DDoS攻擊新趨勢：海量移動設備成爲新一代肉雞

近期，阿里雲安全團隊觀察到數十起大規模的應用層資源耗盡式DDoS攻擊（應用層CC攻擊）。阿里雲DDoS高防實現智能防禦全程自動化檢測並清洗，未對用戶側業務產生任何影響，這類攻擊存在一些共同的特徵，阿里雲安全團隊對此作了跟蹤分析。

幾經溯源發現，這些攻擊事件源於大量用戶在手機上安裝了某些假裝成正常應用的惡意APP，該APP在動態接收到攻擊指令後便對目標網站發起攻擊。根據阿里雲安全團隊監測的數據顯示，近兩個月，已經有五十餘萬臺移動設備被用來當作黑客的攻擊工具，達到PC肉雞單次攻擊源規模。不難看出，假裝成正常應用的惡意APP已讓海量移動設備成爲新一代肉雞，黑灰產在攻擊手法上有進一步升級趨勢。

海量移動肉雞下的DDoS攻擊有哪些新特徵？
經過監測到的數據發現，這類攻擊有如下幾個特色:

• 移動端設備系統分佈均勻：

iOS系統約佔四成，Android系統六成；

• 攻擊規模和肉雞數量龐大且源IP不固定：

單次攻擊峯值達百萬QPS（每秒請求次數），來源於50多萬個肉雞源IP，且屢次攻擊事件之間源IP重合度很是低；

• 攻擊源IP分佈極散：

攻擊源IP分散於全球160餘個國家，近40個運營商，僅中國就有300餘個城市存在攻擊源，且多數分佈在東部及沿海網絡發達的省份；

攻擊源分佈地圖

• 攻擊源IP多爲基站IP：

近一半的攻擊源IP爲移動網絡大型基站出口，意味着同一個源IP同時承載了攻擊流量和大量正經常使用戶流量；

• 攻擊調度無規律：

因爲手機鏈接的網絡變化，以及APP的啓動和退出，咱們觀測到不斷有新的攻擊源IP加入，超過一半的攻擊源並不是在攻擊開始時就發起攻擊，且每一個攻擊源IP攻擊持續時間長短不一，單個攻擊源IP請求頻率並不高。

某次攻擊不一樣攻擊持續時長的IP量及請求量

限速和黑名單在PC肉雞時代曾是「一鍵止血」的防護方式。但以假裝成正常應用的惡意APP方式發起的攻擊，因爲移動設備遠活躍於PC設備，哪怕是一個小衆的APP，數量都至關龐大。即便單臺肉雞設備請求頻率很低，聚合起來的總請求量也足以壓垮目標網站，所以，攻擊者能夠輕易在不觸發限速防護策略的狀況下實現攻擊。

更可怕的是，因爲攻擊源多爲大型出口IP，傳統的防護方法簡單粗暴的將攻擊IP拉黑，這些IP背後的大量正經常使用戶也將沒法訪問。同時，新的肉雞會在攻擊過程當中不斷加入，黑名單的方式在這種狀況下也不見得能有效封住攻擊。曾經強大的護城河，在新攻擊態勢下變得雞肋。

黑客是如何藉助惡意APP進行攻擊的？
黑灰產在APP內嵌了一個WebView，啓動後會請求中控連接，該連接指向的頁面內嵌及加載了三個JS文件，JS以ajax異步請求的方式動態得到了JSON指令；
在非攻擊時間段，得到的JSON指令內容爲「{"message": "無數據", "code": 404}」，因爲不包含攻擊指令，JS加載後進入不斷循環，按期從新讀取JSON指令；

JSON指令決定循環OR執行攻擊

一旦攻擊者發佈攻擊JSON指令，JS即退出循環，在處理解析後會將消息傳遞迴WebView。JSON指令中指定了目標URL、請求方式、header等攻擊需發送的包內容，並指定了攻擊頻率、當前設備開始攻擊的條件、攻擊結束時間等調度參數來增長攻擊複雜度和靈活性；
WebView經過UserAgent獲得設備信息，判斷是iOS仍是Android系統，不一樣設備調用不一樣函數觸發加載惡意APP中的Java代碼，讓設備根據指令發動攻擊。

判斷設備類型：同時支持安卓及iOS

經過上述手法，全部安裝了這個APP的用戶就已經被黑灰產團伙利用，做爲攻擊肉雞，神不知鬼不覺地陸續對指定的目標業務發起了無數次的DDoS攻擊！

同時這也揭露了一個灰色產業，此類應用的全部者經過發佈APP，在各個渠道發佈誘導類的廣告吸引用戶安裝使用，以後在經過用戶使用APP賺取利潤的同時，又將全部安裝APP的用戶設備做爲攻擊肉雞提供給黑灰產來進行DDoS攻擊，進行二次獲利。

更危險的是，從攻擊流程看，攻擊者想讓這些移動設備以怎樣的方式、對誰、作什麼操做，全均可以經過JSON指令動態下發，能夠說黑灰產能利用用戶設備隨心所欲。

攻擊流程圖

除了能惡意操控移動設備發起攻擊以外，黑灰產還能夠經過在APP中植入惡意代碼，私自發送扣費類短信，藉助運營商的短信支付通道偷取用戶資費；獲取用戶的通信錄、地理位置、身份證、銀行卡等敏感信息，使用戶受到廣告騷擾、電信詐騙等，甚至還有可能被黑灰產盜用身份形成更大的損失。

如何應對這種新興DDoS攻擊威脅？
在PC肉雞時代，企業抵禦肉雞DDoS攻擊的作法相對簡單粗暴：

檢測單元：請求頻率
執行動做：限速和黑名單
防護邏輯：請求頻率太高後開始進行源限速或拉黑源IP
在沒法有效防護的狀況下，還須要人工介入抓包分析，根據攻擊具體狀況配置防禦規則，但這種響應方式相對較慢，業務廣泛已經嚴重受損。

當海量移動設備成爲新的攻擊源，黑灰產能夠輕鬆繞過上述防護邏輯。企業不該該再對「限速+黑名單就能一招制敵」抱有幻想，而應該採用更爲縱深、智能的防禦手段：

豐富攻擊流量識別的維度，將每一個請求實時的解析出多維度的檢測單元；
防禦策略的執行須要與多維度的識別相匹配，須要有精細、靈活、豐富的訪問控制單元，讓各個維度有機組合，層層過濾攻擊流量；
機器智能替代人工排查，提高響應速度，下降業務中斷時間。
儘管黑灰產只是升級了攻擊源，但企業針對這一改變所要作的安全防護工做量巨大，須要儘早行動起來作好準備。固然，企業用戶也能夠選擇購買阿里云云盾的DDoS防禦產品，對大流量型DDoS攻擊及應用層資源耗盡式DDoS攻擊（CC）作專業、智能的防禦。

對於我的用戶而言，爲了保障設備安全和數據隱私安全，阿里雲安全團隊建議，切勿從非正規渠道安裝未經審覈的APP，讓本身手機淪爲黑灰產的工具，形成沒必要要的麻煩；安裝APP時請仔細確認請求授予的權限，若發現APP請求了與功能不符的高風險權限，如「訪問通信錄」、「發送短信」等，極可能存在問題，請謹慎安裝。