体服务攻击里面就是主态带宽那种场景是极其相似的,如果说我们在用另外一种极端例子来说的话,其实我们也可以。呃,理解为比如说如果这是一个坏人,他如果说他有手段直接进入到那个银行柜台,把那个柜台的资源把他暴打一顿。然后这个资源的话,是没办法给那个其他正常客户提供正常的业务服务,其实这这是另外一种类型的一种DS攻击,这种类型的攻击呢,其实呃,映射到我们,呃,经常所说的DS攻击的话,可能就是说如果说系统有漏洞,然后被黑客。呃,给利用,然后被用来做拒绝拒绝服务的打击的话,这是这是这是可呃可以跟他那种映射出来,是另另外一种场景。
05:06
呃,因此的话就是简单而言哈,我如果说我们要总结一下什么叫DDS攻击的话,我们可以用一句话去说,就一切。呃,以。导致网络的可用性不可用的一个攻击手段,都可以称之为DS攻击啊,这是我这边的一个简单的一个解读,希望大家能够去更好的去理解。好的,实际的话就是说,呃,是让你这个比如说平台方或者服务方丧失了服务真正的客户的一个能力,对吧。啊对,可以这么理解啊。OK,行,那我们接下来请吴老师跟大家再从另外一个角度介绍一下DDOS。嗯嗯,好的,呃其实当前黑产团伙,它其实嗯已经呃它的不断改进这个D到SG服务这样的一个,呃这样的一个这种服务吧,呃它可以使一个一个小白啊,只会上网的这样一个小白,在这个攻击页面上输入一个IP或者一个域名。
06:09
嗯,点击开始就可以在呃一分钟一分钟内导致一个网站提供服务。呃,其实就在前几年的时候,一个呃在广东的一个店铺的小老板在玩这个房卡麻将。啊,在玩麻将的时候被欺骗了。被欺诈,他奋斗之中呢,突然是这个,呃,发现这个群聊中,在群聊中有人提供这样的这这个地道服务。现在他就啊拿起了这样一个。一把麻将店筹码吧。然后就。导致了这样一个网站的这个关闭。导致一个网站停滞了这样的服务。所以这个事件可以说明呢,道斯攻击他的实施的门槛是非常低的,这也说明迪道斯这个频频发生的这样的一个原因。显示就是说实际上这个东西它危害很大,然后很常见,但是呢,它实施起来可能很简单,呃,甚至是工具化,而且成本相当的低廉,对吧?是的是的啊,行好呃,相信大家对这个地S有一个比较初步的了解啊,呃,那我们接着就进入正题,那我们知道就是咱们腾讯和绿盟联合发布了这样一个2021年的这个呃地S的全球威胁报告,我们也是非常好奇,就是说低S的攻击每年大家都在讲,然后呢,好像也一直存在在这个网络上也没有呃。
07:32
这么久了,也没有一直特别好的解决掉这样一个问题啊,它算是互联网上的一大毒瘤了,那整个这几年大概是怎么样一个变化的趋势,然后当前大家面临一个怎么样的一个呃态势,呃大家我相信大家肯定是想首先了解的,那么我们先进入第一个环节吧,就是说呃,我们想看一下当前的一个就是一个D到底是一个怎么样的一个整体的一个态势,那接下来想问问一下两位专家,就是能不能介绍简单介绍一下近年来这个低DOS攻击的一个整体的一个态势的一个发展,呃,然后另外在这当中呢,有没有一些比较显著的一些特点,呃,还是先请腾讯的徐老师来为大家讲一下。
08:18
好的。嗯,经过这几年我们的观察数据哈,就是包括我们对呃,我们输出的2021年的整体的报告,呃,我们发现就整体的攻击态势。表现出两个非常重要的一个特特点。呃,第一个特点的话,就是攻击流量会越来越大。从进入TTB时代的攻击流量就应该是五年之前,到现在已经持续了五年。呃,根据腾讯这边的一个监测数据的话。呃,腾讯这边就是在最近两年也是连续坚持到大流量的一个TB级的攻击流量,这是第一个非常显著的特点,就流量会啊,跟往往往前相比是越来越大。
09:03
第二个非常显著的特点是什么呢?是攻击的种类,种类非常多,有多种多样的一些攻击的手法,可以打出大量的呃,大流量工具,呃,就像刚才吴老师所说的,呃,现在这个门槛非常之低,我们可以随便用一种工具就可以打出非常大的流量,呃,根据我们边观察的话,以前。要打100个G的流量,可能大家可能会用udp的攻击的方式,包括大包的攻击的方式,但现在我们观察到就是其他的包括TP的反反射啊,IP协议的其他类型的攻击,都可以轻易的打出100个G的一攻击流量,这就是为什么导致现在的攻击流量是越来越大,就是一个呃,要面对这样的一个非常严峻的一个现实,呃刚才呃徐老师从技术上面也讲的非常清楚啊,其实呃我呃我有一有一个观点要补充一下,其实从2021年全年的这个攻击现象来看,DS攻击的这个流量的确是非常的非常大。
10:06
呃,可以说已经进入了TB的时代。啊,但是从地呃S攻击发生事迪攻击事件发生发生的地理位置分布来看,啊呃可以发现近几年的这个攻击趋势是逐步向东南亚国家聚集,而且在这样的密度是越来越高,它的专业化和组织化的一个程度也逐步的逐步的样的提升。所以说我们可能后续要更关注于东南亚国家的一些市场。啊OK,那这个在时间上呢,时间分布上有没有一些比较,呃,就具体的一些特点,比如说是上半年工资多一些呢,还是下半年公积金多一些呢?比如说或者说哪个暂最突出呢。这个我来补充一下啊,就是呃,通常通常情况我们这边刚观测到的现象是在下半年的攻击要明显要强度要明显高于那个上半年。
