网络安全大师：打造防御第7 层DDoS 攻击的终极秘籍

网络安全大师： 打造防御第7层DDoS攻击的终极秘籍 目录 前言2 第7层DDoS攻击的常见目标3 现代DDoS攻击中的常见要素7 攻击者使用的工具和技术7 此类攻击常用的漏洞9 真实示例：使用自动化技术发起DDoS攻击10 攻击手段不断升级：TLS信号仿冒11 准备好打造您自己的防御之道12 一探究竟：风险评估和漏洞识别12 避免分工不明：明确角色和职责12 量身选择合适的工具13 检测和抵御方法14 基于行为/异常的检测14 基于速率和吞吐量的检测14 基于签名的检测14 质询-响应测试14 混合方法15 传统方法15 寻找稳妥而平衡的方法，打造多层DDoS 防御策略15 Akamai一体化解决方案：工具、组成要素和 抵御方法17 未雨绸缪：借助Akamai边缘架构打造深度 防御策略17 主动控制措施18 被动控制措施18 多种要素叠加，运用秘诀打造平衡方案19 秘诀：抵御HTTPPOST泛洪攻击20 恢复和攻击后分析22 分析流量和攻击模式22 根据攻击分析结果，审查并更新防御策略23 策略要点24 攻击后分析24 维护和更新抵御策略25 持续监控和评估25 组建防DDoS攻击团队25 与威胁情报社区交流25 寻求网络安全供应商的帮助25 测试自己的防御措施25 与社区分享经验教训26 重要信息26 总结27 2024年|2 前言 即便是技能高超的安全专业人士，在面对当今的分布式拒绝服务(DDoS)攻击时，也很难找到合适的防御措施。所以对于更为复杂的第7层DDoS攻击，可能会更加力不从心。这种情况下，一种行之有效的解决办法是提供一套分步式操作说明，介绍如何使用不同的方法来应对不同的威胁。换言之，制作一份第7层DDoS攻击防御指导手册。 不同攻击者会采用不同的方法来准备发起DDoS攻击。第3层和第4层的攻击更偏向于实力比拼。谁会有更大的网络容量，攻击者还是防御者？第7层攻击则不同，这种攻击针对的是开放系统互连(OSI)模型的应用层，而应用层负责直接与软件应用程序交互。攻击的目标是通过占用容量、内存分配或者侵入这些系统处理请求途径中的弱点，彻底耗尽Web服务器、数据库或应用程序的资源。 因此，在抵御第7层DDoS攻击时会面临特殊的挑战，因为此类请求通常显示为合法的流量，想要筛选掉恶意请求但不影响合法用户，就会变得非常困难。此外，由于攻击可以利用自动化技术和云资源，这使得攻击者可以更轻易地快速发动大规模攻击。 在本文中，我们探讨了抵御第7层DDoS攻击时面临的难题，并详细介绍了攻击者采用的方案（包括所用的工具和技术）、应对这些攻击的检测和抵御策略，以及事件后分析与恢复建议。 Akamai在内容分发、网络安全和分布式云平台领域拥有成熟的经验，同时在全球设有4,200多个接入点，所以我们对当今的DDoS攻击形势有着独到的见解。应用层DDoS攻击日趋复杂，涉及的层面也多种多样，因此必须要有深刻的见解，并采取全面的防御策略。本文将满足您的这些需求。 不论您是身处一线的安全专业人士，想要寻求有关应对特定威胁或漏洞的帮助，还是作为CISO希望改善安全状况，这份指导手册都可以为您带来打造安全屏障的成功秘籍。 网络安全大师：打造防御第7层DDoS攻击的终极秘籍 2024年|3 第7层DDoS攻击的常见目标和示例 第7层DDoS攻击针对的是OSI模型的顶层，也就是应用层。这些攻击的目标是侵入Web应用程序处理请求的途径，以此来耗尽目标资源。第7层DDoS攻击的常见目标包括： Web服务器：攻击者将Web服务器作为目标，干扰向合法用户分发内容。这可能会导致网站加载速度缓慢，甚至可能完全无法访问。 Web应用程序：依赖于数据库或后端服务的应用程序非常容易遭受第7层DDoS攻击，因为这些攻击会侵入应用程序在解析请求、处理请求或管理会话时的弱点。 应用程序编程接口(API)：在现代化的Web服务和移动应用程序中，API是非常关键的组成部分。攻击者会针对API发起攻击，干扰不同软件服务之间的交互，进而影响到依靠这些API的应用程序的功能。 DNS服务：虽然DNS攻击还可能发生在其他层，但第7层攻击会涉及到利用恶意请求来轰炸DNS服务，从而干扰域名解析，导致大面积出现可访问性问题。DNSoverHTTP/TLS的采用日趋普遍，会导致此类攻击的增长。 