產(chǎn)業(yè)安全專家談 | 從攻防兩端視角看DDoS的應(yīng)對策略

2020年可以說是DDoS這一“經(jīng)典”攻擊技術(shù)的復(fù)興之年。受全球新冠疫情的重大影響,DDoS攻擊的量級也在不斷加大,業(yè)內(nèi)遭受DDoS攻擊的頻率創(chuàng)下了新高。過去一年,DDoS攻擊的手法變得多樣化,超過50Gbps的攻擊數(shù)量也急劇增加。對于許多行業(yè)和企業(yè)來說,抗D之路任重道遠(yuǎn),還有更加嚴(yán)峻的安全形勢需要面對。

那么,2020年成為DDoS攻擊增幅最大的一年,原因何在?DDoS攻擊走勢與疫情防控形勢顯著相關(guān),其關(guān)聯(lián)度體現(xiàn)在哪里?騰訊安全抵御DDoS攻擊的核心優(yōu)勢是什么?由騰訊安全聯(lián)合云+社區(qū)打造的「產(chǎn)業(yè)安全專家談」第二十七期邀請到騰訊安全DDoS防護(hù)技術(shù)總監(jiān)、研發(fā)負(fù)責(zé)人羅喜軍,深度解讀《2020年騰訊云DDoS威脅白皮書》的重點內(nèi)容,并分享騰訊安全在抗D路上的實戰(zhàn)經(jīng)驗。

Q1:《白皮書》提到,2020年是DDoS攻擊增幅最大的一年,其背后原因是什么?

羅喜軍:我們可以從攻擊者視角來看這個問題。首先,從意愿、動機(jī)的角度來看,去年突發(fā)的新冠疫情,給人們的生活方式帶來了巨大的變化,很多活動都從線下切換到了線上,同時帶來了互聯(lián)網(wǎng)服務(wù)的高速發(fā)展。業(yè)務(wù)高速發(fā)展,就會給黑產(chǎn)攻擊者帶來更多可乘之機(jī),他們的獲利空間變大;第二,在于攻擊者的能力,即資源。近幾年IoT、5G等基礎(chǔ)設(shè)施在快速發(fā)展,與此同時,安全問題也會伴隨產(chǎn)生,比如弱口令或者一些漏洞問題,很容易引發(fā)黑客攻擊,使得設(shè)備淪為“肉雞”,導(dǎo)致DDoS攻擊;而且,現(xiàn)在DDoS攻擊還有一個趨勢,就是它的攻擊逐漸工具化,現(xiàn)在叫做攻擊的SaaS化服務(wù),它能讓攻擊者的門檻變低。假設(shè)在網(wǎng)頁上注冊賬號,只要點一下鼠標(biāo)或者調(diào)用API接口就可以發(fā)起攻擊;此外,疫情也會使攻擊者的動機(jī)變強(qiáng)。疫情刺激需求,需求帶來資源,資源又在一個持續(xù)的增長過程中,而持續(xù)增長的資源在動機(jī)的強(qiáng)烈驅(qū)動下,就能夠令攻擊者更好地利用資源。綜上,攻擊動機(jī)跟攻擊資源這兩個因素使得20年的攻擊趨勢有了很大的增長。

Q2: DDoS攻擊走勢與疫情防控形勢顯著相關(guān),其關(guān)聯(lián)度體現(xiàn)在哪里?

羅喜軍:數(shù)據(jù)當(dāng)中體現(xiàn)的關(guān)聯(lián)度在于,疫情期間大家都宅在家里,線上業(yè)務(wù)爆發(fā),這時對于黑產(chǎn)團(tuán)伙來說,就是一個絕佳的攻擊機(jī)會,勢必比居家隔離前的時段獲利更大、效果更明顯。舉一個更簡單的例子,游戲。在凌晨或半夜,很少有人去玩,所以此時對攻擊者來說,他們是沒有太大動力去作惡的,因為用戶越少,獲利越低;反之,在游戲高峰期,比如晚上七八點或者中午,此時在線用戶多,如果這時發(fā)起攻擊,會讓攻擊者獲取更大的利益,對用戶和游戲行業(yè)也都能造成更大的影響。

Q3: 游戲行業(yè)仍然是主要被攻擊行業(yè)。2020年游戲行業(yè)因DDoS攻擊造成的威脅有多大?國內(nèi)的游戲企業(yè)受到的影響是否嚴(yán)重?