11:05
呃,从从我们那个报告的数据上来看呢,八份的一个数据,八份的攻击最最明显,八份的话应该是有大量的少段的攻击导致,呃,这个攻击的次数,呃要明显的。呃,区别于往年的一种情况。呃在呃相有很多相关业务,可能在年底的时候,可能可能会更加活跃,比较比较那个活跃一些,所以说这个时候更容易被黑客给盯上,然后容易被攻击,大概是这样一些情况吧,好的,我们刚刚两位专家其实也分享了,就是说呃近五年来看的话,整个地攻击的整体的态势,每年基本上都是超过TB级的一个啊攻击层的,那也就是说现在TB级的这个DS攻击已经成为了互联网上的一个常态,那呃也就是因为这样,所以大家可以看到我们今天这个呃访谈的标题就是TB级的攻击时代啊,就是说说说明可能长期以往下去的话,攻击量只会越来越高,不会越来越低啊,可能会是一个大趋势。那么呃,想问两位专家的是说,呃造成以上的主要的原因。
12:14
有有哪些能不能帮忙分析一下,就是比如说为什么工程量现在是越来越大的啊,还有比如说这种时间呢,或者比如说地点为什么往东南亚这个成为主战场对吧?啊,请两位老师分别那个给予解答一下。呃,我先来解答一下吧哈,呃,我我这边是从企业的那个角度,然后解读一下为什么会造成以上就是攻击流量逐渐增大,然后达到一个不可收拾的一个一个状态。其实这里面主要原因的话,我觉得有一个大的一个背景,这个背景的话就是互联网它整个发展的一个态势,应该现在的话应该是属于一个它的一个上升期,同勃发展期,这是一个大的背景,在这个背景之下的话,当然这个硬件技术的一些革命,发生了天翻地覆的一些革命,我们现在可以轻易的用一个非常弱的服务器,就可以达到十个G100个G这个流量是很正常的。
13:11
就是从那个大大的那个历史背景上来说。第二种情况的话,是是因为你跟我们当前目前所处的环境有关系,最近最近两年的一个新冠疫情的一个一个态势。包括我们现在数字化进程,很多企业的数字化进程深入,我们很多线下的一些业务都搬到线上去了,也就线上做的东西远远比之前要多了很多,在这种态势之下,就是一一定会引引入更多的一些呃,我们的黑客他们的关注,然后对我们的攻击流量做,对我们的业务做做打击。因此的话,因此的话,我就举个简单的例子哈,就是我我们家有个小孩,他们他最近在考那个小提琴,在考考级考试,其实我以前觉得你考考试的话,肯定要到现场去考吧。
14:01
现在现在可以不用了,就现在就只需要你在网上提交你拉小提琴的一些一些录像,然后在线做下音机的一些考试,就就完全可以了,根本就不需要再到现场去考试,也就说这样这样这种业务业务哈是一种趋势,将来些有更多的线下的这些业务都会全搬到线上。这样的话,就会导致这个流量会更越来越多,越越来越多,这种攻击的这种态势,也就会朝着我们我们刚才所说的那种态势方向去发展。就是从我这边分析的一个角度哈。我我简单从技术上来补充一下吧。嗯,从技术方面,其实攻击者他嗯时刻其实没有放松对DDOS攻击技术的这样一个研究啊,在呃,特别是在互联网上的反射反射放大协议是不断的这样的涌现啊,初步统计当前可以共反射放大的这样协议有40多种。
15:05
而且不断的这个更新迭代,另外在嗯,这个全球这样的一个大好形势下,这个物联网,物联网设备的数量也。也迅猛的发展。由于发展的速度比较快啊。安全问题考虑的比较少。即使是发现一些安全问题,也无法在短期内进行修补。这些安全问题就会被攻击者利用。导致控制的导致控制攻击资源的逐步增加。而且。这些控控制资源都会用于发起几道攻击。这是一个原因,另外就是啊,挖矿行业被治理。他压缩了黑产团伙的这个利润空间。为了保证它的利润的最大化。其实,部分僵尸网络。就被。
16:00
重新使用,重被重新用于,这也增这些增量回量,就导致了TB流量的这个流量明显的上升。这是我的一个观点。好的,总总结一下两位专家的观点啊,第一首先是我们线上的业务越来越多了,那就势必造成线上的风险会越来越大,那其实也可以发现啊,在疫情的这个过程当中,可能其他行业不太行,但是安全的需求其实是在变得越来越多,所以这其实也印证了徐老师的观点啊。另外呃,吴老师所讲到的两个,我觉得其实也特别重要,第一个重要就是我们发现现在的可利用的这个管是肉鸡也好,或者僵尸网络变得越来越多啊,这第一第二的话就是呃,我们发现这个在虚拟货币这个行业被强监管的一个状态下的话,部分黑产它其实是回流,继续回来又干自己的老导团干S了,所以说这也可能是地多S增加了一个,呃,增加了一个最主要的原因,那嗯,接下来想问一下两位专家,就是在两位日常接触到的,就是说我们在一线跟黑产做斗争的过程当中,你们发现哪些领域,或者说哪些行业是受灾最严重的?
