RSAC2023解讀第7期 | 企業(yè)僵尸網(wǎng)絡(luò)大機(jī)密

?本期解讀專家

全球IoT（Internet of Things，物聯(lián)網(wǎng)）設(shè)備每年以百萬級的速率快速增長，大量不安全的IoT設(shè)備成為僵尸網(wǎng)絡(luò)的主要來源。僵尸網(wǎng)絡(luò)廣泛使用網(wǎng)絡(luò)層CC攻擊，將虛假源泛洪攻擊技術(shù)與會話層攻擊技術(shù)相結(jié)合，成為互聯(lián)網(wǎng)中最難防御的攻擊之一。

在RSA大會互聯(lián)設(shè)備網(wǎng)絡(luò)物理安全板塊中，諾基亞Deepfield創(chuàng)始人Dr. Craig Labovitz博士分享了關(guān)于企業(yè)僵尸網(wǎng)絡(luò)大機(jī)密的議題。通過研究人員與全球互聯(lián)網(wǎng)提供商合作過程中的分析結(jié)果，向大家展示了來自企業(yè)僵尸網(wǎng)絡(luò)對網(wǎng)絡(luò)安全的挑戰(zhàn)。

DDoS攻擊現(xiàn)狀： 僵尸網(wǎng)絡(luò)攻擊成為主流攻擊

Dr. Craig Labovitz博士在報告的開頭指出，2022年Q2是DDoS攻擊手法變更的分水嶺，如圖1-1所示。在此之前，DDoS攻擊主要采用偽造源發(fā)起攻擊的方式，攻擊者利用網(wǎng)絡(luò)中NTP/DNS服務(wù)器的不安全配置發(fā)起反射放大型DDoS攻擊。然而，隨著2022年Q2地緣政治爆發(fā)，DDoS攻擊轉(zhuǎn)向以僵尸網(wǎng)絡(luò)攻擊為主的混合攻擊。僵尸網(wǎng)絡(luò)攻擊流量占比達(dá)到30%~50%，這些攻擊可以繞過傳統(tǒng)的抗DDoS攻擊設(shè)備。

圖1-1僵尸網(wǎng)絡(luò)攻擊成為主流DDoS攻擊

僵尸網(wǎng)絡(luò)現(xiàn)狀： 僵尸網(wǎng)絡(luò)數(shù)量激增，攻擊成本持續(xù)降低

報告指出，研究人員通過跟蹤50萬+的攻擊源分析發(fā)現(xiàn)，企業(yè)中隨處可見的IoT設(shè)備，如攝像頭、NVR（Network Video Recorder，網(wǎng)絡(luò)視頻錄像機(jī)）、DVR（Digital Video Recorder，數(shù)字視頻錄像機(jī)）、空氣調(diào)節(jié)系統(tǒng)、POS機(jī)和醫(yī)學(xué)影像系統(tǒng)等，雖然豐富了人們的工作和生活，但不安全的IoT設(shè)備卻也成為了僵尸網(wǎng)絡(luò)的主要來源。

這些IoT僵尸網(wǎng)絡(luò)具有如下特征：

01攻擊源增長迅速

根據(jù)IoT Analytics Research 2022報告中針對全球IoT市場預(yù)測，全球IoT設(shè)備每年以百萬級的速率增長，大量不安全的IoT設(shè)備也隨之增長，研究人員在分析過程中發(fā)現(xiàn)，全球活躍IoT僵尸規(guī)模為50萬至100萬。

02攻擊源出口帶寬受限

在過去20年的互聯(lián)網(wǎng)歷史中，接入互聯(lián)網(wǎng)的下行帶寬和上行帶寬比例限制為90/10，單個僵尸網(wǎng)絡(luò)發(fā)起的DDoS攻擊流量也受限于此，70%的僵尸網(wǎng)絡(luò)的出口帶寬小于50Mbps。