羅喜軍:游戲行業(yè)一直都是DDoS威脅的一個重災(zāi)區(qū),數(shù)據(jù)顯示,2020年游戲行業(yè)攻擊占比已達(dá)78%,較2019年上升28%。這個原因在于,受DDoS攻擊的區(qū)域跟與游戲行業(yè)的高度發(fā)展是比較契合的,放在全球范圍看也是一樣的,也就是說,游戲行業(yè)對DDoS攻擊感受到的影響是最明顯的。舉例說明,一個玩家在游戲過程中遭到攻擊,有可能簡單卡頓一下,也有可能直接掉線,再重連就連不上了,此時玩家對產(chǎn)品的體驗以及產(chǎn)品本身的口碑都會受到很大影響。而且,國內(nèi)的游戲企業(yè)在出海時也會遇到同樣的問題,在海外可能會遇到更加惡劣的環(huán)境。一方面是海外黑產(chǎn)團(tuán)伙的能力有可能更強(qiáng),另一方面是在海外想要采取溯源等措施也許會更加困難。因此,國內(nèi)的游戲在出海過程中受DDoS攻擊的影響會更大,比如近幾年很常見的敲詐勒索,以及一些不正當(dāng)?shù)母偁?,甚至是有些玩家在游戲中惡意牟取利益,都會影響游戲行業(yè)。目前對于黑產(chǎn)來說,DDoS攻擊依然是他們的慣用手段。

Q4: 去年出現(xiàn)了新型的UDP反射攻擊,原因是什么?為什么這些新型的反射攻擊依然集中在游戲行業(yè)?

羅喜軍:其實UDP的反射攻擊是一個比較老的攻擊手法了,但去年我們還是看到UDP反射這里有一些新情況。去年7月有研究者發(fā)現(xiàn),黑客通過幾種新的IoT設(shè)備,利用UDP反射手法發(fā)起攻擊,然后美國FBI就對這一威脅進(jìn)行了一次安全預(yù)警,通報給了美國企業(yè),導(dǎo)致黑產(chǎn)了解到這一手法,那么它就會大范圍地使用這種手法,這也是7月份之后占比偏高的原因,映射出UDP攻擊手法的一些變化。為什么還是游戲?有幾個原因,第一,游戲要保證很好的用戶體驗,需要保持低延時,所以在網(wǎng)絡(luò)協(xié)議開發(fā)上面永遠(yuǎn)都會采用UDP協(xié)議,UDP反射正好也是用UDP協(xié)議,其實兩個場景下協(xié)議是相同的;第二,新的UDP反射手法與以往不同,以往的可能會有一個反射比,發(fā)十幾字節(jié)的小包之后產(chǎn)生幾百字節(jié)的攻擊包,形成流量放大。但是這幾種UDP手法,它的包長不算特別大,它的包長與正常游戲協(xié)議的行為包長大小是差不多的,包括我們看到黑客使用的攻擊源也是這種,比如家里面的路由器或者一些其他的智能設(shè)備。從服務(wù)端來看,這些IP就是正常用戶的IP,因為就是從家庭網(wǎng)絡(luò)出來的。所以從防護(hù)端的角度來看,這幾個層面就導(dǎo)致我們很難防御這樣的一些情況,或者說它對于防御系統(tǒng)的挑戰(zhàn)會變大。因為攻擊者也喜歡以假亂真的效果,所以就會變本加厲,一旦發(fā)現(xiàn)他突破這個點,就會大肆使用這種東西。

Q5: 在安全情報的披露上面,要披露到什么程度會比較合適?

羅喜軍:這個問題更多的是站在防護(hù)者視角,或者說以正向的視角去披露。因為我們不能披露做壞事的手法,而是要告訴大家,做壞事的手法我們是掌握的,抑或是在防護(hù)的過程中,也能同時解決安全問題。但是作為防守端,并不代表我們可以去濫用安全情報的披露手法,而是在于對情況的掌控。對于整個大盤來說,包括攻防兩端,我們都能掌握威脅情報,也正是體現(xiàn)了我們的專業(yè)能力。

Q6: TCP反射攻擊威脅持續(xù)擴(kuò)大,原因是什么?