17:16
呃,区域呢,请两位老师可以分享一下吗?啊,这个呃,吴老师先吧,好OK,吴老师好的好好,嗯,这个首先是这个啊。这个博彩行业,博彩行业这个,嗯,视频行业,博彩视频直播游戏以及互联网网购啊等等这些行业,这些行业都是这个。重灾区吧,一般来说,呃,一个抵道S攻击的,地道攻击的这样个区域,呃,区域的分布啊,和当地的经济发展水平,以及这个嗯,人口的数量呈正相关的这样一个趋势。
18:01
博彩,博彩业呃,视频直播,游戏行业,这些都是都是嗯嗯都是一个重灾区,同时它与这个呃同时一些这个出出海的一些企业也比较呃都比较集中于。呃,集中,于是这个东南亚一些国家都比较集中于东南亚一些国家。他们在这在这些区域呢,企业与企业之间的竞争。呃,变得越来越激烈,所以呢,这些区域也往往都成为一些啊,底噪攻击的这些主要区域。因此也就成为了这个海外这个底造次攻击主要聚集的一些区域。啊,这是我的一个观点。呃,我这边再再补充一下啊,就是对,就其实被D6攻击的话,其实行业非常多啊,根据我们这个数据的观察,目前的话,我们发现在游戏行业。这个被攻击的比例应该是最严重的。
19:01
呃,这个是为什么呢?就大我大概也分析了一下,其实游戏行业呢,就是它有几个比较大的一个特征哈。他是比较容易,呃,易攻难守。什么是什么概念呢?就是。嗯,他的就说黑客可以非常厉害,很好的利用一些呃攻击手段,对当前业务做做攻击,然后呢,防守方可能没有一个非常好的策略,对对这个攻击做做防守。呃,这是第一第一点第二点的话。呃,通常通常就是游戏,可能肥肉是被被被那个广大的黑客当成一个非常大的一块肥肉。作为一个。勒索的对象,你轻易的勒索,这样的话,他们可以轻易的,因为如果说你不给我钱的话,我可以轻易的把你那个服务打打掉线。就是钱,就是被被迫的,很多游戏玩家,游戏企业的运营商,他们,他们可能会被迫的要交交这个钱,这是这是第二个非常重要的原因。
20:03
第三个的话就是游戏行业,行业其实也是一个非常内卷的行业,就相对说竞争对手非常之多,我们经常会发现恶意的竞争对手,对手会来搞你的业务。这样的话就是导致这个这个游戏本身就就是一个高非常高风险的一个一个行业。呃,所有这些原因加起来的话,就导致整个整个游戏就成为一个被DDOS攻击的一个中灾区,大概这种情况。好的感谢啊,那其实呢,我觉得可能最大的原因还是因为游戏行业钱最多对吧。对对,现在的确是这样子的。啊,所以就是黑产,它一般盯着哪个地方有钱,他就涌向这个地方了,所以呃也也不奇怪啊,那接下来我们可能更深入一点,就是说我们前面对这个整体的这个DDOS的态是有了一定的了解啊,就是说相信大家也跟我们一样认为这个情况还是不容乐观的,那怎么去防范如此猛烈的d Bo攻击,我觉得可能我们首先要找到它背后的一些逻击啊,所以知己知彼,百战百胜啊,那就是这个攻防的过程,其实一个对抗,对抗升级的一个过程,所以我们呃,接下来的环节想尽可能的以技术呃来解读一下,就是在背这个报告背后的一些情况,就是比如说刚刚反映的这些情况,我们从技术角度来分析一下这个网的登度,来分析一下到底为什么啊,就会造成这样的一个情况的一个。
21:37
啊好,首先第一个问题我们想知道啊,就是说攻防双方其实是一个持续不断升级的一个过程啊,不知道整个从2021年来看,DDS攻击这个领域,攻击者在技术手段上有没有一些升级或者一些改变,呃,想请两位专家也分享一下,我们先腾讯的徐老师为大家分享。嗯,去年的一个攻击态势,我们这边发现有两个非常攻击,从攻击手段手法上来说,有两个非常重要的一个特点,这个特点的话是非常有比于往年的一种情况。
22:14
第一个攻击手段,就是一个手段攻击。第二种的话就是呃僵尸网络利用时差,然后去呃去感染相应的主机,然后然后去做攻击,我们来我们先简单说一下手段攻击这种场景啊,手段攻击这种场景,它这个它的难度就在于攻击者他对。防着他这边所利用的一些手段,呃之掌,他能够他这边最大的危是在于同时对一个网段或者是多个网站IP做少段的攻击,这个少段什么概念?就是比如说一个C段255个IP,每个IP的供益吧,但是实际上时间可能不会太长。嗯。如果说你是一个一个C段可能没问题,但如果说是100个CCC或者更多的CCCC段的话,那加起来的IP就非常非常多。
23:10
我们都知道,就是说我们在设计一个防御系统的时候,我会考虑能量的问题,对吧,这个容量问题,就如果说我们同时攻击这么多IP的话,其实有很多防御系统它可能。不能够及时的对我们的做处理,这样的话就导致防御的失败,这是一个非常严峻的严酷的一个事实,这是我们在去年所发现的一个情况。第二种。攻击手法就是僵尸网络的一个一个感染主机的问题,我们就会发现就有一个比较典型的一个特征哈,就是我们去年发。一个一个漏洞哈,就是去年四月份的时候,呃,相应的厂家就已经把相应的解决方案,呃,修复的方方法都已经公布,公布于公之于众。
24:00