03攻擊成本持續(xù)降低

互聯(lián)網(wǎng)中存在數(shù)以百計的提供DDoS攻擊服務(wù)的網(wǎng)站，國際執(zhí)法部門會定期關(guān)閉這些非法網(wǎng)站，以減少偽造源攻擊和反射放大攻擊對網(wǎng)絡(luò)的影響。但是，100Gbps僵尸網(wǎng)絡(luò)攻擊成本從2018年的$1000降至$10-$20，攻擊成本的驟降使得僵尸網(wǎng)絡(luò)攻擊更易獲取，僵尸網(wǎng)絡(luò)攻擊對互聯(lián)網(wǎng)中的威脅也越來越大。

僵尸網(wǎng)絡(luò)探究： 企業(yè)僵尸對網(wǎng)絡(luò)安全的挑戰(zhàn)和威脅

報告中指出，研究人員通過分析黑客入侵IoT設(shè)備的過程發(fā)現(xiàn)，大量IoT設(shè)備存在管理員登錄密碼復(fù)雜度不高、安全補(bǔ)丁無更新等問題，使這些不安全I(xiàn)oT設(shè)備極易被入侵后成為IoT僵尸。通過對僵尸的攻擊規(guī)模、地域和構(gòu)成等分析發(fā)現(xiàn)：

僵尸網(wǎng)絡(luò)具備足以擾亂全球互聯(lián)網(wǎng)的超強(qiáng)容量

研究人員在分析過程中發(fā)現(xiàn)，在2022年至2023年的僵尸網(wǎng)絡(luò)DDoS攻擊事件中，僵尸網(wǎng)絡(luò)攻擊源規(guī)模小于5000，也出現(xiàn)過攻擊源數(shù)量大于6萬的大型僵尸網(wǎng)絡(luò)。當(dāng)前，監(jiān)測到的活躍僵尸源規(guī)模為50萬至100萬，DDoS攻擊峰值為1Tbps至2Tbps。如果這些僵尸網(wǎng)絡(luò)同時被利用，可能會導(dǎo)致攻擊規(guī)模高達(dá)50Tbps至100Tbps，足以擾亂全球互聯(lián)網(wǎng)鏈路。

僵尸網(wǎng)絡(luò)出現(xiàn)地域性變化，主要以CPE和DVR為主

2023年，美國成為最大的僵尸網(wǎng)絡(luò)發(fā)源地，其僵尸網(wǎng)絡(luò)數(shù)量占比達(dá)到24%；韓國和中國臺灣僵尸網(wǎng)絡(luò)數(shù)量分別占比11%和10%，位列第二和第三。在這些僵尸網(wǎng)絡(luò)中，CPE（Customer Premises Equipment，客戶端設(shè)備）和DVR類型的IoT設(shè)備占據(jù)了半壁江山，分別占比36.2%和33.8%。而云主機(jī)僵尸網(wǎng)絡(luò)占比3.5%，增幅最快。

僵尸網(wǎng)絡(luò)是針對每個人的網(wǎng)絡(luò)安全挑戰(zhàn)

傳統(tǒng)ISP（Internet Service Provider，互聯(lián)網(wǎng)服務(wù)提供商）、CSP（Cloud Service Provider，云服務(wù)提供商）網(wǎng)絡(luò)采用地理位置過濾、主動防御（如SYN Cookie、HTTP重定向等）以及DNS/NTP/LDAP流量限制等手段來抵御DDoS攻擊。然而，僵尸網(wǎng)絡(luò)發(fā)起的DDoS攻擊可以輕易繞過這些防御手段，給ISP/CSP的網(wǎng)絡(luò)安全帶來嚴(yán)重的挑戰(zhàn)。此外，來自ISP內(nèi)部的僵尸網(wǎng)絡(luò)攻擊也是最大的威脅之一。