羅喜軍:TCP反射是近兩三年才出現(xiàn)的一個新手法,它在前一兩年更多的是利用網(wǎng)上開源的Web服務(wù),例如依靠通用的CDN來進(jìn)行反射。從去年開始,辦公形勢發(fā)生變化,通用的CDN已經(jīng)不能滿足攻擊需求了,于是就開始利用DNS設(shè)備,包括其他智能設(shè)備來發(fā)起。這個跟UDP反射會有一些差別,UDP反射更多是希望反射發(fā)起流量放大,達(dá)到四兩撥千斤的效果;而TCP反射沒有明顯的放大比,沒法放大流量,但是可以讓包量或者PPS達(dá)到很大的程度。包量或者PPS參數(shù)對于網(wǎng)絡(luò)設(shè)備或防護(hù)設(shè)備的性能體驗挑戰(zhàn)是比較大的,這也是TCP反射攻擊的威脅比UDP反射更難解決的原因所在,它所造成的PPS包量吞吐量會比較大,這對于我們設(shè)備的性能來說是很大的考驗。另外,TCP反射使用的是一個正常的通信協(xié)議棧,它還是以假亂真,正常的協(xié)議棧很難去區(qū)別對待,到底是正常用戶?還是一個攻擊者?這一利用點會給我們的防護(hù)體系和防護(hù)策略帶來更高的挑戰(zhàn)。所以不法黑客更加愿意利用從簡到難的方式,慢慢用UDP反射,再到TCP反射,一步步加強(qiáng),一步步試圖突破。

Q7:《白皮書》顯示,應(yīng)用層攻擊呈現(xiàn)海量化趨勢,這個點指的是什么?

羅喜軍:去年我們捕獲到一例接近300萬QPS的加密流量攻擊,之前捕獲的最大規(guī)模也就幾萬,這其實是一個幾十倍的增長。我們發(fā)現(xiàn)加密流量的威脅突然間變大,應(yīng)用層的威脅也隨之突增,然后再增。還有一個有趣的點,這些攻擊源使用的都是秒撥IP,即秒撥代理IP,它是說在業(yè)務(wù)安全領(lǐng)域,欺詐、黃牛、薅羊毛的場景可能會比較多地用到秒撥IP,因為它不停切換,必須繞過我們的風(fēng)控策略。我們發(fā)現(xiàn)秒撥IP已經(jīng)應(yīng)用于傳統(tǒng)的安全對抗領(lǐng)域,如果還是以IP的角度去做攔截防護(hù),就會有很多弊端,因為秒撥IP的特性就是不停地變,如果再用舊方法對抗它,就會發(fā)現(xiàn)我們永遠(yuǎn)落后于攻擊者,永遠(yuǎn)都是在被別人打了一波之后再去分析。

Q8:XOR.DDoS僵尸網(wǎng)絡(luò)最為活躍,原因有哪些?

羅喜軍:XOR僵尸網(wǎng)絡(luò)是比較經(jīng)典的一個僵尸網(wǎng)絡(luò),已經(jīng)10多年了,這個僵尸網(wǎng)絡(luò)感染Linux服務(wù)器,通過密碼爆破或者弱口令的方式去感染,感染之后在上面種植木馬后門,里面會種植一個DDoS攻擊工具,這個攻擊工具會被類似的“肉雞”加入到壞人的僵尸網(wǎng)絡(luò),去發(fā)起對外攻擊。這個攻擊手法是最經(jīng)典的手法,其實就是SYNFLOOD,而且是SYN大包攻擊,一般單個網(wǎng)絡(luò)的規(guī)模應(yīng)該是在100~300G左右,去年下半年由于IoT這種設(shè)備的發(fā)展,所以活躍度在下半年也會變大。去年12月份,我們在一個開源的軟件供應(yīng)鏈里面發(fā)現(xiàn)有僵尸網(wǎng)絡(luò)通過投毒的方式進(jìn)行傳播,這相對來說還是比較大的、新的趨勢。以往的傳播可能還是通過黑客去黑新“肉雞”,控制“肉雞”,然后上傳木馬、后門,上傳工具,發(fā)起攻擊,但當(dāng)時我們發(fā)現(xiàn)軟件園的安全監(jiān)控里面,它通過偽造某一個軟件供應(yīng)鏈里的一個軟件,在里面捆綁一個后門,一旦在用開源軟件搭建自己的業(yè)務(wù)體系時,發(fā)現(xiàn)這個軟件是被投毒的,那機(jī)器可能也就被種上了這樣的木馬。

Q9:與往年相比,騰訊2020年抗D最重點的技術(shù)提升方向是哪些?效果如何?

