2022 年，歐洲地區(qū)政治局勢(shì)急劇惡化，全球 DDoS 的攻擊態(tài)勢(shì)也隨之發(fā)生改變。G·Core Labs 近期發(fā)表研究報(bào)告表明，全球 DDoS 攻擊的攻擊強(qiáng)度、發(fā)起頻率以及攻擊廣度正在極速攀升，越來越多 DDos 攻擊被廣泛用于政治考量。

歐洲沖突帶來的新趨勢(shì)

東歐的局勢(shì)影響了整個(gè)網(wǎng)絡(luò)安全行業(yè)，尤其是在 DDoS 攻擊和防護(hù)領(lǐng)域。目前，各國正在成為網(wǎng)絡(luò)安全行業(yè)的積極參與者，網(wǎng)絡(luò)攻擊也開始變得復(fù)雜。

2022 年上半年，部分國家報(bào)告了對(duì)政府和金融機(jī)構(gòu)的網(wǎng)絡(luò)攻擊事件：

• 2 月 15 日，烏克蘭銀行和政府遭受了歷史上最嚴(yán)重的網(wǎng)絡(luò)攻擊，導(dǎo)致大量網(wǎng)站癱瘓，國防部網(wǎng)站和國家服務(wù)數(shù)字門戶 Diia、Oschadbank 和 PrivatBank的 ATM 網(wǎng)絡(luò)和移動(dòng)應(yīng)用程序受到嚴(yán)重影響。烏克蘭政府表示，攻擊者早已提前做好準(zhǔn)備，目的是破壞烏克蘭穩(wěn)定局勢(shì)并散播恐慌和混亂。
• 3月11日，中國官方機(jī)構(gòu)新華社表示，已經(jīng)追蹤到美國、德國和荷蘭的網(wǎng)絡(luò)攻擊，其中大部分攻擊的目標(biāo)是烏克蘭、白俄羅斯和俄羅斯的資源。值得注意的是，盡管已經(jīng)檢測(cè)到了網(wǎng)絡(luò)攻擊的來源，但并沒有將它們歸因于任何特定國家，這些攻擊可能是由在這些國家/地區(qū)獲得 IP 地址的黑客精心策劃。
• 4月8日，芬蘭國防部網(wǎng)站遭到網(wǎng)絡(luò)攻擊，該部表示正在調(diào)查此事，目前，襲擊背后的嫌疑人尚未披露。

DDoS攻擊一般是自發(fā)組成，對(duì)客戶來說，威力巨大、代價(jià)高昂的攻擊并不少見，政府機(jī)構(gòu)曾經(jīng)在防范此類攻擊時(shí)相對(duì)比較克制。目前，關(guān)于國家機(jī)構(gòu)在這一領(lǐng)域行動(dòng)的傳言常常被官員證實(shí)，例如在 2022 年 2 月底，美國司法部長公開證實(shí)，F(xiàn)BI 進(jìn)行了一次秘密行動(dòng)，以消除俄羅斯的惡意軟件，防止大規(guī)模 DDoS 攻擊。

另外，烏克蘭成立網(wǎng)絡(luò)部隊(duì)也有據(jù)可查，2022 年 2 月開始招聘人員，其主要任務(wù)是確保信息安全和保護(hù)關(guān)鍵基礎(chǔ)設(shè)施，政府對(duì)該行業(yè)的積極干預(yù)很可能從根本上改變市場(chǎng)。

DDoS 攻擊的復(fù)雜性、威力和持續(xù)時(shí)間是如何變化的？

最近幾個(gè)月，國家和行業(yè)的主要 DDoS 攻擊受害者名單發(fā)生了重大變化，攻擊正變得更加復(fù)雜和多向性。這對(duì) DDoS 攻擊的威力、地域和持續(xù)時(shí)間產(chǎn)生了明顯的影響。

幾種不同類型的 DDoS 攻擊

• Ransom DDoS 攻擊：主要為了敲詐勒索，攻擊者承諾在收到贖金后就會(huì)停止攻擊；
• 應(yīng)用層 DDoS 攻擊：干擾甚至完全癱瘓業(yè)務(wù)應(yīng)用的運(yùn)行，給目標(biāo)造成重大損失和聲譽(yù)損失；
• 網(wǎng)絡(luò)層 DDoS 攻擊：占用網(wǎng)絡(luò)帶寬并破壞目標(biāo)與合作伙伴和客戶之間的溝通。

每種類型的攻擊都利用了受害者基礎(chǔ)設(shè)施中的各種漏洞，以往的網(wǎng)絡(luò)攻擊是基于一個(gè)特定載體，但現(xiàn)在更復(fù)雜的惡意活動(dòng)所占份額越來越大，攻擊者不再直接攻擊受害者的服務(wù)器，而是癱瘓它的一個(gè)關(guān)鍵功能，沿著不同的載體進(jìn)行聯(lián)合攻擊。

根據(jù) Gcore 的數(shù)據(jù)顯示，與 2021 年相比，今年復(fù)雜的多載體攻擊數(shù)量增加了兩倍。僵尸程序和僵尸網(wǎng)絡(luò)已經(jīng)成為 DDoS 攻擊最常見的載體，HTTP 洪泛攻擊也被大量使用。

