概要

就分布式拒絕服務（DDoS）攻擊趨勢而言，2023年是具有里程碑意義的一年。網絡犯罪集團、出于地緣政治動機的黑客活動分子和惡意行為者利用物聯網（IoT）設備構建的大規模僵尸網絡以及協議級零日漏洞，對企業、政府機構以及關鍵但脆弱的公共基礎設施（包括醫院）發起了破紀錄的DDoS攻擊。

在大多數情況下，攻擊假定的目標是造成損害、生產力損失和經濟損失，并引起公眾的注意，這就是威脅行為者不斷擴展受害者范圍的原因，這些受害者已知缺乏足夠的IT安全性。重要的是要記住，DDoS攻擊是有針對性的攻擊，威脅行為者會有意識地選擇他們的目標。

在整個2023年，DDoS攻擊變得更加頻繁、持續時間更長、復雜程度更高（具有多個向量），并專注橫向目標（在同一攻擊事件中攻擊多個IP目的地）。其中，銀行和金融服務行業是最具針對性的垂直行業。針對這些行業的攻擊通常旨在造成聲譽損害，或分散安全專業人員的注意力，以發動DDoS+勒索軟件混合攻擊。在歐洲、中東、非洲（EMEA）和亞太（APAC）地區，DDoS攻擊的數量和規模已經與北美不相上下。

破紀錄的一年

DDoS攻擊的規模和復雜程度都在不斷增長，但2023年以不可預見的速度加速了這一趨勢。甚至連安全供應商及其各自的網站也受到了攻擊。2023年2月，Akamai監測到攻擊峰值高達900.1 Gbps和158.2Mpps的超大規模DDoS攻擊。9月份，Akamai再次發現并阻止了一場大規模DDoS攻擊。在這起攻擊中，網絡犯罪分子使用了ACK、PUSH、RESET和SYN洪水攻擊向量的組合，峰值為633.7 Gbps和55.1 Mpps。

這些發生在2023年的創紀錄攻擊并非只是網絡犯罪的一個異?，F象！事實證明，這些攻擊與2022年開始的“震懾式”DDoS攻擊趨勢非常一致。2022年，Akamai就曾檢測到一起創紀錄的DDoS攻擊，其最高攻擊速度為704.8 Mpps。事實上，Akamai緩解的10次最大DDoS攻擊中有8次都發生在過去18個月內。

雖然這些攻擊因其復雜性和規模而備受關注，但由于地緣政治黑客主義和其他惡意動機，2023年還發生了幾次高pps（每秒數據包數）的L3和L 4 （協議和傳輸層）DDoS攻擊。事實上，Akamai觀察到2023年此類攻擊的數量最多，比2021年增加了近50%（見圖1）。

【圖1：2021年至2023年，高pps的L3和L4層DDoS攻擊總數增長了近50%】

舊協議，新零日漏洞，以及大規模DDoS攻擊

在2023年9月和10月，網絡犯罪分子利用HTTP/2快速重置零日漏洞（CVE-2023-44487）發動了大規模的L7（應用層）DDoS攻擊。HTTP/2的一個重要功能是通過單個TCP 連接復用請求，這以并發流的形式體現。此外，想要中止請求的客戶端可以發出RST_STREAM 幀來停止數據交換?？焖僦刂霉衾么朔椒焖龠B續發送和取消請求，從而繞過服務器的并發流最大值并在未達到其配置閾值的情況下使服務器過載。

HTTP/2快速重置零日漏洞造成了創紀錄的DDoS攻擊規模。Amazon Web Services、Cloudflare和Google發布聯合報告稱，緩解攻擊的速度達到155 Mpps（Amazon）和破紀錄的 3.98 億次請求（谷歌）。

隨著更多威脅參與者使用更廣泛的僵尸網絡以及這種新的攻擊方法，HTTP/2 快速重置攻擊將繼續打破更大的記錄。

攻擊DNS基礎設施以使業務離線

Akamai每天觀察到超過11萬億次DNS請求。在2022年上半年經歷短暫下滑之后，DNS攻擊又卷土重來。2023年，Akamai緩解的DDoS攻擊中，有近60%使用了DNS組件（見圖2）。

【圖2：2023年近60%的DDoS攻擊有DNS組件，比2022年第一季度增長了近200%】

根據Akamai互聯網狀態（SOTI）在2023年3月發布的一份報告指出，多達16%的組織在其網絡中遇到了命令和控制（C2）流量，這表明攻擊正在進行中或可能存在進一步為勒索軟件攻擊鋪平道路的漏洞。DNS攻擊面無所不在的事實很明顯，攻擊者的目標是從網站和支持物聯網的設備到家庭網絡以及兩者之間的一切。

