2024年7月15日，以色列一家大型金融服務(wù)公司遭遇了一次極大規(guī)模的DDoS攻擊，這次高度復(fù)雜且高流量的攻擊持續(xù)了近24小時(shí)。據(jù)報(bào)道稱(chēng)，就在同一天，以色列其他金融機(jī)構(gòu)也遭遇了宕機(jī)和停機(jī)，可能同樣是由于類(lèi)似攻擊和相同攻擊者所為。

延伸閱讀，點(diǎn)擊鏈接了解 Akamai API Security

在Akamai的幫助下，這家金融機(jī)構(gòu)成功扛住了此次攻擊。Akamai將通過(guò)這篇文章分享自己觀察到的一些情報(bào)和心得體會(huì)。

攻擊分析

這次持續(xù)的大體量DDoS攻擊始于UTC時(shí)間2024年7月15日（星期一）早8:05（以色列當(dāng)?shù)貢r(shí)間早10:05），攻擊使用了包括UDP泛洪、UDP碎片、DNS反射和PSH+ACK在內(nèi)的多種攻擊途徑。這次DDoS攻擊源于全球分布的僵尸網(wǎng)絡(luò)，這一點(diǎn)最近倒是越來(lái)越普遍了。

盡管Akamai也曾處理過(guò)峰值流量更高的攻擊，但這次針對(duì)Akamai客戶(hù)的攻擊同樣規(guī)模龐大：流量介于300到798Gbps之間。Akamai的DDoS網(wǎng)絡(luò)安全平臺(tái)Prolexic曾記錄過(guò)的最大DDoS攻擊流量為1.44 Tbps，雖然這次的攻擊未達(dá)到如此程度，但強(qiáng)度依然算很高了。簡(jiǎn)單來(lái)說(shuō)，這次攻擊是Akamai Prolexic有史以來(lái)緩解的第六大DDoS流量峰值。

更重要的是，這是一次持續(xù)的、有針對(duì)性的攻擊，幾乎持續(xù)了一整天。在最初的一次小規(guī)模試探性攻擊后，緊隨其后的是一個(gè)為期三小時(shí)的攻擊窗口，在此期間Prolexic緩解的攻擊流量總量高達(dá)389TB。在整個(gè)近24小時(shí)的攻擊持續(xù)期間，Akamai Prolexic大約阻止了419TB的流量（圖1）。

圖1：最初的小規(guī)模試探性攻擊之后是一次為期三小時(shí)的攻擊窗口

大多數(shù)DDoS攻擊的持續(xù)時(shí)間較短，通常僅幾分鐘。造成這種狀況的原因有三：首先，如果成功，即便短暫的攻擊也能長(zhǎng)時(shí)間地癱瘓系統(tǒng)，并通過(guò)中斷目標(biāo)公司的業(yè)務(wù)造成重大損害；其次，短時(shí)攻擊更難讓受害者的防御系統(tǒng)和安全工程師進(jìn)行分析并做出應(yīng)對(duì)；最后，短時(shí)攻擊使攻擊者更容易用更低成本調(diào)動(dòng)大量計(jì)算資源，從而實(shí)施更有效的攻擊。然而，這次DDoS攻擊的主要攻擊窗口長(zhǎng)達(dá)三小時(shí)（圖2）。

圖2：主要攻擊窗口期間的流量流動(dòng)情況

攻擊資源通常來(lái)自感染了惡意軟件的計(jì)算機(jī)所組成的大規(guī)模僵尸網(wǎng)絡(luò)。攻擊者可以遠(yuǎn)程控制這些計(jì)算機(jī)，并利用它們對(duì)指定的受害者發(fā)起統(tǒng)一攻擊。許多其他形式的網(wǎng)絡(luò)攻擊活動(dòng)通常會(huì)無(wú)目的地隨機(jī)選擇一些系統(tǒng)或公司作為目標(biāo)，但DDoS攻擊的不同之處在于，攻擊者會(huì)有意識(shí)地指定要攻擊的目標(biāo)。

在這方面，7月15日的攻擊也不例外：它源于一個(gè)全球分布的僵尸網(wǎng)絡(luò)，目標(biāo)是同時(shí)攻擊受害者的超過(guò)278個(gè)IP地址，借此組成一次重要的第3層和第4層橫向DDoS攻擊（圖3）。這次攻擊顯然是有目的的，似乎是以某個(gè)特定國(guó)家的多個(gè)金融機(jī)構(gòu)為目標(biāo)所發(fā)起的，一次有組織的攻擊浪潮的一部分。