Gcore Web Application DDoS Protection檢測(cè)到的強(qiáng)大 HTTP 洪泛攻擊實(shí)例

超短攻擊次數(shù)和平均攻擊力不斷增加

近年來，超短 DDoS 攻擊的數(shù)量一直在增長，據(jù) Gcore 稱，2022 年此類攻擊的平均持續(xù)時(shí)間為 5-10 秒，最長的一次攻擊持續(xù)了 24 小時(shí)，容量為 5Gbps。

2022 年第一季度至第二季度記錄的攻擊平均功率增加了一倍多，去年是 300Gbps，今年已經(jīng)是 700Gbps。以往，這種攻擊的主要目標(biāo)是中小型公司，但今年越來越多的攻擊開始針對(duì)政府機(jī)構(gòu)。

政府機(jī)構(gòu)正成為 DDoS 攻擊的目標(biāo)

2022 年初，出現(xiàn)了近年來最強(qiáng)大的一些攻擊，其中大部分是針對(duì)政府機(jī)構(gòu)。

• 1 月 15 日，朝鮮基礎(chǔ)設(shè)施遭受網(wǎng)絡(luò)攻擊，導(dǎo)致該國完全停電 6 小時(shí)，交通癱瘓。
• 1 月 16 日，烏克蘭政府網(wǎng)站受到網(wǎng)絡(luò)攻擊，包括教育部、外交部、國家緊急事務(wù)局、部長內(nèi)閣、能源部等在內(nèi)的政府網(wǎng)站陷入癱瘓。
• 2 月 15 日，烏克蘭國防和武裝力量部、PrivatBank和Oschadbank遭到攻擊，許多烏克蘭銀行系統(tǒng)以及幾個(gè)政府網(wǎng)站陷入癱瘓。
• 2 月 23 日，烏克蘭外交部和國民議會(huì)遭到攻擊，此次大規(guī)模攻擊，導(dǎo)致幾個(gè)政府網(wǎng)站暫時(shí)癱瘓。
• 3 月 10 日，烏克蘭電信公司受到網(wǎng)絡(luò)攻擊，40分鐘內(nèi)，烏克蘭國家電信運(yùn)營商以及全國網(wǎng)絡(luò)和重要通信渠道的運(yùn)營都受到干擾。
• 3 月 11 日，Rostec 網(wǎng)站遭到黑客攻擊，這家國家航空航天和國防公司表示，自 2 月以來，它一直受到 DDoS 攻擊。
• 3 月 14 日，以色列政府網(wǎng)站受到攻擊，內(nèi)政部、國防部、衛(wèi)生部、司法部和社會(huì)服務(wù)部以及總理辦公室的網(wǎng)站遭到了破壞，此次攻擊活動(dòng)被稱為有史以來以色列遭受的最強(qiáng)大的網(wǎng)絡(luò)攻擊。
• 3 月 16 日，烏克蘭互聯(lián)網(wǎng)服務(wù)提供商 Triolan 受到攻擊，導(dǎo)致其烏克蘭用戶的互聯(lián)網(wǎng)嚴(yán)重中斷。
• 3 月 29 日，布拉德利機(jī)場(chǎng)網(wǎng)站受到攻擊，不明身份的黑客對(duì)美國布拉德利國際機(jī)場(chǎng)的網(wǎng)站發(fā)起了攻擊。
• 4 月8 日，芬蘭國防部和外交部受到攻擊，導(dǎo)致這些部門的內(nèi)部網(wǎng)站出現(xiàn)故障，全天無法使用。

企業(yè)正在遭受嚴(yán)重的洪泛攻擊

根據(jù) Gcore 的數(shù)據(jù)顯示，2022 年 Q1-Q2 最受攻擊的業(yè)務(wù)領(lǐng)域主要是電子商務(wù)、金融技術(shù)和游戲開發(fā)，該公司還分享了有關(guān)強(qiáng)大的 TCP 和 UDP 洪泛攻擊的信息。

4月14-15日，持續(xù)超過一天的 TCP Flood 攻擊金融科技公司的流量結(jié)構(gòu)

3 月 11 日，對(duì)游戲開發(fā)商的 UDP Flood 攻擊信息

增加 DDoS 攻擊防護(hù)手段

2020-2021年，隨著網(wǎng)絡(luò)游戲和娛樂行業(yè)內(nèi)容消費(fèi)的增加，DDoS 攻擊變得更加頻繁和復(fù)雜，報(bào)告建議：為了防御強(qiáng)大而復(fù)雜的 DDoS 攻擊，企業(yè)和政府機(jī)構(gòu)需要先進(jìn)的安全系統(tǒng)。因?yàn)榘凑找酝鶓T例，每年第三季度與第四季度將會(huì)是 DDoS 攻擊的高發(fā)期，年末攻擊通常比前半年高 30％ 左右。

參考文章：https://www.bleepingcomputer.com/news/security/ddos-attack-trends-in-2022-ultrashort-powerful-multivector-attacks/