F5 Labs 基於許多不同的資料來源分析威脅和攻擊,其中之一是 F5 安全運營中心 (SoC),它為客戶提供 F5 Silverline DDoS 防護服務。 2021 年,SOC 阻止了針對某金融服務機構的大規模 DDoS 攻擊,攻擊流量峰值超過 840 Gbps。 SoC 與 F5 Labs 共享資料,以深入了解大規模 DDoS 攻擊。 針對此次大規模DDoS攻擊的特徵和**,我們分析了以下資料:
峰值流量為 840 Gbps。
來自 42 個不同國家的客戶受到這次攻擊的影響。
攻擊者使用不同的攻擊向量組合,例如 SYN Flood 攻擊、RST Flood 攻擊、UDP 反射攻擊和 ICMP Flood 攻擊。
客戶端平台範圍從嵌入式系統、Windows 計算機到 Linux 伺服器。
UTC 時間 2021 年 6 月 21 日星期一凌晨 3:04,SOC 檢測到針對一家金融服務機構的大規模 DDoS 攻擊。 在攻擊期間,合法流量速率保持在 25 Mbps 左右的正常水平。 在高峰期,攻擊流量達到正常流量的 33,599 倍。
八分鐘,兩峰
一開始,流量在兩分鐘的峰值後達到了第乙個峰值,約為 400 Gbps。 然後它下降到 125 Gbps,直到 UTC 時間 3:07 左右,流量再次飆公升,並在 UTC 時間凌晨 3:10 達到 840 Gbps 的第二個峰值。 一分半鐘後,流量恢復到正常水平(圖1)。
圖1:DDoS流量觀測圖。
不同的顏色代表不同的 Silverline 資料中心。
這兩個峰值似乎是由攻擊者攻擊公司的網域名稱而不是特定的IP位址引起的。 客戶使用具有兩個 IP 位址的 DNS 輪詢系統,每個 IP 位址都有乙個 90 秒的 TTL(生存時間)。 由於攻擊者的 DNS 解析會隨著輪詢而變化,因此兩個 IP 位址會在短時間內同時受到攻擊,從而導致第二次峰值。
我們推測這可能是由於攻擊者使用了多執行緒工具,執行緒數量隨著DNS結果的變化而增加,但這個結論無法得到證實。
標準攻擊,數不勝數
攻擊流量的內容並沒有什麼特別之處。 攻擊者使用了 TCP 和 UDP 兩種向量,其中 TCP 向量包括 SYN 和 RST 洪水攻擊。 UDP 向量主要是 DNS 請求反射攻擊。 此外,我們還觀察到一些ICMP流量,這些流量可能不是由攻擊者生成的,而是其他流量的“產物”。
除了嘗試控制攻擊次數外,SoC 還使用簡單的規避措施來保護客戶,包括在邊緣網路阻止 UDP 並使用各種 TCP 泛洪保護措施,有些純粹基於容量,有些使用標準 SYN cookie 技術,有些基於每個客戶端跟蹤特定的客戶端流量。
在全球多個 Silverline 資料中心中觀察到攻擊流量。 這表明流量來自許多不同國家和地區的多個不同裝置,並使用典型的 Internet 路由到達目的地。
在 Silverline 員工的幫助下,F5 Labs 檢索了一小部分受損 IP 位址樣本,以進行深入調查。 雖然我們獲得的資料集很小(只有 282 個唯一的 IP 位址),但它們揭示的資訊發人深省。 請務必注意,此小資料樣本僅包含 Silverline 基礎結構的特定裝置日誌**的 IP 位址。 我們的樣本可能小於 01%。我們沒有有關 UDP 流量的資料,因為它被截獲,並且未到達收集此示例的網路位置。
從這 282 個 IP 位址顯示的連線數量來看,資料仍然非常有限。 在攻擊期間,我們觀察到 1,304 個 TCP 連線和 680 個 ICMP 連線。
統一和分散
就總流量而言,排名前 10 的國家是美國、中國大陸、南韓、德國、荷蘭、台灣、日本、英國、香港和澳大利亞,佔我們觀察到的流量的 80%6%(圖2)。 所有這些國家都擁有強大的現代網際網絡連線。
圖 2:按總流量排名前 10 的國家/地區。
其餘19個4%的流量更加分散。 一些流量來自西歐和東歐的幾個國家,而另一些則來自不太常見的國家,如波札那、哈薩克、伊朗、伊拉克、奈米比亞和盧安達(見圖3)。 
圖 3:按總流量劃分的其他國家/地區。
我們觀察到每個國家/地區的唯一 IP 位址數量也類似,這 10 個國家/地區占受攻擊 IP 位址的 77 個3%(圖4)和其餘227%也來自不同的國家(圖5)。
圖 4:按唯一 IP 位址數量排名前 10 的國家和地區。
圖 5:具有唯一 IP 位址的其他國家/地區。
我們研究和分析了特定IP位址的網段所有者,發現大多數被攻擊的IP位址屬於“Microsoft-Corp-MSN-AS塊”擁有的網段,共有47個IP位址(16個)。6%)。總共有超過 102 個細分所有者,其中 63 個只有乙個 IP 位址。
客戶端 IP 位址研究結果
我們檢視了多個受到攻擊的 IP 位址。 雖然相當多的 IP 位址處於離線狀態或缺乏資訊,但我們仍然可以先睹為快。在這些可以挖掘更多資料的 IP 位址中,8 個被識別為 Linux,2 個是 Windows 7 或 8,1 個是 Windows Server 2008 例項,35 個是“Mikrotik Routeros 6”。44.1”。
雖然這些樣本並不全面甚至不準確,但我們可以假設攻擊者利用了 Mikrotik Routeros 中的某些特定漏洞。 此處的 Mikrotik Routeros 版本有幾個公開可用的漏洞,如果不小心,可能會導致入侵。 但是,攻擊者也極有可能單獨使用身份驗證或兩者的組合來暴力破解開放埠,從而破壞這些裝置。
在這個特定的現實案例中,攻擊者使用已知的標準技術進行大規模 DDoS 攻擊,其根本原因是它們仍然有效。 受攻擊的 IP 位址來自世界各地的裝置,它們可能是乙個殭屍網路,主要由客戶端計算機、路由器軟體和偶爾的伺服器組成。
為此,我們得出結論,對於該殭屍網路的組織者來說,網際網絡是“扁平的”,也就是說,他們不關心受到攻擊的裝置或裝置的功能,甚至不關心整個網際網絡基礎設施的狀態。 所謂“廣撒網多撈”,他們只看規模,不看裝置的特點或位置。
這種方法可以產生每秒近 1 TB 的協同攻擊,這不應該被所有人低估。 攻擊的規模和頻率正在上公升(參見 2020 年 DDoS 攻擊趨勢),並且未來可能會繼續上公升。
F5 Labs 建議至少使用以下技術來應對 DDoS 攻擊。
跟蹤流量值並建立基線。
異常流量告警(例如,大量TCP RST)。
評估目前可用於解決常見 DDoS 攻擊媒介的保護措施。
考慮使用第三方服務來擴充套件頻寬容量並改善保護。