華為洞察： 抗DDoS技術(shù)需要適應(yīng)新網(wǎng)絡(luò)環(huán)境和業(yè)務(wù)需求

DDoS攻擊依然是當(dāng)前互聯(lián)網(wǎng)最主要的攻擊形式之一，攻擊頻次持續(xù)增長。在2018年之前，中國境內(nèi)的DDoS攻擊主要是由行業(yè)內(nèi)惡意競爭引發(fā)的，但之后地緣政治因素導(dǎo)致的攻擊更加普遍，針對關(guān)基企業(yè)尤其是金融企業(yè)的攻擊頻次逐年倍增。為了達(dá)到攻擊效果，攻擊技術(shù)持續(xù)演進(jìn)，傳統(tǒng)防御算法失效，因此抗DDoS技術(shù)不得不持續(xù)革新；同時，優(yōu)秀的抗DDoS產(chǎn)品和方案必須不影響業(yè)務(wù)?；ヂ?lián)網(wǎng)網(wǎng)絡(luò)本身及互聯(lián)網(wǎng)業(yè)務(wù)也在持續(xù)演進(jìn)，這促使抗DDoS技術(shù)不斷演進(jìn)以適應(yīng)新的網(wǎng)絡(luò)環(huán)境和業(yè)務(wù)需求?？偟膩碚f，隨著攻擊趨勢的變化，抗DDoS技術(shù)的趨勢也隨之發(fā)生了以下幾點(diǎn)變化：

趨勢1：攻擊成本持續(xù)降低，促使超大規(guī)模攻擊異?；钴S，挑戰(zhàn)防御成本；降成本成為抗DDoS技術(shù)第一要務(wù)，動態(tài)BGP Flowspec及硬件防御加速成為抗DDoS產(chǎn)品和方案降成本主要方向。

2022年，華為監(jiān)測到超100Gbps攻擊共發(fā)生104,922次，平均每天發(fā)生287次；T級攻擊共計232次。僅中國境內(nèi)攻擊資源被利用，即可輕松發(fā)出超50Tbps攻擊。

面對異?；钴S的規(guī)模化DDoS攻擊，運(yùn)營商和ISP不得不尋求更低成本的防御方案。尤其是攻擊流量大且對防御成本敏感的運(yùn)營商市場，防御容量大、低成本的硬件抗DDoS產(chǎn)品已經(jīng)成為集采入圍的必要條件。一方面，運(yùn)營商和ISP期望最大限度利用網(wǎng)絡(luò)過濾能力，比如借助黑洞路由、靜態(tài)甚至動態(tài)BGP Flowspec源頭過濾大流量攻擊；另一方面，業(yè)界領(lǐng)先的安全廠商通過硬件實(shí)現(xiàn)網(wǎng)絡(luò)層攻擊防御加速，有效降低防御成本。硬件+CPU的分層防御架構(gòu)還可以最大限度節(jié)省CPU算力，過濾更加復(fù)雜的會話層和應(yīng)用層攻擊。

趨勢2：大流量攻擊采用“短平快”戰(zhàn)術(shù)，挑戰(zhàn)防御系統(tǒng)響應(yīng)速度；為應(yīng)對“短平快”攻擊，防御系統(tǒng)需具備“零延遲”攻擊響應(yīng)能力和自動化能力。

大流量攻擊可以在10秒內(nèi)攻擊流量峰值爬升至T級，挑戰(zhàn)防御系統(tǒng)響應(yīng)速度。其中，57.40%的攻擊發(fā)生在網(wǎng)絡(luò)層，40.49%的攻擊發(fā)生在應(yīng)用層，攻擊持續(xù)時間不超過5分鐘，挑戰(zhàn)防御系統(tǒng)的自動化程度和安全運(yùn)維團(tuán)隊的響應(yīng)速度。

然而，由于企業(yè)普遍缺乏專業(yè)安全人員和策略調(diào)優(yōu)能力，持續(xù)5分鐘的攻擊一旦形成攻擊效果，業(yè)務(wù)恢復(fù)至少需要30分鐘。日益加強(qiáng)的防御痛點(diǎn)促使企業(yè)更需要抗DDoS產(chǎn)品具備防御全流程自動化的能力。