但是到今年的到去年的11月11份的时候,谷歌的工程师就就宣称在线网上有上万的。的一个服务器被感染,用来作为DS攻击。这就在这半年,由于没有去更新它的一个对他的库做修复,对他漏洞的修复而导致被感染。而我们这边有坚持到,就是说去年的11月31号以后。Mary的江苏网络主机的数量大幅的增加,然后我们也发现这些主机60%都是因为有漏洞或者是集成的一些主机。呃,因此的话就是我们会发现哈,就是这种这种这种两种情况,嗯,是是一个非常对去年而言哈,是一个非常典型的一个一个特征手段,被黑客呃利用来做DDS攻击。好,呃,接下来请吴老师再补充一下,从另外一个角度。
25:00
啊好的,呃,我来补充一下这个我们观测到的这个脉冲攻击,脉冲攻击也和这个高频损失攻击,它当前呢,已经成为这个呃向网上比较经典的这样一个攻击手法。嗯,攻击团伙呢,呃,往往会通过。呃,进行定制的工具,以固定的时间间隔向目标发起。短时。短时间剧烈增值业,增值业务流量上千倍的这样的攻击流量。在很短的时间内攻击。攻击又会。突然消失,消失的无影无踪。这种攻击方式。嗯,它不仅让企业这个安全运维人员不堪胜负啊。而且由于攻击流量的增长快,消失也快。攻击的攻击的秘籍。对防护系统的这个性能和灵敏度也提出了更高的这样一个要求。
26:01
因为卖攻击。他对。攻击企业来说也是一个,呃,极其挑战性的。他攻击攻击表象背后的一。这个黑产团伙和攻击防御之间,防防御者之间的这种心,这种心理上以呃体力上,以及技术体力的这样的一个对抗。它看似是一个零星的这样一个工具。但是。呃,攻击团伙对受害的IP地址啊,他的攻击间隔以及攻击的时长,攻击的频度都进行了不断的这样的一个变化。这也就是说,他对这个攻击的目标进行深入的练与调研的。这里攻击。它是专门针对这类攻击,是专门针对DDOS监测与防御中的这个,嗯,单IP流量的这个人工的阈值,或者大IP牵引流量牵引,以及牵引中消耗,嗯牵引消耗等防御的这样的一个策略。
27:03
有针对性的这个对抗的。尽管当前的这个攻击防御中引入了一些呃,一些算法,一些智能的一些算法,但是黑产团伙其实从来没有放弃过这种对抗的一些博弈,他往往想从这个嗯,从企图途中获取。掘金吧,这起这样的一个黑金。好的,感谢两位,呃,我我听完两位的介绍啊,我突然有一个感受啊,我们发现就是说黑常,我虽然说他的这个作案的这个,呃,工具比较简单,然后呢,成本比较低,但是它毕竟还是有成本的,所以我发现他们是不是有点像是这个以往打游击战的这种战术,对吧,我可能损失集中一些优势,攻击一个非常关键的点,或者说我就趁你休息的时候,我就来攻击你了,就是有点游击战的味道,我不这我不知道这样理解对不对,你理解的非常的正确。
28:00
对,他其实就是利用大家说,呃,你可能在不太重要的,呃,就是这个没没太注意的阶段,或者说你在就是最脆弱的时候来选择攻击你,或者刚刚其实呃,像徐老师也讲到了,比如说如果说我们发现了某一个系统有存在漏洞,但是呢,实际上它整体的就是到修复的时间,其实是有一个时间窗口的,这个窗口刚好就是黑产攻击的一个重要的时间段,对吧。对,这是一个非常非常敏感的一个时间段,然后经经常会被用来做一种攻击。好的,所以说呃,我觉得在呃在线的观众呢,就是说我们特别是企业的用户啊,大家一定要注意就是黑产工具的这样一些特征,这样可能才有更针对性的去进行一些防护,那呃中间再插播一条广告,就是我们的屏幕的右下角有我们的这个交流的群,为我们腾讯和绿盟的专家在在线跟大家解读一些问题,大家可以扫码进入这个群里面去进行交流,那接下来我们再把问题深入一些,就是再想请两位老师,呃,针对这个攻击者的这些主要的攻击手段做一些呃概括吧,就是可能还是呃比较技术一点,因为我们知道我们现在在线的肯定也有很多观众是这种专业观众,那他们肯定是希望听到更多呃,更深入的技术上的一些呃解答的,那我们还是先请腾讯的徐老师开始。
29:27
嗯,经过我们的观测,我们数据显示哈,在去年,嗯。黑产大量的用udp的一个攻击手段作为作为攻击业务,这种方式。这边就是我们分析了一下为什么会用优化方式。泛被黑攻击。就大量会使用大量大量使用反射攻击的手段,这是为什么呢?因为反射攻击大家都知道,我通过一个非常小的一个豹纹,就可以反弹一个非常大的一个豹纹,对服务器造成一个非常大的影响。
30:07
这个的话是一个非常重要的一个一个特征,也就是说它有非常大的一个放大系数的一个问题。呃,再有一个原因的话,由于呃,在互联网上我们比较容易去,更容易去获取得到这样一些资源。因为在互联网上有很多这样一些端口,开放的端口,比如说SDPNDP这样的服务器,就是天然的端,天然的被黑产利用来做做肉鸡攻击的一种一种攻击源,他不需要。他们不需要去去再去用很多肉鸡,他们只需要给这些扫描出这样的一些端口出来,然后给这样的一些服务器发送一下报文,然后通过这些呃,网上的一些资源就可以对。呃,在线的一些服务做做做一个非常非常好的一个攻击,这是为什么,为什么哈,会大量的udp的一种攻击手段,会大量的会采用,主要就是刚才我说的这两个方面的一些原因。
31:09
