歲末年初，各行各業都在總結過去一年的成就和經驗教訓。回首剛剛過去的鼠年，國內服務器租用服務器托管，新冠肺炎疫情當仁不讓成為了各行各業的關鍵詞。疫情的大流行導致人們大規模轉移到遠程工作和學習模式，并越發依賴在線服務，這就為網絡犯罪分子提供了更多攻擊機會。在網絡安全領域，過去一年可謂見證了分布式拒絕服務（DDoS）攻擊這個歷史悠久的攻擊手段的爆發。與往年相比，網絡犯罪分子在去年對各行業發起的DDoS攻擊在規模、頻率和復雜度上均創下了新高，攻擊動機也更是別有用心。

隨著人們進入到后疫情時代，DDoS攻擊發起者的野心恐將欲壑難填，企業需要以面對“疫情常態化”的心態來應對“加強版”DDoS攻擊的常態化。Akamai智能邊緣安全平臺在去年成功抵御了包括截至目前最大帶寬和最大吞吐量在內的數起DDoS攻擊。基于此，下文總結了Akamai平臺上觀察到的DDoS攻擊新趨勢，并提出了解決之道，旨在幫助企業在后疫情時代的安全環境中以往鑒來、更好保護自身業務發展。

攻擊規模史無前例，攻擊手段變化多端

圖一、Akamai成功幫助客戶抵御DDoS攻擊的歷史記錄

上圖中灰色部分表示帶寬——數字越大意味著被攻擊企業在互聯網的出入口位置受到的壓力越大；藍色部分表示吞吐量、即報文數量——數字越大意味著網絡設備的處理能力面臨更大壓力。由圖可見，過去十年間“灰藍”兩項指標基本呈指數型增長，國內服務器租用服務器托管，增長了約二十倍，而去年兩項指標又再次被刷新。具體而言，2020年6月的第一周，Akamai應對了迄今見到的最大規模帶寬的DDoS攻擊（灰色）。其針對的是一家互聯網主機提供商，主要攻擊對象共有五個IP地址，使用了ACK Flood、CLDAP反射、NTP Flood等九種不同的攻擊向量和多種僵尸網絡攻擊工具。這起攻擊流量來源于全球，持續了近兩個小時，最終峰值達到1.44 Tbps和385 Mpps，其中超過1 Tbps的帶寬就超過了一個小時。而上一次Akamai觀察到如此大帶寬的DDoS攻擊還是在2018年，當時的攻擊帶寬僅為1.3 Tbps[1]。由這起攻擊事件可見，攻擊者為了達到目的，非常重視DDoS攻擊技術的開發與變化。事實上，多向量DDoS攻擊在去年非常普遍，Akamai平臺緩解的攻擊中約有33%起攻擊包含三個或更多攻擊向量，最高者為14個不同向量。

另一起破吞吐量紀錄的DDoS攻擊（藍色）發生在去年6月，目標為一家歐洲大型銀行。Akamai觀察到，其帶寬在幾秒鐘內從正常流量水平激增至418 Gbps，隨后在約兩分鐘內達到809 Mpps的吞吐量峰值。整起攻擊雖持續不到十分鐘，但獨特之處在于Akamai觀察到的數據包源IP地址數量大幅增加，這意味著在攻擊期間，攻擊者向該銀行目的地注冊的源IP數量大幅增加，表明攻擊來源高度分布。Akamai觀察到的每分鐘源IP數量是通常觀察到的客戶目的地址的600倍以上。以上述兩起破紀錄的DDoS攻擊為代表的去年數起攻擊反映出，雖然某些攻擊未得逞，但攻擊者愿意花費的成本與代價十分巨大，企業若沒有富有經驗的技術、人員和流程，將難以應變，最終被擊垮。

以勒索為威脅訴求，存在魚目混珠情況

從2020年8月開始，Akamai的部分客戶陸續收到幾個攻擊組織發來的DDoS攻擊勒索信。信中措辭與此前已公開的勒索內容并無二致：勒索信警告若對外曝光勒索要求，則立即發起攻擊，攻擊不但會破壞基礎設施，還將造成聲譽等更大影響。可見勒索者精心策劃過信件內容，希望達到“不戰而屈人之兵”的效果。一些勒索信注明了身份，如主要針對金融機構進行勒索的Fancy Bear（APT 28）和Armada Collective分別要求支付10個比特幣（時價為12萬美元）和20個比特幣（約合24萬美元），若超過付款期限，還會增加勒索要求。還有一些勒索信指明了攻擊目標并威脅發起一次小的“測試”攻擊來證明情況的嚴重性以及攻擊決心。

圖二、Akamai使用信號識別山寨勒索

Akamai平臺曾觀察到一個受勒索的客戶遭到了50 Gbps的攻擊，但經過分析，該勒索攻擊者并非信中聲稱的組織，而是利用知名攻擊組織的名聲來恐嚇企業加緊付款。而這樣的渾水摸魚勒索在去年的勒索型DDoS攻擊中更是屢見不鮮。上圖運用了Akamai平臺的數據和專家的經驗，將勒索DDoS攻擊中的向量、所利用的漏洞等技術特征，即“攻擊信號”進行提取，然后把該攻擊是否在平臺上出現過來鑒別已知和未知威脅，最終Akamai發現去年的勒索型DDoS攻擊并不都是信中宣稱的那些組織發起的，雖然很多人宣稱自己是某一黑客組織，但他們所使用的安全信號完全不同，有些攻擊甚至被Akamai平臺自動攔截了。從Akamai的數據來看，真正由信中宣稱的組織發起的勒索型DDoS攻擊在所有攻擊中只占約10%；從另一個角度來說，并不是每一起去年發生的DDoS攻擊都會告知勒索需求。

有組織全行業掃蕩，勒索難以獨善其身