為實(shí)現(xiàn)攻擊“零延遲”響應(yīng)，企業(yè)On-premise抗DDoS需要采用秒級甚至毫秒級響應(yīng)的逐包檢測來替代Flow檢測，以便在檢測到危及企業(yè)鏈路帶寬的大流量攻擊時，能夠通過開放API和運(yùn)營商云清洗秒級聯(lián)動的能力來支持。同時，運(yùn)營商也在探索新的檢測技術(shù)，比如路由器的逐包檢測，以加快攻擊流量識別，規(guī)避Flow檢測分鐘級檢測的弊端。

面對企業(yè)普遍缺乏專業(yè)安全技能的現(xiàn)狀，抗DDoS產(chǎn)品需具備全流程自動化的防御能力。首先，產(chǎn)品應(yīng)支持開盒即用，簡化運(yùn)維?？笵DoS產(chǎn)品應(yīng)內(nèi)置專家策略模板，通過默認(rèn)策略模板和逐包檢測實(shí)現(xiàn)毫秒級啟動防御，自動過濾99%攻擊。其次，針對復(fù)雜攻擊，抗DDoS產(chǎn)品應(yīng)提供自動評估防御效果的功能。當(dāng)檢測到漏防或者誤防時，抗DDoS產(chǎn)品應(yīng)具備自動調(diào)優(yōu)防御策略的能力，將攻防對抗時長由人工響應(yīng)的10分鐘以上縮短至30秒內(nèi)。

趨勢3：CC攻擊的頻次和復(fù)雜度不斷攀升，挑戰(zhàn)傳統(tǒng)防御算法有效性；為應(yīng)對日益復(fù)雜的CC攻擊和互聯(lián)網(wǎng)業(yè)務(wù)多樣化的趨勢，CC防御尤其是加密CC防御成為抗DDoS產(chǎn)品剛需，多維度行為分析和AI技術(shù)成為CC防御技術(shù)發(fā)展的新趨勢。

隨著運(yùn)營商提供的清洗服務(wù)不斷完善，能夠過濾大流量網(wǎng)絡(luò)層攻擊，加上企業(yè)安全意識的提高，企業(yè)購買運(yùn)營商的云清洗服務(wù)已成為共識，大大降低了大流量網(wǎng)絡(luò)層攻擊的威脅。

然而，隨著IoT網(wǎng)絡(luò)的快速發(fā)展，僵尸網(wǎng)絡(luò)規(guī)模迅猛增長，攻擊者為了提升攻擊成功率，常常采用CC攻擊手段，門戶網(wǎng)站、APP和API成為CC攻擊的主要目標(biāo)。為了保障業(yè)務(wù)安全，許多企業(yè)采取了TLS加密，但這也導(dǎo)致加密CC攻擊成為常態(tài)。為了有效躲避防御，CC攻擊呈現(xiàn)出海量僵尸單源低速化的趨勢，特別是針對金融行業(yè)的低速加密CC攻擊頻繁發(fā)生。隨著百萬級甚至千萬級請求速率的CC攻擊頻發(fā)，負(fù)載均衡和WAF（Web Application Firewall，Web應(yīng)用程序防火墻）性能瓶頸凸顯，甚至危及企業(yè)網(wǎng)絡(luò)鏈路帶寬。這促使企業(yè)的CC防御需求發(fā)生變化，一方面，要求運(yùn)營商的云清洗需具備阻攔大規(guī)模高速CC攻擊的能力；另一方面，企業(yè)網(wǎng)絡(luò)邊界的抗DDoS產(chǎn)品需具備阻斷低速CC攻擊的能力，以保護(hù)負(fù)載均衡和WAF的可用性。