OK,嗯,那这个吴老师是研究这个江苏网络的专家,就是能不能从这个江苏网络这块来谈一下他的一些趋势和特征。啊,好的,呃,我简单从教设网络方面介绍一下,呃,这个在2021年时候,呃,教设网络发展呢,我们总结一下有以下几一个特点,第一呢是僵尸网络,嗯。呃,新型的网络结构,新型的网络结构啊,发生了变化,提升了这个僵尸网络的隐匿性。这也是僵尸网络为了躲避追踪啊,躲避追踪,躲避这个,呃。管理的一种,呃,常用的一种这个孜孜不倦追求的这种手法,僵尸网络的运营者,他更多的会使用一些这个拓儿来构建新型的僵尸网络。
32:00
啊,在今年的时候,我们发现在今年的时候发现了几个这个p two p的这个僵尸网络啊。在p two p将呃p two p网络这个网络结构不在安全的这种情况下,将了僵尸网络运营者他嗯的积极的升级僵尸网络通信的这个通信信道。因为大家都知道托尔是相对来说是比较安全的,那使用托尔网络它这个比例。从今你从这个。2021年这个数据来看啊,它的使用的比例是逐渐的升高的,僵尸网络这个它的活动越发的难以追踪和拦截,这样话也可能会导致后续几年的僵尸网络就更加的一些隐匿吧。第二个就是僵尸网络攻击者,他是构建这个僵尸网络,呃将这个攻击网络和和土地网络,他首先还是选择的,当前比较流行这个。
33:00
啊,林女士下的这个LT平台的教网络家族。因为僵尸网这个LT的设备是数量是比较是每每年都是成结数的这样的一个增长啊。扩大僵尸网络的规模啊,是黑产团伙提升打击能力的一个重要手段。呃,根据监测的数据来看啊,到僵尸网络它利用这个弱口令啊。呃,漏洞系统漏洞啊,扩张的控制范围,这个势头是越来越越来越明显了,分析那个分析发现呢,就是当前这个被。僵尸网络利用的在野漏洞,其实我们发现有72种。是最快的。其实在这个一天内。就可以集成到这个新就就可以集成新的漏洞,抢在这个设备,抢在这个设备修补漏洞之前,并感染感染设备并控制设备。利用最频繁的漏洞利用最频繁的漏洞是是这种家用路由器设备的外部管理。
34:03
为我管理咱这个,嗯,迷你执行那些漏洞。所以说漏洞对各家的这个,呃,充分的这样的一使用。那第三第三点呢,就是呃,同时我们也观测到啊迪道斯这个僵尸网络,呃主要活跃的有米戈比特以及呃比尔盖茨,还有德菲诺这几个家族。但是今天出现一个现象,就是他已经打破了以往这些家族这种嗯。某一个家族一统江湖的这样的一个局面。就在今年看起来呢,就是呃,这种局面出现以后啊,就是在后续啊,可能各个家族他可能都会都会尽力的发展自己的这样家族和扩展他的这个嗯势力范围。所以这也是在我们,在我们在新的一年,需要更加的这个关注这个家族的公益活动的一些变化。另外就是提到的僵尸王龙家族啊,他是一个。
35:02
高控制性的这样的一个网络。高控制。高度集中它的细力度的控制攻击这个频,这个频率以及攻击的目标。而且往用僵尸,大家知道僵尸网络一般是整体入,它使用的IP地址是真实的地址。他往往会发起一些CC攻击。哎,特特别是一些脉冲攻击,扫荡攻击等等这些攻击。而且在这些大流量的掩护下,它会形成更大的一些。会把他的攻击,攻击的攻击的这种能力放大。所以在这方面,我们需要保持一种高度的关注。嗯,这是我的一个观点。OK,也就是说大家平时家里面用的路由器,摄像头什么的都很有可能成为这个呃,黑团我利用的工具对吧。对对对,而且呃,在我们,我们去年也发现这样一个事件,就是一个叫什pink这个它的这个控制的量是非常大的,也是。
36:07
就是几十10万,几十万的,甚至上百万这样的控制讲的这样的一个量,所以说在这一块的话,特别是在物联网这一块,嗯,是僵尸网络家族,它瞄准的一个主要的这样一个区域。啊,所以说不管是个人用户家庭啊,还是企业啊什么的,大的这个摄像头啊,路由器什么的,平时要做好及时的更新,打补丁啊,做好一些加固啊,以免成为这个地S犯罪团伙的一个用的工具,你都不知道啊,这其实也是对咱们的网络资源的一个浪费,呃,接下来的一个问题呢,就是这些地造S攻击的团伙,他们到底来自哪?咱们有没有对他们。做一些分析和溯源,呃,也想请两位老师给大家介绍一下。呃,先请徐老师吧,还是啊,好的。
37:00
呃,就是攻击溯源的工作,对DDOS的防范,而也是一个非常重要的一个组成部分,呃,这个工作呢,是自始至终啊,一直在做,但是这里面它的难度。呃,但是即便如此的话,呃,是团队也好,包括腾讯也好,包括也好。块投入大量的能力去做里面,它主要的一个困难是在于它是一个需要时间一个问题,同时它是需要跨部门的或合作,这个合作的话,不仅是。我们公司哈,可能是需要跟公安机关或者是要到国外。去抓,抓捕相关的一些罪犯,可能要跟国外的一些机关去去合作,我这边就举了个简单例子哈,就是我们在曾经啊曾经。呃,其实就跟公安机关配合,打掉了一个就称为就暗夜的一个DDOS攻击的一个团伙。
38:01