銀行和金融機構受災最重

在垂直領域中，銀行業和金融服務業是2023年遭受DDoS攻擊數量最多的行業。從歷史數據來看，自2021年以來，金融機構正越來越多地成為攻擊目標（見圖3）。在前幾年，大約10%的DDoS攻擊是針對金融服務機構的。到了2021年和2022年，這一比例上升至20%左右，并在2023年達到35%左右的峰值。

【圖3：2023年，銀行和金融服務行業遭受的DDoS攻擊數量最多；近35%的DDoS攻擊是針對金融行業的】

虛擬機僵尸網絡的力量急劇增強，以及烏克蘭和以色列戰爭引發的地緣政治黑客行動主義都是導致金融服務行業的DDoS攻擊不斷增加的原因。

事實上，親俄黑客組織（包括Killnet、REvil和Anonymous Sudan等）在2023年6月初宣布，他們將對歐洲和美國的金融機構進行大規模的協同DDoS攻擊。也許這種親俄黑客行動主義更好地解釋了金融服務垂直領域DDoS攻擊的地區變化，因為EMEA現在的事件數量幾乎是北美的兩倍（見圖4）。

【圖4：在金融服務垂直領域，EMEA的L3和L4層DDoS攻擊事件數量幾乎是北美的兩倍】

第7層（應用層）DDoS攻擊也在繼續困擾金融應用程序。威脅行為者正在不斷努力提升他們的攻擊行動、網絡和TTPs，以逃避更強大的防御機制。研究人員從許多大規模DDoS攻擊中觀察到了以下一些最常見的特征：

• 高度分散的IP/子網和國家目標；
• 豐富的攻擊源，包括受感染/租用的云服務提供商、Tor出口節點和匿名/開放代理節點；
• HTTP和DNS查詢泛洪；
• 不可緩存的URL，如主頁、隨機URL、搜索輸入和登錄端點；
• 高級攻擊者在住宅ISP、移動運營商網絡或大學網絡背后創建僵尸網絡，進行IP欺騙；
• 基于防御者的反應進行動態和適應性的進攻。

持續時間更長、更頻繁、更復雜

不僅DDoS攻擊的數量在2023年有所增加，而且攻擊類型的種類也較前幾年有所增加。橫向DDoS攻擊自2022年第四季度以來顯著增加。直到2022年第三季度，Akamai觀察到的DDoS攻擊中只有不到20%被歸類為橫向攻擊（見圖5）。但在2022年第四季度到2023年第三季度的12個月期間，Akamai持續觀察到近30%的DDoS攻擊是橫向和多目的地攻擊，增長了近50%。

傳統的DDoS攻擊通常針對高度可見的資產，例如公司的主網站，然后使用一種或多種方法（也稱為向量）發起攻擊，以淹沒支持目標的基礎設施。這種攻擊的成敗取決于攻擊的規模、載體以及資產為防止濫用而實施的檢測和緩解措施的適當性。

橫向攻擊指的是針對多個不相關目標的同時DDoS攻擊，這就是它們有時被稱為“地毯式炸彈攻擊”（carpet bomb attack）的原因所在。在這種攻擊中，攻擊者并非優先考慮單個高價值目標，而是選擇多個目標來分布攻擊，這使得安全團隊在減輕和最大化大范圍破壞的可能性方面更具挑戰性。

例如，對手可能會攻擊與特定組織關聯的所有IP地址，或者他們可能會進行更深入的偵察，以識別大量活動的服務或系統，并同時攻擊所有這些服務或系統。2022年9月，研究人員發現了一起破紀錄的DDoS攻擊，攻擊者攻擊了分布在六個物理數據中心的1813個IP地址，這是這種威脅的完美說明。

盡管這種攻擊形式早在20多年就已存在，但由于其日益流行和復雜性，橫向攻擊仍然是一個高度相關的威脅。

【圖5：2023年近30%的DDoS攻擊是橫向或地毯式攻擊】

2023年DDoS攻擊的另一個明顯趨勢是網絡犯罪分子在攻擊企業或機構時使用的媒介數量不斷增加。Akamai在2023年防御的一些規模最大、最復雜的DDoS攻擊中發現了超過14種不同的向量，其目的顯然是為了耗盡資源，壓倒目標企業的網絡安全團隊。在許多情況下，這種復雜的多向量DDoS攻擊旨在充當三重勒索攻擊的煙幕。

下圖展示了2023年第三季度網絡犯罪分子用于DDoS攻擊的不同媒介。

【圖6：2023年第三季度網絡犯罪分子用于發起DDoS攻擊的各種媒介分布】

此外，網絡犯罪分子還齊心協力地追捕那些被視為“易受攻擊的目標”。在攻擊的偵察或映射階段，威脅行為者知道哪些生產服務具有適當的保護并相應地進行計劃。中小企業；政府機構；關鍵的公共基礎設施，如學校、醫院、機場和其他運輸和物流中心，在2023年多次遭到DDoS攻擊。美國的幾個主要機場在2022年被親俄黑客組織KillNet攻擊，另一個名為NoName057(16)的俄羅斯黑客組織在2023年攻擊了加拿大的多個機場、政府和金融機構。