為精準(zhǔn)識別機(jī)器人攻擊，專業(yè)抗DDoS產(chǎn)品需具備多維度源訪問行為分析的能力，以快速識別并阻斷高速CC攻擊；同時，還需具備AI能力，包括嵌入式AI及超大存儲容量的離線AI。借助機(jī)器學(xué)習(xí)聚類分析算法，精細(xì)化識別低頻CC攻擊。

趨勢4：針對網(wǎng)絡(luò)基礎(chǔ)設(shè)施的掃段攻擊常態(tài)化，挑戰(zhàn)傳統(tǒng)防御架構(gòu)有效性，抗DDoS產(chǎn)品和方案需新增網(wǎng)段防御層，用三層防御架構(gòu)替代單一的主機(jī)防御架構(gòu)。

掃段攻擊是一種威脅網(wǎng)絡(luò)基礎(chǔ)設(shè)備的攻擊，難以防御，被稱為無法解決的網(wǎng)絡(luò)故障。公有云、企業(yè)私有云、政務(wù)云均成為掃段攻擊目標(biāo)。目前，大多數(shù)抗DDoS產(chǎn)品仍采用單一的主機(jī)防御架構(gòu)，低速掃段單IP流量低，無法觸發(fā)閾值，漏檢率高。此外，掃段攻擊常與脈沖攻擊相結(jié)合，32位主機(jī)引流速度慢，導(dǎo)致防御成功率不足30%。當(dāng)掃段攻擊危及企業(yè)網(wǎng)絡(luò)帶寬時，黑洞路由也會失效。

為解決日益頻發(fā)的掃段攻擊威脅，亟需On-premise抗DDoS產(chǎn)品具備掃段攻擊檢測和過濾的能力，同時具備聯(lián)動運(yùn)營商上游過濾大流量掃段攻擊的能力。為了實(shí)現(xiàn)這一點(diǎn)，抗DDoS產(chǎn)品需要支持基于網(wǎng)段的流量統(tǒng)計、攻擊檢測、告警和引流，并支持基于網(wǎng)段的清洗。當(dāng)檢測到攻擊流量危及網(wǎng)絡(luò)鏈路帶寬時，與運(yùn)營商進(jìn)行秒級聯(lián)動，上游網(wǎng)絡(luò)進(jìn)行過濾。過濾方式包括通過動態(tài)BGP Flowspec在上游路由器過濾反射類掃段攻擊和通過開放API聯(lián)動運(yùn)營商云清洗，以保護(hù)企業(yè)網(wǎng)絡(luò)鏈路帶寬。

華為抗DDoS解決方案： 有效應(yīng)對復(fù)雜的僵尸網(wǎng)絡(luò)攻擊

如上節(jié)所提到的，華為在持續(xù)跟蹤DDoS攻擊現(xiàn)狀與趨勢分析中發(fā)現(xiàn)，近兩年來IoT網(wǎng)絡(luò)的快速發(fā)展促使僵尸網(wǎng)絡(luò)規(guī)模迅猛增長，攻擊者為了提升攻擊成功率，主要采用CC攻擊手段，針對門戶網(wǎng)站、APP和API目標(biāo)服務(wù)發(fā)起攻擊。

在網(wǎng)絡(luò)層CC攻擊中，僵尸網(wǎng)絡(luò)主要存在三種攻擊模式：

01模擬上傳，擁塞網(wǎng)絡(luò)

攻擊源發(fā)送報文Payload超1000字節(jié)的大報文ACK，模擬上傳。攻擊流量秒級加速，20秒內(nèi)即可將攻擊流量峰值拉升至T級，利用超大帶寬流量快速擁塞網(wǎng)絡(luò)，華為監(jiān)測到的網(wǎng)絡(luò)層CC攻擊最大峰值帶寬為912Gbps，而對應(yīng)的攻擊峰值包速率僅79Mpps。