这个过程呢,这个。打这个过程哈,这个时间必须非常非常长,嗯,不是这样,嗯。嗯,对。我们需要跟公安机关合作,在公司内部也需要跟其他平台部门去合作,呃,我们经过分析打掉这个团伙以后,我们分析哈,这里面这个分析场所有些什么样的显著特征呢?呃,我们会发现呃这个攻击团伙的一些呃控制主机好通常都会位于位于在国外,在国外的服务器上,在国外。呃,第二个特点的话,呃这些攻击。主控的机器,他们所控制的僵尸主机是会分布在全球。那么在全球,但是呢,在国内占有绝大部分的一个比例。呃,第三第三个方面的话,这种团伙它是一个分工非常及时。他们谁去打攻击,呃,谁去接单,谁去收钱,整个一条线,这个服务是这都是非常分明,呃,因此的话,因此的话就是我们可以看到就通过这个过程哈,我们要去呃,要真正去去防范好未来的攻击的话,我们应该是还是会投入到更多的一些溯源的一些工作。
39:19
呃,通过这个溯源的工作呢,就是从根本上去去。去把这个DDOS攻击的源头把它堵住啊,这可能是我们呃后面要持续去呃,加大力量去做的一些事情。这边是这边的情况啊。好的好的,嗯,接下来请吴老师再给大家介绍一下。啊,好的,那我介绍一下海外相关的一些情况,呃,主持人我在这个介绍之前,我简单的差,嗯。增加一点点啊,增加一点的一个信息,我首先先介绍一下为什么这个,嗯,有些这个。
40:00
僵尸网络都聚集在逐步向这个啊。东南亚国家聚集,我就把这个简单的介绍一下,因为我们这个在啊,我们因为我们从我们的一些数据啊,以及我们和一些主管单位一些相关的一些合作以及发现啊,其实呃,在2020年的时候。和在2021年的时候,其主管单位都推推出了这个禁网,推出了这个禁网行动,而且这个专项行动啊,力度非常大,这效果也特别明显。它是严重打击了这个攻这个黑车团伙,是的,这个攻击团伙,他的利益空间的这个肘部的这个萎缩。让他这个攻击发生的这样的一个机会也变得非常,也变得非常的少。所以他为了扩展它最大的这个利润空间呢,它逐步向一些防护比较薄弱的地区去拓展,比如说在去去往这个东南亚国家。另外,另外就是东南国家的这个博彩行业,它的产业本身也就很发达。原原原本的这个素这一块也都非常的猖獗啊,对于黑产来说,对于黑产来说,它有比较适合它生长的这样一个环境。
41:09
所以,因此就导致了这些逐步向这个东南亚国家聚集。另外就是东亚国家啊,它对。这个中国文化接受度也比较高。另外就是这个国内一些游戏出海啊,也受受到了这样的一个青睐。所以这些行业它就呃成为这个DDOS攻击的这样一个主要的目标,那D道S这个主要的目标的这个,嗯,这个迁移,或者说它的这个呃转化吧,转转啊这个转移吧,其实其实也导致了底道素的攻击的这个目标的转移。那么在海外,这在海外这一块,那对于海外来说,其实我们在溯源这一块的话,其说它是非常的非常有难度的,而且主要在国内的话,他说我们的这个啊,监管这一块还是可以,监管这块我们还可以,呃,这个达到的地方,那在海外呢,就是存在我们的监管上是无法处借的这样的一个替代,无法处借的这样地方,其实给这个溯源带来一些障碍。
42:09
在技术层面上,也可以使。实际可用的这种。像防御这样的一个手段,有效的这样手段还是目前来讲还是比较少的。这一侧面,这侧面也说明了迪道素攻击溯源呢,它是一个比较难的这样的一个问题。举个简单例子啊,呃,就是在这个反射放大攻击这一块儿。那反射放大攻击,目前它可以说是一个。厉反这个攻击之一方面它反放大的攻击,另外一方面使用的这个I是,呃,都是以欺骗的一些地址,以欺骗的地址,因它在这个IP包头。啊,包含的原地可以被这个攻击者啊的一一的设置,这不仅仅能够啊。
43:00
能够攻击,还能隐藏攻击者真实的这个来源。那在不知道,在不知道真正来源的情况就就很难去识别真正是谁发起的这样的一个攻击。所以说,呃。对于这种在对于溯源来说,这个网络攻击者资源的中间建,中间见识的这个去这个溯源去识别这一块儿,也是我们在溯源当中要攻克的这样一个难题。另外在从僵尸网络层面,僵尸网络层面它的这个嗯,C服务啊,前面老师也讲到C服务基本设置在。他设置的国外。它的还有一个好处。或者他的他的目的呢,就是逃避这个监管,逃避一些监管。而且在国外某些区域的话,嗯。某些区域的话,这种监管的这个力度是非常薄弱的,它访问和控制C的主机啊。
44:05
访问。防控制C的主机也有可能是一个跳板机,或者也是一个肉,所以这需要解决素源的这样一个问题。这就需要我们,其实我们要建立一套完整的攻击者视角的这个情报系统和这个坚介质,这个溯源系统。只有这样才可以还原。只要是攻击的,这个攻击径才真正的找到。找到真实的攻击者。好的,呃,感谢两位老师的分享,是不是我我再补充一个问题啊,就是是不是说因为国内的,呃,这个强监管的背景下导致的,也也就是说这个这帮就是搞地S的黑产,其实有很多就开始把自己的目标转移到国外,这也是导致就是咱们东南亚呃这个高发的一个最主要的原因。
45:05
是的是的,这个呃,这应该是一个比较主要的一个原因之一。啊,那那可不可以这样理解呢,就是说国内现在呃,大家面临的这个DS的这个威胁有降低吗。啊,几道S攻击,呃,几道攻击的话,它是嗯。攻击者,我们防御者,防御者的这个技术在这个提升,呃,监管的力度也在提升,但是。啊,最终这个利润黑产,黑产是追求利润的最大化,在利润的这个驱使下。他会,他也会冒着风险顶风作案,他也会常常会出现这样的一个现象。所以说在国内的话,迪斯点二它可以经常会出现一些,他在一段时间内出现一些这个。低谷,甚至再过一段时间,它会再会出现这样一个,也会增加这样的一个现象,就是在彼此消长的这样的一个印,这么一个过程当中的。
