阿里雲安全運營中心：DDoS攻擊趁虛而入，經過代理攻擊已成常態

時間 2020-06-11

原文原文鏈接

應用層DDoS攻擊與傳統的DDoS攻擊有着很大不一樣。傳統的DDoS攻擊經過向攻擊目標發起大流量併發式訪問形成服務不可用，系統癱瘓，這種方式比較容易被識破，且市場上已經有成熟的應對方案。而近年來興起的應用層DDoS攻擊流量則會假裝成正常的流量，甚至和正常業務同樣，繞過防護設備，形成企業服務器不可用，業務卡頓等，對防護方形成很大困擾。安全

阿里雲安全運營中心對疫情期間的應用層DDoS攻擊事件作了深刻分析，但願給企業提高防護水位提供參考。服務器

疫情期間攻擊量級持續高位

此次疫情爆發在春節期間，2020年1-3月份抗擊疫情期間應用層DDoS攻擊量持續處於高位。尤爲是1月中旬到2月中旬疫情最嚴重時期，攻擊量與春節前期相比，有了明顯大幅提高。從圖1能夠看出，攻擊者在抗擊疫情期間「趁虛而入」，試圖從中獲利。併發

遊戲、醫療和在線教育行業成全新重點目標

據阿里雲安全運營中心統計分析發現，2020年1月16日到3月15日疫情期間，應用層DDoS攻擊環比增加幅度排名前三的分別爲醫療、在線教育及在線辦公、遊戲三大行業，如圖2所示。性能

在這期間，醫療、在線教育及在線辦公獲得了史無前例的關注，大量資源開始投入到這兩大行業中。因爲黑客逐利屬性的驅使，使得這兩大行業也成爲重點攻擊對象。同時不難看出，疫情期間，你們閉門在家，可選的娛樂活動有限，使得遊戲行業異常火爆，也所以使得遊戲行業受攻擊數量環比增加超過300%。網站

主要攻擊來源演變爲代理、感染肉雞、雲平臺服務器

經過對疫情期間數百起應用層DDoS攻擊事件及數億次攻擊請求作圖聚類分析發現，攻擊來源主要分爲三類：代理、感染肉雞、各大雲平臺服務器，且單次攻擊的攻擊來源類型單一，如圖3所示。阿里雲

從圖3能夠發現，單次攻擊一般利用單一攻擊來源發起攻擊，交叉使用不一樣攻擊源發起的攻擊數量較少。舉例來講，若是一次攻擊利用了代理做爲攻擊源，那就幾乎再也不同時利用感染肉雞或雲平臺服務器發起攻擊。spa

不一樣攻擊類型特色不一樣，企業須要作好相應的防護措施

經過不一樣攻擊源發起攻擊的次數佔比分別爲，代理攻擊源佔比78.6%，感染肉雞攻擊佔比20.65%，各大雲平臺服務器攻擊佔比0.68%。如圖4所示。3d

不一樣類型的攻擊源佔比分別爲，代理攻擊用到的攻擊源佔比爲12.40%，感染肉雞攻擊用到的攻擊源佔比爲87.42%，各大雲平臺服務器攻擊用到的攻擊源佔比0.18%。如圖5所示。代理

對圖4圖5綜合分析，咱們能夠看出：對象

1）代理攻擊已成爲常態，企業須要足夠重視

代理攻擊在全部攻擊事件中佔比最高，而攻擊源個數僅佔12.40%。對攻擊者而言，此類攻擊源性價比最高，攻擊IP易得到且成本低廉，用於攻擊時攻擊性能較好，因此成爲攻擊中的主力軍。

對企業而言，咱們建議在放行業務相關代理的基礎上，對無需使用代理訪問的網站封禁代理，可在防護中起到「四兩撥千斤」的效果。

2）感染肉雞攻擊源分散，企業應動態調整防護策略

經過感染肉雞發起的攻擊事件佔比爲20.65%，但攻擊源個數最多，佔比達87.42%。這類攻擊的攻擊源極爲分散，且對應IP每每爲寬帶/基站出口IP。對攻擊者而言，此類攻擊源在線狀況並不穩定，單個攻擊源攻擊性能通常。

對於這類攻擊源發起的攻擊，不建議企業採用IP粒度的防護方式。感染肉雞對應的IP每每是寬帶/基站出口IP，背後的正經常使用戶不少，封禁一個歷史攻擊IP的代價有多是阻止成百上千的潛在用戶正常訪問。

更進一步來說，感染肉雞的IP變化較快，設備位置的變化以及運營商的IP動態分配機制都會改變它們的IP，從而容易繞過封禁。

防禦此類攻擊，須要基於正常業務請求特性，事前封禁不可能出現的請求特徵，如純APP業務可封禁來自PC端的請求；或事中基於正常業務請求及攻擊請求的差別性，動態地調整策略。

3）借雲平臺發起攻擊量明顯下降

藉助各大雲平臺服務器發起的攻擊事件佔比最少，僅爲0.68%，且攻擊源個數僅爲0.18%。這得益於各大雲平臺針對DDoS攻擊作了嚴格管控，也形成攻擊者使用此類攻擊源攻擊的固定成本較高。

所以，咱們建議若是發現攻擊源IP來自少數幾個C段，且正常狀況下不多有該IP段的請求來訪問，能夠考慮將其封禁，避免潛在的惡意請求。

安全建議

基於上述分析，針對如何防護應用層DDoS攻擊，咱們給出以下建議：

1. 拉黑歷史攻擊IP有風險，添加需謹慎

拉黑先前攻擊中出現過的攻擊源是較爲常見的過後防護加固手段，當遭遇攻擊來自代理或各大雲平臺服務器時，這一作法確實對後續的攻擊在必定程度上有免疫效果。然而，假若趕上的是感染肉雞發起的攻擊，那封禁歷史攻擊IP的作法就是「殺敵一萬，自損三千」了。所以，拉黑歷史攻擊IP前要先對攻擊源類型加以區分，避免風險。

2.僅限制訪問頻率高的IP，防護效果有限

拉黑高頻請求的IP是最傳統的事中防護手段，在攻擊源個數較少時，這樣的作法是很是有效的。然而，上述三大類攻擊中任何一類，哪怕是攻擊源佔比最小的各大雲平臺服務器，觀測到的攻擊源數量都在萬量級。這意味着，即便防護策略嚴苛到每秒每一個IP只放行一個請求，每秒總計會有上萬的請求涌向網站，絕大多數中小網站的服務器也是沒法承受的。所以，要徹底壓制攻擊，須要打出組合拳：事前儘量封禁不可能出現的請求來源及請求特徵；事中基於攻擊與正常業務的差別動態精細化調整防護策略。頻次策略只能起到輔助防護的做用。