分布式拒绝服务攻击(DDoS)是一种特殊形式的拒绝服务攻击。它是利用多台已经被攻击者所控制的机器对某一台单机发起攻击,在带宽相对的情况下,被攻击的主机很容易失去反应能力。作为一种分布、协作的大规模攻击方式,分布式拒绝服务攻击(DDoS)主要瞄准比较大的站点,像商业公司,搜索引擎和政府部门的站点。由于它通过利用一批受控制的机器向一台机器发起攻击,来势迅猛,而且往往令人难以防备,具有极大的破坏性。
高级黑客采用名为“脉冲波”的新型DDoS攻击,利用设备优先混合缓解解决方案中的漏洞锁定多个目标。
新出炉的报告中,Incapsula警告称,一种新型凶残DDoS攻击采用“脉冲波”袭击多个目标。脉冲波DDoS,是高级黑客设计出来的新攻击战术,能利用在“设备优先云其次”混合DDoS缓解解决方案中的弱点,倍增僵尸网络的输出。
脉冲波攻击由一系列类时钟脉冲的短暂爆发构成,在我们在2017年第二季度缓解的最凶残DDoS攻击占据了一定份额。最极端的案例中,攻击持续了数天,峰值可达350Gbps。
2017第二季度脉冲式DDoS攻击实例
无需逐渐增幅即可达到峰值流量的特征,首先引起了Incapsula的注意。因为这种攻击仅需数秒便达峰值。同时,该攻击的攻击模式具有高重复度,由“每10分钟一次或多次脉冲”构成。攻击持续时间最少1小时,但通常会持续数小时甚至数天。
Incapsula从未见过如此直接且精准重复的高强度峰值攻击。攻击者能在数秒之内调动 300 Gbps 的僵尸网络,再结合脉冲重现的精准持久性,无一不显示出攻击者对其攻击资源的高度掌控。
脉冲波DDoS攻击的攻击机制和受害者
Incapusla称,脉冲波DDoS事件,最有可能是高级黑客划分攻击资源以同时发起多个攻击的结果。每个脉冲之间的时间,可能用于对不同目标发起二次攻击。随着有效DDoS进程,甚至能发起更多同步攻击——进一步促进资源利用和攻击者的底线。
设备优先混合缓解解决方案对脉冲波攻击毫无抗力。事实上,Incapsula称,这些攻击就是混合解决方案防御下的网络遭受的最坏情况。
设备优先的DDoS攻击缓解方案
大多数DDoS攻击都是缓慢攀升至峰值,让设备优先混合缓解解决方案有数分钟的时间来完成云激活和流量故障转移。然而,脉冲波DDoS攻击的首次爆发便会立即切断所有同步,阻塞所有网络管道。流量激增过后,设备和云无法通信;设备无法通知云开始转移流量。脉冲期间,整个网络完全瘫痪。而到恢复之时,另一次脉冲再次袭来,如此反复,不厌其烦。
同时,设备和云间的通信缺失,意味着设备无法提供创建攻击特征所需的信息。
脉冲波DDoS背后的高级攻击者
Incapsula认为,出于多种原因,脉冲波背后是技术娴熟的高级黑客。他们精通技术,足以理解缓解解决方案,设计出精心构造的攻击来利用设备漏洞。
其次,脉冲式DDoS的攻击火力也很能说明问题;明显不是放大式的数百Gbps攻击,而需要成熟而强大的僵尸网络支持。
最后,脉冲波攻击那类似时钟的重复度,及其数秒内即可升至峰值流量的能力,也凸显出攻击者对其攻击资源的掌控程度。
过去几个月里,Incapsula见证了脉冲波DDoS对高价值目标下手,比如游戏和金融科技公司。不幸的是,其他黑客将掌握分裂攻击流量并锁定多个目标的好处,然后模仿此类攻击,预期受攻击目标将会扩大。
引起上述不足的根本原因在于运营商的各个安全系统之间是互相独立的,无法实现各个系统之间业务及服务的串联,缺少一个核心系统将各安全系统进行整合后统一对外提供运营服务。
小蚁网络介绍新推出的“立体式”DDOS安全防护体系的几大亮点:
亮点一:多重整合
