文章速览：

行业：互联网

关键字： DDoS、金融

摘要： 在2021年，SOC 阻止了一起针对金融服务机构的大规模 DDoS 攻击，攻击流量峰值超过了 840 Gbps。SOC 将数据分享给了 F5 Labs，为我们获取有关大规模 DDoS 攻击的洞察提供了依据。对于此次大规模 DDoS 攻击的特征和来源，我们经过分析得出了以下见解。

阅读时长：20分钟

 

以下文章来源于F5 Inc！作者：Malcolm Heath、F5 Silverline 员工亦有贡献

 

F5 Labs 根据多个不同的数据源分析威胁和攻击，其中一个数据源是 F5 安全运营中心 (SOC)，负责向客户提供 F5 Silverline DDoS 防护服务。在2021年，SOC 阻止了一起针对金融服务机构的大规模 DDoS 攻击，攻击流量峰值超过了 840 Gbps。SOC 将数据分享给了 F5 Labs，为我们获取有关大规模 DDoS 攻击的洞察提供了依据。对于此次大规模 DDoS 攻击的特征和来源，我们经过分析得出了以下数据：

• 峰值流量为 840 Gbps。
• 来自 42 个不同国家/地区的客户端遭到了此攻击。
• 攻击者结合使用了 SYN 洪水攻击、RST 洪水攻击、UDP 反射攻击和 ICMP 洪水攻击等不同攻击手段。
• 客户端平台从嵌入式系统、Windows 机器到 Linux 服务器不等。

 

 

 

速度快，火力大

2021 年 6 月 21 日星期一，协调世界时 (UTC) 凌晨 3 点 04 分，SOC 检测到一场大规模 DDoS 攻击正在向某金融服务机构袭来。在攻击过程中，合法流量速率保持在正常水平，约为 25 Mbps。在高峰期，攻击流量达到正常流量的 33,599 倍。

 

01 八分钟，两个峰值

一开始，流量在经过两分钟的飙升后达到第一个峰值，约为 400 Gbps。之后降至 125 Gbps，直到 UTC 3:07 左右，流量再次急剧上升，并于 UTC 凌晨 3:10 达到第二个峰值，840 Gbps。一分半钟后，流量回归正常水平（图 1）。

图 1：DDoS 流量观测图。

不同的颜色表示不同的 Silverline 数据中心。

两次峰值似乎是由于攻击者攻击公司域名（而不是特定 IP 地址）造成的。客户使用具有两个 IP 地址的 DNS 轮询系统，每个 IP 地址都有 90 秒的 TTL（Time To Live，生存时间）。由于攻击者的 DNS 解析随轮询而变，两个 IP 地址在短时间内同时受到了攻击，进而出现了第二个峰值。

我们推测，这可能是因为攻击者使用了多线程的工具，线程数量随着 DNS 结果的变化而增加，但这个结论尚无法证明。

 

02 标准攻击，数不胜数

攻击流量的内容并没有什么特别之处。攻击者使用了 TCP 和 UDP 两个向量，其中 TCP 向量包括 SYN 和 RST 洪水攻击。UDP 向量主要为 DNS 请求反射攻击。此外，我们还观察到一些 ICMP 流量，这些流量可能不是攻击者生成的，而是其他流量的“产物”。

除了设法控制攻击的数量之外，SOC 还使用了简单的规避措施来保护客户安全，包括在边缘网络拦截 UDP 及使用各种 TCP 洪水防护措施，有些措施纯粹基于容量，有些则使用标准 SYN cookie 技术，还有一些是按客户端跟踪特定的客户端流量。

 

 

客户端分析

全球多个 Silverline 数据中心都观察到了攻击流量。这表明流量来自多个不同国家/地区的多个不同设备，并使用典型的互联网路由到达目标。

在 Silverline 员工的帮助下，F5 Labs 检索了一小部分受攻击 IP 地址的样本，以进行深入调查。虽然我们获得的数据集很小（只有 282 个唯一 IP 地址），但它们揭示的信息却引人深思。需要注意的是，这个小型数据样本仅包含 Silverline 基础架构的特定设备日志中出现的 IP 地址。我们的样本很可能还不到受攻击 IP 地址总数的 0.1%。我们没有获得 UDP 流量的相关数据，因为该流量已被拦截，并未达到收集此样本的网络位置。

