点击上方蓝字·关注我们
网络安全格局在 2023 年迅速发展。特别是分布式拒绝服务 (DDoS) 攻击模式发生了重大转变。
恶意行为者正在转向一种新形式的 DDoS 攻击,将网络堆栈从第 3 层和第 4 层向上移动到第 7 层,他们的目标是破坏在线应用程序和 API 以及域名系统 (DNS) 等重要基础设施。
与传统的 DDoS 攻击不同,传统的 DDoS 攻击通常涉及压倒性的网络流量,而新型的 HTTP 泛洪攻击(HTTP Floods)(也称为 Web DDoS 海啸攻击)则侧重于应用层,在那里它们可能会被传统防御系统检测到,从而关闭网站或网络。
这些攻击不分国界,不分公司规模、行业或地理位置。关于如何应对海啸的一些最佳情报来自对现实世界攻击的研究。
什么是 Web DDoS 海啸攻击?
虽然 HTTP 泛洪攻击已经很常见很多年了,但黑客已经重新构想了它们,将网络和应用层攻击结合起来,创造了新的、更具侵略性的 Web DDoS 海啸。声称对其中许多攻击负责的恶意行为者是国家支持的团体或网络黑客行动主义者。
我们所看到的现实世界海啸的特点是多次攻击波,这些攻击波通常超过每秒数百万个请求 (RPS),并持续数小时和数天。与过去几年相比,今天的 HTTP 泛洪比他们的前辈更快。
为了进一步混淆安全团队,他们巧妙地通过伪装成合法流量并使用规避技术(例如随机标头和 IP 欺骗等)来逃避检测。
Radware最近发布的《全球威胁分析报告》强调了2023年恶意Web应用和API交易的惊人增长。与 2022 年相比,2023 年这些交易的总数激增了 171%,与 2022 年观察到的 2021 年相比增长了 128%。
激增的很大一部分可归因于第 7 层加密 Web 应用程序攻击(如 Web DDoS 海啸)的增加。
真实世界的案例研究
大型国家银行
根据Radware的全球威胁分析报告,金融机构在2023年的网络攻击中占比最高,占全球攻击的近30%。
一家著名的银行机构发现自己成为无情的 Web DDoS 海啸攻击的中心。在几天的时间里,它经历了 12 次单独的攻击波,通常每天 2-3 次。多个波次超过 100 万 RPS,其中一波峰值接近 300 万 RPS,明显高于该银行低于 1000 RPS 的典型流量水平。
同时,攻击者发起了多次超过每秒 100 吉比特 (Gbps) 的网络层体积攻击。这些攻击使用了多种攻击媒介,包括 HTTP/S 洪水、UDP 碎片攻击、TCP 握手违规、SYN 洪水等。
下图 1 显示了其中一次攻击,峰值波接近 300 万 RPS。
大型保险公司
Web DDoS 攻击的体积和持久性在最近对一家大型保险公司的攻击中也得到了展示。该公司经历了几次大规模的攻击浪潮,达到数十万RPS,多波攻击浪潮的峰值超过100万RPS。最大的攻击达到了250万RPS。
这些攻击远远超过了该公司数百RPS的典型流量速率,使其应用程序基础设施不堪重负并中断了运营。
为了使情况更加复杂,攻击者将一些攻击波与网络层体积攻击相结合,数据量超过 100 Gbps。攻击媒介包括 Web DDoS 海啸 (HTTP/S Floods)、DNS Floods、DNS 放大攻击、UDP Flood、UDP 分片攻击、NTP Flood、ICMP Flood 等。
其中一次攻击(如图 2 所示)在三小时内由多个波次组成,其中几个峰值达到 100 万 RPS,多个峰值超过 250 万 RPS。
图2:
电信公司
与金融机构一样,电信组织仍然是恶意行为者的高价值目标,因为它们存储的数据利润丰厚,并且在被破坏时会产生广泛的破坏和宣传。
举个例子:一家欧洲电信公司一再成为国家支持的攻击组织的目标。它几乎连续近两个小时与大约 100 万 RPS 的持续 Web DDoS 海啸攻击作斗争。流量峰值为 160 万RPS。请参阅图 3。
图3:
这些只是现代 Web DDoS 海啸攻击概况的几个示例。我们所知道的是,他们是无情的。速率和数量超出了本地解决方案的容量。它们具有欺骗性和复杂性,看起来像是合法的流量,并随着时间的推移而变化。它们可能会对组织造成相当大的破坏和损害。
如何防御 Web DDoS 海啸
为了应对 Web DDoS 海啸,组织需要从根本上改变其防御策略的思维方式。检测这些攻击需要解密并深入检查 L7 流量标头,而基于网络的 DDoS 保护解决方案并非如此。
标准的本地或基于云的 WAF 无法跟上规模和随机化。速率限制技术对合法流量有重大的负面影响。
相反,组织需要的是利用自适应的、人工智能驱动的算法的解决方案,这些算法旨在区分合法的流量激增和恶意攻击流量。这些算法可以快速检测未知恶意请求并生成新的签名,从而确保在不妨碍合法流量的情况下提供强大的保护。
Web DDoS 海啸的新时代已经到来,如果公司不想成为下一个措手不及的人,就需要采取一种新的主动和适应性方法来应对网络安全。
*文章消息参考来源:
Australian Privacy Commissioner Concerned Over Third-Party Breaches (thecyberexpress.com)
By Eyal Arazi, senior security solutions lead for Radware
安全资讯推荐 往期发布文章
安全资讯推荐
作者简介:GuardCyberSec,致力于各行业企业信息安全深度思考,关注网络安全等级保护、法律法规解读、传统网络安全研究、工业安全研究、数据安全研究等,为网络安全建设出一份力。
原文始发于微信公众号(信息安全ISecurity):【安全资讯】Web DDoS 海啸攻击时代和防御策略
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论