46:11
OKOK,所以其实所以其实呃并不意味着说国内就是就安全了,只要说诱惑足够大,在国内照样还会是,呃,存在这个地多的,这个攻击高发的情况啊,那说到这里,其实我们可能就要进入到接下来一个更精彩的一个环节,就是我们是想听一下两位专家,你们在日常跟这帮黑灰场进行真正的贴身肉搏的时候的一些故事,能不能分别给大家分享一下,就是咱们的一些。今年就是或者说呃,应该是2021年遇到的咱们比较经典的一些啊,这个地攻击的一些案例啊,这个。这个用户遇到什么样的情况,咱们又是怎么样帮用户解决的,然后在这个故事当中能够为大家带来一些什么启示,我们是想通过一些真实的故事来给大家一些呃借鉴啊,就是非常希望两位老师能够给我们分享一点,就是真正的案例干货,呃,我们接下来还是先请呃徐老师好吧。
47:11
嗯,好的。其实对腾讯而言,每天在腾讯云上被攻击的业务非常之多,少则上千,多则上万。呃,其实我们要举一个例子的话,其实是非常容易的,但但是今天呢,我我就举一个我们。我们是腾讯的一个非常热门的一个被攻击的业务,它的一个被攻击的情况,这个的一个攻击,整个在对抗的过程中,它有有几个非常显著的特征。首先的话,它是持续的时间非常长,从去年的五月份一直对抗到今去年的八月份,持续了有四个月左右。第二个特征的话,它它用了大多数非常非常多的复杂的一些攻击的手法。他当发现一种攻击手法不能够凑效的时候,它就会切换到另外一种。
48:05
另外一种攻击方式,第三个的话,整个过程中卷入的。相关的技术的人员非常之多,这个对抗的强度非常强。我们就举个简单例子哈,就是在这这里面哈,为什么会有这么多问题,有什么难度呢?就我们自己就是。就是这个攻击团伙,他是一个非常专业的一个团伙。它不仅它能够攻击,而且它能够去做工具,工具的开发。就攻击公开发。他能够我们业务。他对对攻击的一个分布况,哪些是关键的端口,服务器在哪些位置,他们都了如指掌。这是一个非常难以对抗团伙。第二个方面的话。这里面我们会前期会发现他,他用了大量的一些udp的一些攻击的一种方式。
49:03
大家都都知道UDB的攻击,虽然说它是无状态的一种攻击方式,呃,但是呢,这里面如果说如果说在这个配漏里面,如果没有载合的特征的话,其实对防守方而言,它是很难去区分的,他如果说要跟正常流量搅合在一起的话,是难以去区分的,同时的话,如果说攻击者他频繁的去切换攻击的一些特征的话。如果说我们是需要人工去。去把这个攻击特征把它那个识别出来,然后去下发的一些策略,然后对流量做清洗的话,这个周期是非常长的,呃,根本是我们的一些安全的人员,根本就没办没办法去应对,因此的话,在这里面的话,就是是需要去用一些呃我们自研的一些技术,然后去跟这样的一些对抗,做做对抗。第三个的话。呃,我们的刚才我刚才大家都说了一下。
50:02
攻击者,当发现他们用一种攻击手段没办法凑效的时候,他们会切换到另外一种方式去去攻击。呃,最极端的情况,他们会模拟正常的流量去对业务做攻击,在这种情况下的话。一般来说,任何一种限速的策略,包括一些特征的策略,其实都是都会失效。嗯,没办法去应对。呃,最后的话就整个攻击的强度会非常强啊,从从五暂到。到八月份整个四个月,我们攻防团队集成24小时,呃,就跟这个团伙做做对抗,呃,然后然后卷入,然后就持续的去去,当有新的攻击发生的时候,我们用新的一些策略去覆盖。然后帮助用户去及时去解决这些问题,呃,刚才我在里面说了一些,呃攻击手法,嗯,我这里面在也可以大概的再简单说一下,它这里面有哪些哈,可能是我们将来。
51:07
我们一个企业,我们一个业务在上线的时候,他可能会面临的一些非常难的一些攻击的手法,第一个攻击手法的话就是。呃,就纯TCP的,纯TCP的四层,我们叫四层CC的攻击。这种攻击的一个特点是什么呢?就是。呃,客户端它可以正常的跟服务器端建立删错所连接。这这个连接的过程的话,可以轻易的突破传统的安全防护产品的一些30的一些防护算法。突破完了以后呢。他们就会大量的发各种各样的一些垃圾的报文。这样的话,突破。对服务器端造成影响,就这个的话是一个难点,就是TCP4乘CC的一个防防护。第二个难点的话,就是刚才所说的,就udp的一个防护的一个方式。呃,Udp如果说攻击者他完全模拟正常的用户去发送攻击流量的话,其实对防护设备而言,其实也是非常难以去识别这样一些工具流量的。
52:09
所以说在这个整个过程对抗中,我们是要不断的去。去有一些新的一些手段去跟这样的一些攻击的方法去对抗,然后达到一个非常好的效果,呃就可以,呃,比较比较高兴的我们我们看到哈,就是经过就是我们这边的。不懈的努力哈,我们针对刚才所说的这些场景,我们都有一些比较高效的一些算法,跟跟他们对抗,然后能够非常快速的去检测到攻击,然后对宫颈梁做清洗。呃,从而达到能够保证我们的业务能够正常的一些,呃,为用户提供一个服务的情况。呃,这是一个非常典型的呃攻击的一个例子哈,至于这里面,其实跟这个相关的一些还有很多其他方面一些场景,我这里面就不多说了,反正呃通过这个过程的话,大家可以体会一下,呃在这个对抗过程中,其实可能没有想象中那么简单,呃,我们可能会面临着不同的一些变化,呃,我们需要可能很多情况下也是需要卷入。