有着十年IDC运营、八年专业DDOS安全防护、在国内掌握顶尖与领先DDOS攻击防范水准的小蚁网络,数以万计的DDOS攻击防范战胜经验证明了其防御体系的技高一筹。小蚁网络花巨额资金搭建了国内目前为止防御系数最高的全新“立体式”安全架构体系,由“高防服务器”、“高防智能DNS”“高防服务器集群”“集群式防火墙架构”“WEB应用防火墙” “小蚁云盾” “移动安全” “数据风控” “威胁感知” “安全管家” “CDN高速分发网络”“网络监控系统”“高防智能路由体系”等多个安全产品整合而成,从多层面、多角度、多结构集成一套多元化、高智能的完善安全防护体系。
亮点二:智能防御
小蚁的“立体式”安全防护体系通过网络监控实现定期扫描网络主节点,利用智能DNS解析系统设置监测端口,时刻提防可能存在的安全漏洞,如果一个节点遭受攻击时将会自动切换至另一节点。在面临攻击威胁时,小蚁采用的是目前较为理想的一种应对策略,以海量的容量和资源拖垮黑客的攻击,小蚁的“立体式”安全防护体系能彻底有效处理超过1000G以下SYN Flood、ACK Flood、ICMP Flood、UDP Flood、DNS Flood的DDOS攻击,并能有效处理连接耗尽、HTTP Get Flood、DNS Query Flood、CC攻击等。而面对黑客DDOS攻击时,小蚁组建的是分布式集群防御,可根据需求增加节点数量提高防御力度,宕机检测系统会快速响应更换已经瘫痪的节点服务器保证网站正常状态。还可以把攻击者发出的数据包全部返回到发送点,使攻击源变成瘫痪状态,从而削减攻击能力。
再就是定制的商用DDoS解决方案。
针对超大流量的攻击或者复杂的游戏CC攻击,可以考虑采用专业的DDoS解决方案。目前,通用的游戏行业安全解决方案,做法是在IDC机房前端部署防火墙或者流量清洗的一些设备,或者采用大带宽的高防机房来清洗攻击。
当宽带资源充足时,此技术模式的确是防御游戏行业DDoS攻击的有效方式。不过带宽资源有时也会成为瓶颈:例如单点的IDC很容易被打满,对游戏公司本身的成本要求也比较高。
在小蚁网络,我们团队去颠覆带宽“军备竞赛”的策略,是提供一个可信的访问网络,这也是游戏盾诞生的初衷。
游戏盾风控模式的初衷,是从收到访问的第一刻起,便判断它是“好”还是“坏”,从而决定它是不是可以访问到它想访问的资源;而当攻击真的发生时,也可以通过智能流量调度,将所有的业务流量切换到一个正常运作的机房,保证游戏正常运行。
某棋牌行业基于游戏盾的架构示意图
所以,通过风控理论和SDK接入技术,游戏盾可以有效地将黑客和正常玩家进行拆分,可以防御超过300G以上的超大流量攻击。
风控理论需要用到大量的云计算资源和网络资源,小蚁网络天然的优势为游戏盾带来了很好的土壤,当游戏盾能调度10万以上节点进行快速计算和快速调度的时候,那给攻击者的感觉是这个游戏已经从他们的攻击目标里面消失。
游戏盾,是小蚁网络的人工智能技术与调度算法,在安全行业中的成功实践。
而随着攻防进程的推进,网络层和接入层逐步壮大,我们希望“游戏盾”的风控模式,会逐步延展到各个行业中,建立起一张安全、可信的网络。这张网络中,传输着干净的流量,而攻击被前置到网络的边缘处。所有的端,在接入这张网络时,都会经过“高防服务器”、“高防智能DNS”“高防服务器集群”“集群式防火墙架构”“WEB应用防火墙” “小蚁云盾” “移动安全” “数据风控” “威胁感知” “安全管家” “CDN高速分发网络”“网络监控系统”“高防智能路由体系”风险控制的识别,网内的风控系统,也让坏人无法访问到他锁定资源。
未来,以资源为基础的DDoS防护时代终将被打破,演进出对DDoS真正免疫的风控架构。