02模擬下載，躲避攻擊檢測

攻擊源發(fā)送無Payload的ACK報文，模擬下載，華為監(jiān)測到的網(wǎng)絡(luò)層CC攻擊最大峰值包速率為139Mpps，對應(yīng)的攻擊峰值帶寬僅89Gbps。

03模擬交互，躲避攻擊檢測

攻擊源發(fā)送Payload內(nèi)容和長度變化的ACK報文，模擬客戶端和服務(wù)器交互。

華為觀察發(fā)現(xiàn)，在2021年至2022年期間，僵尸網(wǎng)絡(luò)發(fā)起的網(wǎng)絡(luò)層CC攻擊為提升攻擊躲避能力，演進(jìn)出兩種攻擊變種：

• 變種1：裹挾完整HTTPS交互的網(wǎng)絡(luò)層CC攻擊，通過誘發(fā)服務(wù)器快速重傳，擠占Outbound帶寬

• 變種2：偽造TCP Keep-Alive長時間保持TCP會話資源，以耗盡服務(wù)器會話資源。

CC攻擊的不斷演進(jìn)對防御技術(shù)的有效性提出新的挑戰(zhàn)，促使企業(yè)的CC防御需求發(fā)生變化。針對當(dāng)前僵尸網(wǎng)絡(luò)攻擊對互聯(lián)網(wǎng)絡(luò)帶來安全威脅，華為推出新一代抗DDoS解決方案，如圖1-2所示。

圖1-2華為抗DDoS解決方案

華為抗DDoS解決方案主要具備如下的防御優(yōu)勢：

01

卓越性能：為應(yīng)對常態(tài)化大流量攻擊對防御成本的挑戰(zhàn)，華為抗DDoS產(chǎn)品通過網(wǎng)絡(luò)層攻擊防御硬件加速和業(yè)務(wù)轉(zhuǎn)發(fā)加速（NP加速，Network Processor），降低防御成本，單臺設(shè)備防御性能最高2.4Tbps/1800Mpps，一臺頂六臺。

02

毫秒響應(yīng)：為應(yīng)對大流量攻擊呈現(xiàn)秒級加速及“短平快”趨勢，華為抗DDoS產(chǎn)品實(shí)現(xiàn)防御零延遲，瞬間阻斷脈沖攻擊、大流量攻擊，業(yè)務(wù)零影響。

03

精準(zhǔn)防御：華為抗DDoS產(chǎn)品采用智能7層“濾板”+多維度機(jī)器防御手段，快速阻斷網(wǎng)絡(luò)層、應(yīng)用層100+攻擊，支持傳統(tǒng)的百萬級規(guī)模的僵尸網(wǎng)絡(luò)IP信譽(yù)、攻擊特征庫、策略模板在線升級，支持防御引擎敏捷發(fā)布，快速應(yīng)對0-Day DDoS攻擊。

04

智能駕駛：為解決客戶缺乏專業(yè)安全技能的現(xiàn)狀，華為抗DDoS產(chǎn)品實(shí)現(xiàn)防御自動駕駛，系統(tǒng)默認(rèn)專家策略模板可毫秒級啟動防御，自動過濾99%攻擊，基于多維度的流量快照和業(yè)務(wù)流量基線比對實(shí)現(xiàn)防御效果自動評估，對復(fù)雜攻擊場景下漏防和誤防自動進(jìn)行防御策略自動調(diào)優(yōu)，將攻防對抗時長縮短至30秒內(nèi)。

結(jié)束語

DDoS攻擊因其簡單、低成本、難以防御的特點(diǎn)，已成為網(wǎng)絡(luò)安全領(lǐng)域不可忽視的挑戰(zhàn)之一。近兩年，僵尸網(wǎng)絡(luò)攻擊異軍突起，直接挑戰(zhàn)傳統(tǒng)防御技術(shù)的有效性。華為抗DDoS解決方案可幫助企業(yè)構(gòu)建堅不可摧的安全防線，助力企業(yè)打好DDoS反擊戰(zhàn)。