53:13
呃,我们七乘24小时的专家团队,然后这样跟我们这个团伙进行对抗。嗯,才可以去有效的对我们的业务做有效的防护。好,感谢感谢徐老师,那听完刚刚这个案例的分享,其实我心情挺沉重的,因为这个地攻击他攻击者,他不光手段多,而且他还持久,而且它的技术实力还特别强,那实际上对于绝大多数的,特别是中小型的企业来说的话。其实你是拿他没办法的,他不会有像咱们这么强大的一个技术团队去跟他做长久的一个啊高质量的对抗,那就意味着你的业务势必会受到影响,所以说我觉得这个通过这个案例的分享的话,我个人反倒,反正我是觉得其实这个情况挺不容乐观的,这个大家面临的这个态势其实挺难的啊,那接下来呃,吴老师又将给大家分享什么呢?我们听一下吴老师的这个案例,哎,好的,这个案例还是比较多啊。
54:18
啊,我估计我分享的这个案例也会让你更加的感觉紧迫,有紧迫感了,呃,在这个2021年的时候,这个。六暂啊,就是在海外业务上发生一次这样的攻击,其实某一个呃,这样的一个用户的一个业务遭受攻击,他首先呢,对这个业务发这个域名发起了这样一个持续六个小时的这样的攻击,六个小时不间断的攻击。是客户在这个无奈之下,他就申请了这个三个IP地址,其实客户在这块最早他还是有一定的这个。安全意识和防护能力的他重新绑绑定了这样的域名。然后仅仅。就这之后仅仅用了十分钟。空气又直接。
55:01
攻击啊,得更换后的这个三个IP地址,而且此时呢,这个流量就已是打满了。在这个攻击峰值的时候,每秒钟,它每秒钟这个有。634G的这样的DPS。他是这样的。这肝净其实真正的肝净流量啊,其实肝净的真正流量呢,也就六十六十二六十二兆左右量肝净流量。那就是被我们这个清洗之后啊,清洗之后这个每个IP里面均保持在每个IP里面都均保持这个20兆左右。在这次攻击事件呢,攻击发攻击者发起的新早期是发起的这个,嗯,是外冲攻击它的防护蓝点,呃,其实这个流量啊,这个流量这个窜上窜下,其实这个。这个窜窜升的这个速度是非常快的。那它基于于在基于这个秒级的这个检测告警和响应是大多数第一波,大大多数情况下,就是第一波攻击就会达到这样的一个顶峰。
56:07
这攻击手法它分,呃攻击手法它以面是一个混合性攻击啊,嗯,当时我们看见的是攻击流量,它是以拉的,呃这个拉和RT这个rest flood这个,嗯,R这个为主。其实由于空气包的这个吨位,这样的一个小包。啊,在此时呢,其实我们已经把这样一个流量给。挡在挡在外面了,但时隔一周之后,一周之后的一个深夜。这个攻击,攻击的势头突然发生了一些变化。此时攻击的这个不再仅仅是说攻势这个脉冲攻击啊,它其间夹杂着这个反射攻击,扫荡攻击。一个段的IP地址。他一旦的IP里,无论是这个IP地址上面是否是否有真心的服务,或者是这个IP被启用。
57:03
他前前一不老的把流量给打过来,塞过来,其实这种趋势就就感觉有一种这种鱼死网破的这种势头。他把这个扫描,这个扫荡攻击,这个脉冲攻击,反射攻击,他一波接着一波的打过来。就这种,呃,就像像这种持续这种,这种攻击大约已经持续了20,已经持续了20天,它持续了20天,我们防御了20天。这不仅仅对这个我们抗疫人员的这个,呃,对我们抗地的这个防护能力,其实也对我们防护人员的这个体力的一种考验。在这种高强度的这个对抗下,持续这么长的时间啊,对于我们这个身心都是有有有。都是有非常大的一个挑战的。这最后攻击者他就这个久攻不下,就是引引起鼓了。这个事件呢,就说明了,就是多种攻击手段,在不同的攻击者手中,他其实会打出不同的攻击效果。
58:07
作为防御者,做我们这些防御者必须是做到这个,见招拆招。非常熟悉的掌握手中的这个防御算法,防御的这个策略。就要做到这种善于分析,灵活调度。运营好,运营好我们这个防护系统。感谢两位老师啊,那就今天抽了这么多时间来跟大家分享地S相关的一些话题,嗯,希望呢,我们今天的分享能够让屏幕之屏幕前的大家对当前的这个整体DS工具的一个威胁有一个全新的一个认识,也希望呃各位专家的意见和建议能够帮助大家更好的避免啊遭受到地多的攻击,那也非常感谢大家收看本期节目啊,如果你对这个本期节目啊还想有有更多的信息需要了解啊,那你可以联系安全419啊,也可以扫描我再呃再再打个广告,就是在扫描咱们的这个屏幕右辖方的这个二维码,进入到我们的直播讨论群里面去啊,这里面也有会有相关的专家与大家进行一对一的交流啊,那希望大家通过本期节目是有所收获啊,最后呢,那我们也会在这个群里面,把我们的这个2021年地S全球微。
59:27
写报告啊的原文给放到我们的这个交流群里面去啊,贡献给大家,希望呃大家能够有所收获,最后再次感谢大家对本期节目的关注啊,也预祝大家新年快乐,安心过新年好,然后谢谢各位。再见,谢谢。好的,谢谢,那我们今天的直播就到这里,再见。好,拜拜。再见。
我来说两句