此外，這次攻擊在總持續(xù)時(shí)間上也非常特別。持續(xù)時(shí)間長(zhǎng)、強(qiáng)度高、攻擊向量多樣、規(guī)模大，同時(shí)具備這些特征的DDoS攻擊極為罕見(jiàn)。這需要大量資源，往往需要非常復(fù)雜的技術(shù)手段。

圖3：7月15日DDoS攻擊所針對(duì)的不同IP地址

新型DDoS造成嚴(yán)重威脅

在這次攻擊中，攻擊者顯然擁有大量資源，不僅具備發(fā)起DDoS所需的“火力”，還能花費(fèi)大量時(shí)間來(lái)控制負(fù)責(zé)發(fā)起攻擊的機(jī)器大軍。更重要的是，在同一時(shí)段，相同的攻擊者可能還“捎帶手”發(fā)起了其他幾起攻擊。

因此該攻擊者及其龐大的DDoS能力必須引起大家重視——畢竟，我們不得不假設(shè)他們有能力且愿意對(duì)其他目標(biāo)發(fā)起同樣強(qiáng)大（甚至更強(qiáng)）的攻擊，或?qū)ψ罱氖芎φ咴俅伟l(fā)起攻擊。以色列金融機(jī)構(gòu)遭遇的攻擊已經(jīng)超過(guò)一些網(wǎng)絡(luò)安全供應(yīng)商和DDoS防護(hù)解決方案的防御能力。弱點(diǎn)到底在誰(shuí)身上？攻擊者現(xiàn)在可能已經(jīng)一清二楚了。

針對(duì)以色列目標(biāo)發(fā)起的DDoS攻擊

根據(jù)Akamai內(nèi)部的DDoS威脅情報(bào)，盡管2024年還沒(méi)結(jié)束，以色列的企業(yè)和機(jī)構(gòu)就已經(jīng)遭遇了有史以來(lái)數(shù)量最多的DDoS攻擊。本文所提及的金融機(jī)構(gòu)自從2023年第4季度以來(lái)一直反復(fù)遭到DDoS攻擊。

在過(guò)去90天里，這位客戶(hù)共遭受了27次重大DDoS攻擊，每次都被Akamai Prolexic成功緩解。在7月15日這次創(chuàng)紀(jì)錄的DDoS攻擊之前，該客戶(hù)遭受的最大攻擊規(guī)模為330Gbps。

誰(shuí)最可能承受攻擊風(fēng)險(xiǎn)？

盡管此次針對(duì)以色列金融機(jī)構(gòu)的DDoS攻擊表明這些攻擊與地區(qū)沖突有關(guān)，但我們也無(wú)法預(yù)測(cè)如果攻擊者決定重新激活僵尸網(wǎng)絡(luò)并發(fā)起新一輪攻擊，誰(shuí)更有可能成為新的受害者。但可以假設(shè)攻擊者仍然擁有和7月15日的攻擊相同程度的資源，甚至攻擊者在那之后還進(jìn)一步擴(kuò)展了自己的僵尸網(wǎng)絡(luò)，并提高了攻擊效率。

DDoS攻擊是通過(guò)全球互聯(lián)網(wǎng)發(fā)起的，因此我們還必須假設(shè)該攻擊者有能力對(duì)世界上任何地區(qū)的企業(yè)和機(jī)構(gòu)發(fā)起異常強(qiáng)大的攻擊。無(wú)論這次攻擊的確切動(dòng)機(jī)是什么，該攻擊者很可能會(huì)選擇中東以外的目標(biāo)，并且這些目標(biāo)可能并不僅限于金融行業(yè)。

在之前的相關(guān)研究中，Akamai的研究人員就已經(jīng)觀察到：自2019年初以來(lái)，EMEA（歐洲、中東和非洲）地區(qū)的DDoS攻擊事件數(shù)量一直在上升，且峰值越來(lái)越高。研究人員分析了EMEA地區(qū)的DDoS數(shù)據(jù)，發(fā)現(xiàn)該地區(qū)的DDoS攻擊事件數(shù)量增長(zhǎng)程度比其他任何地區(qū)更顯著，增速甚至超過(guò)目前整體數(shù)量全球領(lǐng)先的北美地區(qū)（圖4）。

圖4：EMEA地區(qū)的DDoS攻擊事件數(shù)量增速比其他地區(qū)（包括北美）更顯著

誰(shuí)最可能受到攻擊的嚴(yán)重影響？

從技術(shù)角度來(lái)看，Akamai認(rèn)為：如果僅使用某些基于設(shè)備的、不具備云端后備容量的本地DDoS防御系統(tǒng)，這樣的企業(yè)會(huì)面臨更高風(fēng)險(xiǎn)，很大概率可能無(wú)法抵御在7月15日觀察到的這種類(lèi)型的攻擊。因?yàn)檫@類(lèi)解決方案在處理攻擊流量的能力上可能存在限制，同時(shí)還要允許合法的網(wǎng)絡(luò)流量順利通過(guò)。