羅喜軍:第一,降本增效。我們不斷地去研發(fā)高性能的防護(hù)設(shè)備和方案,去降低在設(shè)備上的投入成本。比如以往可能更多的是單臺設(shè)備,能防御10G的流量,到去年我們已經(jīng)開始邁入到百G甚至400G的區(qū)段,這樣投入成本就會下降,運維、運營效率也會隨之提高。第二,加盟提效。通過跟一些合作伙伴共同建立安全能力,把安全能力開放給客戶。然后就是在算法層面的持續(xù)升級,我們以往的對抗形式可能還是比較傳統(tǒng),比如寫規(guī)則、寫特征,但是在攻擊手法復(fù)雜化或者強(qiáng)對抗的背景下,這樣的方法就會越來越局限,所以我們也是在不停地利用大數(shù)據(jù)或者機(jī)器學(xué)習(xí)算法,去提升策略的可配置性或靈活性,希望能夠更加智能、自動化地去處理一些高級別的攻擊手法。至于效果如何,就是產(chǎn)品的付費成本可能會下降,或者說相同成本上,能買到更多的高防能力,這是一個,因為成本是客戶重點考量的因素;第二,因為安全攻防永遠(yuǎn)是一個持續(xù)對抗的過程,而且技術(shù)的升級在于對抗效率的提升,比如以往出現(xiàn)一個攻擊手法,可能要花上三五天才能幫客戶解決,現(xiàn)在只要一天甚至半天,或者只需要調(diào)一個配置,就能解決這個問題,效率會大幅提升,客戶的受影響時間也會大大縮減。

Q10:騰訊安全為客戶提供了什么樣的增量能力和解決方案?

羅喜軍:我們之前推出了一個方案叫做“AI防護(hù)”,以前沒有它的時候,當(dāng)一個攻擊手法變化時,通常的模式是,客戶業(yè)務(wù)受損時,安全團(tuán)隊通過分析來調(diào)整和更新策略,這樣一來可能會耗上幾小時甚至更久;而在推出“AI智能防護(hù)”這種高級功能之后,客戶只需要在頁面上點一下,就可以自動分析攻擊手法的變化,自動識別和調(diào)整策略,可能只要幾分鐘時間,大量業(yè)務(wù)就能恢復(fù),這是一個點。

Q11:在黑灰產(chǎn)的攻擊手段不斷升級時,作為防守方,我們要如何跑在前面?

羅喜軍:第一,我們的威脅情報能力要求我們要把很多事情做到事前,不要被動挨打,而是主動去控盤,所以我們對于業(yè)界的威脅變化會有一個及時的捕獲、感知;第二,對于騰訊自有的業(yè)務(wù)來說,尤其是自有的游戲業(yè)務(wù),其實也會存在這樣大的威脅,包括騰訊云的客戶。比如a客戶發(fā)現(xiàn)了一些問題,能夠及時感知到,我們就能把這個問題放到整個大盤上去考慮;如果b客戶也發(fā)現(xiàn)問題,就不會很被動地處理,這就體現(xiàn)了我們的威脅情報能力;另外一點是后端的技術(shù)能力。當(dāng)一個新的問題出現(xiàn)后,技術(shù)迭代能很快解決問題并適應(yīng)這一狀況。其實我們所有后臺系統(tǒng)都是自研的,自研帶來的一個好處是可控性好,定制化的效率也會很高。當(dāng)有需求或者遇到攻擊之后,能夠很快實現(xiàn)迭代升級,這也依賴于后臺的技術(shù)模型,畢竟要支持這么快的迭代效果。

Q12:抵御DDoS領(lǐng)域最需要的核心能力是什么,我們的核心優(yōu)勢又是什么?