同樣地，臭名昭著的黑客組織Anonymous Sudan在2023年4月攻擊了印度6個主要機場和多家醫療機構。當然，這絕不是此類DDoS攻擊的詳盡列表。網絡犯罪分子將繼續利用DDoS作為一種相對廉價但有效的攻擊形式，給相關安全團隊帶來麻煩和干擾，并給政府和企業造成聲譽損害。

最后，在整個2023年，Akamai觀察到更長時間的DDoS攻擊活動重現抬頭跡象。平均而言，許多攻擊持續時間超過20分鐘，而在2021年至2023年期間，持續時間超過一小時的攻擊數量增加了50%。這與之前觀察到的持續時間通常不到2分鐘的短爆發式攻擊趨勢截然相反。

如果組織沒有適當的主動防御機制，并且響應者無法快速反應，那么短爆發式攻擊是非常有效的。當檢測到其他威脅并需要響應時，長時間的攻擊會給生產力和維持連續性的操作能力帶來負擔。

2024年可操作的DDoS防護策略

如果說2023年是企業、政府機構和關鍵公共基礎設施被高度復雜的網絡攻擊無情鎖定的一年，那么可以肯定的是，網絡犯罪分子將在2024年設定更高的目標?？杀桓腥静⒆兂山┦W絡的數字設備的激增，EMEA和APAC地區數字基礎設施的快速普及，以及歐洲和中東地區持續的地緣政治緊張局勢，將繼續營造一個混亂的環境，這對有動機的網絡罪犯來說無疑是有利的。

在這種情況下，安全專家建議組織采取以下三個可行策略：

1.積極準備DDoS防護態勢

發動DDoS攻擊的成本相對較低，特別是隨著DDoS即服務的普及，這使它們成為惡意行為者手中強有力的網絡犯罪武器。雖然無法阻止DDoS攻擊，但采取以下步驟可以最大限度地保護組織的數字資產免受此類攻擊：

• 檢查組織所有的關鍵子網和IP空間，確保具備適當的緩解控制措施。
• 以“始終在線”的防護態勢部署DDoS安全控制措施作為第一層防御，以避免緊急集成場景，并減輕事件響應者的負擔。
• 主動指定一個危機響應小組，并確保運行手冊和事件響應計劃是最新的。當真的受到攻擊時，不至于感到猝不及防。
• 使用混合保護平臺備份本地DDoS保護，該平臺可防止使本地設備過載的攻擊。
• 通過網絡云防火墻設置主動安全控制，將組織的安全態勢擴展到基本DDoS保護之外。
• 最后，利用知名和久經考驗的SOC團隊的專業知識和經驗來減輕來自關鍵內部資源的壓力。

2.保護DNS基礎設施

DNS基礎設施重新成為DDoS攻擊的主要目標。如果組織的DNS出現故障，那么在線狀態也會出現故障。攻擊可能并不總是以使DNS名稱服務器癱瘓為目標。相反地，它可能只是希望實現資源耗盡，并降低全局服務器負載平衡性能，從而致使合法請求受到影響。

在某些情況下，保護DNS基礎架構的安全性和性能可能具有挑戰性。很多時候，傳統的DNS防火墻不能提供足夠的保護。最優的解決方案應該是具備以下特征的混合平臺：

• 保護本地和云中的DNS區域免受各種攻擊，包括DNS水刑（DNS water torture）、DNS洪水等；
• 直觀、輕松地管理策略和IP允許列表，并實時提供可操作的分析，幫助組織采取主動的安全態勢；
• 通過使用高度分布式的物理訪問點（point-of-presence）基礎設施來從最近的位置響應用戶，從而提高DNS性能。

3.不要依賴“足夠好”的解決方案

也許最重要的一點是，不要假設現有的DDoS和DNS安全態勢“足夠好”，或者組織的業務不在攻擊者的目標列表上。對于毫無防備和準備不足的受害者來說，2023年可謂教訓深刻的一年，他們中的許多人低估了DDoS威脅的演變方式，同時也高估了他們現有的安全管理能力。

要小心“免費+增值”解決方案的真正成本，它會用免費或相對便宜的解決方案引誘你進入入門級服務，但卻小心翼翼地將任何有效級別的服務隱藏在付費墻后面。

最后，不要忘記從技術解決方案的角度和最佳實踐的角度對組織的防御能力進行壓力測試，這包括事件運行手冊、流程、文檔等等。

結語

如果說2023年給企業和機構上了一堂關于DDoS的課，那只能說明前一年的保護措施不再足以應對今年的攻擊。相信您一定不想在2024年遇到同樣的情況，所以是時候強化組織的防御策略了。

原文鏈接：https://www.akamai.com/blog/security/a-retrospective-on-ddos-trends-in-2023