同樣，如果僅依賴(lài)托管商/服務(wù)提供商所提供的DDoS保護(hù)機(jī)制，這樣的企業(yè)也更有可能在遇到這種性質(zhì)的攻擊后遭受?chē)?yán)重影響。多租戶(hù)環(huán)境中的共享DDoS防御資源，這種機(jī)制通常意味著無(wú)法為單個(gè)客戶(hù)提供足夠的防御能力。

如何最大限度降低風(fēng)險(xiǎn)

Akamai建議全球企業(yè)重新審視自己的DDoS安全態(tài)勢(shì)，加強(qiáng)防御系統(tǒng)，以抵御類(lèi)似7月15日這種攻擊的威脅。

事實(shí)上，成功抵御了7月15日攻擊的Akamai客戶(hù)，他們就曾重新評(píng)估過(guò)自己的DDoS防御措施，并決定轉(zhuǎn)為使用Akamai的Prolexic平臺(tái)，這一系列決策的根本原因恰恰是擔(dān)心自己先前的解決方案無(wú)法應(yīng)對(duì)大規(guī)模攻擊。他們的前瞻性決定取得了回報(bào)，因?yàn)樗麄兪谴舜喂衾顺敝形ㄒ粵](méi)有遭受持續(xù)宕機(jī)的主要金融機(jī)構(gòu)之一。

六個(gè)步驟應(yīng)對(duì)風(fēng)險(xiǎn)

1. 評(píng)估風(fēng)險(xiǎn)以及有的DDoS緩解服務(wù)：與DDoS防御技術(shù)供應(yīng)商聯(lián)手進(jìn)行全面、主動(dòng)的風(fēng)險(xiǎn)評(píng)估，特別是需要考慮，對(duì)于像本文所介紹的這種極為強(qiáng)力且持續(xù)的攻擊，現(xiàn)有防御機(jī)制是否足夠。
2. 檢查關(guān)鍵子網(wǎng)和IP地址空間，確保具備緩解控制措施。
3. 部署DDoS安全控制措施，采取始終開(kāi)啟的緩解態(tài)勢(shì)，以此作為第一道防線(xiàn)，避免真正遭遇攻擊后才緊急采取事后應(yīng)對(duì)措施并減輕事件響應(yīng)人員的負(fù)擔(dān)。
4. 通過(guò)基于邊緣的網(wǎng)絡(luò)云防火墻擴(kuò)展安全態(tài)勢(shì)，在基本的DDoS防護(hù)之外獲得更全面的保護(hù)。在現(xiàn)有防火墻之前（作為額外的補(bǔ)充）配置邊緣網(wǎng)絡(luò)防火墻，這是一種強(qiáng)大、易于部署和使用的工具，可以快速、集中地在全球范圍內(nèi)阻止不希望進(jìn)入網(wǎng)絡(luò)或網(wǎng)絡(luò)內(nèi)某些目標(biāo)的流量。Akamai Prolexic就在DDoS防御能力中提供了網(wǎng)絡(luò)云防火墻，我們認(rèn)為這是一項(xiàng)關(guān)鍵的防御能力。
5. 保護(hù)DNS基礎(chǔ)設(shè)施免受針對(duì)DNS的DDoS攻擊。確保部署了強(qiáng)大的權(quán)威DNS解決方案，如Akamai Edge DNS（無(wú)論主模式或從模式均可）。如果有本地或混合DNS基礎(chǔ)設(shè)施，請(qǐng)使用DNS代理解決方案（如Akamai Shield NS53），它可以實(shí)施動(dòng)態(tài)安全控制，保護(hù)網(wǎng)絡(luò)免受DNS資源耗盡（NXDOMAIN）洪水攻擊。
6. 制定事件響應(yīng)計(jì)劃和危機(jī)響應(yīng)團(tuán)隊(duì)：主動(dòng)制定全面的事件響應(yīng)計(jì)劃，明確在發(fā)生DDoS攻擊時(shí)所需采取的步驟。該計(jì)劃應(yīng)包括角色和職責(zé)、溝通渠道以及預(yù)定義的緩解策略。另外別忘了定期更新工作手冊(cè)和緊急聯(lián)系人信息。

如果你的企業(yè)在正在遭受攻擊，或需要在Akamai的幫助下預(yù)防未來(lái)的安全風(fēng)險(xiǎn)，請(qǐng)立即我們。

—————————————————————————————————————————————————

如您所在的企業(yè)也想要進(jìn)一步保護(hù)API安全，

點(diǎn)擊鏈接了解Akamai的解決方案