从这 282 个 IP 地址显示的连接数来看，数据还是非常有限的。在攻击期间，我们观察到 1,304 个 TCP 连接和 680 个 ICMP 连接。

 

01 既统一又分散

总流量排名前十位的国家/地区是美国、中国大陆、韩国、德国、荷兰、中国台湾、日本、英国、中国香港和澳大利亚，占我们所观察到的流量的 80.6%（图 2）。这些国家/地区都拥有稳健的现代互联网连接。

图 2：十大来源国家/地区（按总流量）。

我们观察到的其余 19.4% 的流量更加分散。有些流量来自西欧和东欧的几个国家/地区，有些流量来自博茨瓦纳、哈萨克斯坦、伊朗、伊拉克、纳米比亚和卢旺达等不太常见的国家/地区（见图 3）。

图 3：其他来源国家/地区（按总流量）。

我们观察到，每个国家/地区的唯一 IP 地址数量也存在类似的模式，几乎还是这十个国家/地区占受攻击 IP 地址的 77.3%（图 4），其余 22.7% 同样来自其他不同国家/地区（图 5）。

图 4：唯一 IP 地址数量排名前十的国家/地区。

 

图 5：唯一 IP 地址的其他来源国家/地区。

我们研究并分析了特定 IP 地址的网段所有者，发现大多数受攻击的 IP 地址都属于“MICROSOFT-CORP-MSN-AS_BLOCK”拥有的网段，该网段共包含 47 个 IP 地址 (16.6%)。网段所有者总计超过 102 个，其中 63 个所有者只拥有一个 IP 地址。

 

02 客户端 IP 地址研究结果

我们研究了多个受攻击的 IP 地址。虽然不少 IP 地址已经下线或缺乏信息，但我们仍然能够从中窥探一二。在这些可以挖出更多数据的 IP 地址中，有 8 个被识别为 Linux，2 个为 Windows 7 或 8，1 个为 Windows Server 2008 实例，35 个为“MikroTik RouterOS 6.44.1”。

虽然这些样本不够全面甚至不够准确，但我们可以据此推测，攻击者利用了 MikroTik RouterOS 中的某些特定漏洞。此处的 MikroTik RouterOS 版本存在几个公开可用的漏洞，稍有不慎便会引发入侵。但是，攻击者也极有可能只使用身份验证暴力破解开放端口，或组合使用两者来入侵这些设备。

 

结语

在这个具体的真实案例中，攻击者使用了已知的标准技术来实施大规模 DDoS 攻击，浅层原因是这些技术仍然好用。受攻击的 IP 地址来自世界各地的设备，它们可能是一个主要由客户端计算机、路由器软件和偶尔的服务器组成的僵尸网络。

为此，我们得出结论，对于这个僵尸网络的组织者来说，互联网是“扁平化”的，也就是说，他们并不在乎攻击的是什么设备或设备是什么功能，甚至也不在乎整个互联网基础架构的状态。所谓“广撒网，多捕鱼”，他们只看规模，不看设备特性或位置。

这种方法可以产生每秒近 1TB 的协同攻击，所有人都不应小觑。攻击规模和频率正在不断上升（请参阅 2020 年 DDoS 攻击趋势），并且未来可能会继续上升。

 

建议

F5 Labs 建议至少使用以下技术来应对 DDoS 攻击。

1跟踪流量值，建立基线。

2设置异常流量告警（例如大量的 TCP RST）。

3评估目前可以应对常见 DDoS 攻击向量的防护措施。

4考虑使用第三方服务来扩大带宽容量和提高防护能力。

 

 

 

以上是针对DDoS分享，希望对大家有帮助

 

 

阅读原文

 

 

声明：本文章版权归原作者及原出处所有 。凡本社区注明“来源：XXX或转自：XXX”的作品均转载自其它媒体，转载目的在于传递分享更多知识，内容为作者个人观点，仅供参考，并不代表本社区赞同其观点和对其真实性负责。本社区转载的文章，我们已经尽可能的对作者和来源进行了注明，若因故疏忽，造成漏注，请及时联系我们，我们将根据著作权人的要求，立即更正或者删除有关内容。本社区拥有对此声明的最终解释权。