羅喜軍:第一,我們具備多年的技術(shù)沉淀和積累。因為安全有專業(yè)門檻,可能這里不存在捷徑;另一個層面,騰訊擁有許多業(yè)務(wù),具備海量、全新的互聯(lián)網(wǎng)業(yè)務(wù)模型,還包括騰訊云用戶的實戰(zhàn)結(jié)論,這里指的是放到實戰(zhàn)當(dāng)中,跟壞人去肉搏之后,才能知道應(yīng)該怎么打,這是我們在技術(shù)上的一些優(yōu)勢;第二,資源優(yōu)勢。因為DDoS很大程度還是在于資源的配套,像騰訊安全的產(chǎn)品擁有的后端資源儲備,比如帶寬資源儲備,BGP網(wǎng)絡(luò)的儲備等,我們各個業(yè)務(wù)的形態(tài)都能為用戶提供很高的防護(hù)帶寬和能力,這是資源優(yōu)勢;第三,安全服務(wù)。比如客戶出現(xiàn)問題需要解決時,我們能夠快速支持和響應(yīng),幫助客戶正向處理問題。

Q13:未來有哪些行業(yè)可能會成為DDoS攻擊的高發(fā)領(lǐng)域,如果這些行業(yè)需要提前部署、提前應(yīng)對的話,應(yīng)該通過哪些方面來建立自身的行業(yè)體系?

羅喜軍:理論上看,所有互聯(lián)網(wǎng)業(yè)務(wù)都會存在DDoS攻擊的可能,因為它不像是漏洞或者入侵,漏洞跟入侵是說自身存在弱點,壞人才有機(jī)會進(jìn)來;但DDoS是說,只要在網(wǎng)上就存在這種可能,因為網(wǎng)絡(luò)可達(dá)就會存在這個問題,而且DDoS的攻擊效果是最明顯的,就是讓用戶斷網(wǎng),同時給業(yè)務(wù)造成負(fù)面影響。未來,在一些新興行業(yè)當(dāng)中,可能會存在這種安全風(fēng)險。比如在線教育,網(wǎng)絡(luò)斷了,學(xué)生就沒法上網(wǎng)課;或者是在線醫(yī)療,這是真正與生命緊密相連的,所以會有很大的風(fēng)險存在。對于此類行業(yè)的客戶或企業(yè)主來說,我們的建議是:第一,企業(yè)自身要具備抗攻擊能力。如同普通人得感冒,或許不是全靠吃藥來解決問題,而是身體首先要具備一定的抵抗力。同理,業(yè)務(wù)首先要在程序、代碼開發(fā)、架構(gòu)等方面具備一定的抗攻擊能力;第二,對于架構(gòu)層面來說,當(dāng)真正出現(xiàn)問題時,要有快速的調(diào)度或熱備切換,這是容災(zāi)的問題,也可以叫做快速恢復(fù)業(yè)務(wù)的能力;第三,專業(yè)的人干專業(yè)的事,當(dāng)真正影響到企業(yè)的生存發(fā)展時,還是要找專業(yè)的安全服務(wù)團(tuán)隊來解決這個問題。

(免責(zé)聲明:本網(wǎng)站內(nèi)容主要來自原創(chuàng)、合作伙伴供稿和第三方自媒體作者投稿,凡在本網(wǎng)站出現(xiàn)的信息,均僅供參考。本網(wǎng)站將盡力確保所提供信息的準(zhǔn)確性及可靠性,但不保證有關(guān)資料的準(zhǔn)確性及可靠性,讀者在使用前請進(jìn)一步核實,并對任何自主決定的行為負(fù)責(zé)。本網(wǎng)站對有關(guān)資料所引致的錯誤、不確或遺漏,概不負(fù)任何法律責(zé)任。
任何單位或個人認(rèn)為本網(wǎng)站中的網(wǎng)頁或鏈接內(nèi)容可能涉嫌侵犯其知識產(chǎn)權(quán)或存在不實內(nèi)容時,應(yīng)及時向本網(wǎng)站提出書面權(quán)利通知或不實情況說明,并提供身份證明、權(quán)屬證明及詳細(xì)侵權(quán)或不實情況證明。本網(wǎng)站在收到上述法律文件后,將會依法盡快聯(lián)系相關(guān)文章源頭核實,溝通刪除相關(guān)內(nèi)容或斷開相關(guān)鏈接。 )