电子邮件服务器：针对电子邮件服务器的攻击会干扰通信，同时影响到传入和传出电子邮件。 支付网关和金融服务：对于攻击者而言，这些都是相当有利可图的目标，他们通过干扰交易来造成金融运营的混乱。 Akamai的互联网现状(SOTI)报告和安全见解会定期分析第7层DDoS攻击的发展形势，并重点介绍多元化的攻击媒介以及高风险行业。 网络安全大师：打造防御第7层DDoS攻击的终极秘籍 2024年|4 攻击媒介 •Web应用程序和API攻击：一般情况下，攻击者针对的是网站入口点，包括通常由于其内容或配置而不进行缓存的API端点。一些常见的攻击目标路径包括“/”、“/home”、“/en-us”、“/pricing/”等。 •常见的攻击媒介包括： •针对主页的HTTPGET/POST泛洪 •针对随机路径和查询字符串的HTTPSGET泛洪 •慢速读取攻击 •大文件上传泛洪 此外，每年遭受DDoS攻击的公司数量都是有增无减，但现在的攻击方法已经大为不同。首先，受攻击资产的类型和体量发生了变化。例如，攻击者不再对相同或相似的端点发起10次攻击，而是针对网络空间中的不同IP发动100次攻击。这些攻击不仅针对第3层，还同时针对第7层。 目标行业 2023年，金融服务业、博彩业和制造业遭受分布式拒绝服务(DDoS)攻击的事件次数急剧上升，尤其是欧洲、中东和非洲地区，超过了其他所有地区的总和。 金融服务游戏高科技制药/医疗保健制造业商业商业服务非营利/教育公共部门视频媒体 250 200 事件数 150 100 50 2023年1月 2023年3月 2023年5月 2023年7月 2023年9月 2023年11月 0 DDoS：仍在延续，2024年3月 网络安全大师：打造防御第7层DDoS攻击的终极秘籍 2024年|5 金融服务行业更是成为第7层DDoS攻击增长的重灾区。自2021年以来，Akamai发现，针对金融服务公司的DDoS攻击数量出现了不同于其他行业的显著增长。2023年，在所有行业中，金融服务机构遭受的攻击数量占攻击总数的三分之一 (35%)以上，从而超越游戏业，成为更受攻击者觊觎的目标。Akamai的分析师发现，全球63%的DDoS攻击针对的是银行业。在欧洲、中东和非洲，几乎四分之三(72%)的攻击集中在银行业，而在亚太地区这一数字甚至达到了91%。然而在美国，DDoS攻击则更平均地散布在银行业、保险业和其他金融服务机构中。 美洲：金融服务业遭受的DDoS攻击占比为28% 2023年6月–2023年12月 02505007501000 金融游戏高科技 制药/医疗保健 商业 商业服务非营利/教育公共部门 DDoS：仍在延续，2024年3月 亚太地区：金融服务业遭受的DDoS攻击占比为11% 2023年6月–2023年12月 050100150200 商业 游戏金融服务视频媒体高科技博彩 公共部门 其他数字媒体 DDoS：仍在延续，2024年3月 网络安全大师：打造防御第7层DDoS攻击的终极秘籍 DDoS攻击者能够构建和协调分 布极为广泛的攻击基础架构，利用遍布全球众多国家和地区的广泛网络中的动态IP地址。 2024年|6 欧洲、中东和非洲地区：金融服务业遭受的DDoS攻击占比为66% 2023年6月–2023年12月 025050075010001250 金融制造业游戏商业高科技博彩 非营利/教育 商业服务 DDoS：仍在延续，2024年3月 在最近的一个示例中，Akamai的一家金融服务客户遭受了一起复杂的第7层DDoS攻击，网络攻击者利用自动化技术并制造出了高度分散的攻击。这种攻击使用HTTPGET泛洪，主要目标是不可缓存的URL（例如主页和登录端点）。我们利用各种主动式的控制措施，成功防御了此次攻击，避免了对客户的源端点造成影响。此次攻击的来源热图突出显示，对云服务提供商、Tor出口节点以及匿名或开放的代理节点的使用量出现增加： 匿名系统发起的DDoS攻击 2024年第1季度针对一家金融机构发起的一次应用层攻击的示意图，攻击范围覆盖100多个国家/地区，Akamai帮助抵御了此次攻击 网络安全大师：打造防御第7层DDoS攻击的终极秘籍 2024年|7 现代DDoS攻击中的常见要素 攻击者使用的工具和技术 很不幸的是，DDoS攻击者及其使用方法并不是一成不变的。攻击者不断摸索利用攻击来牟利的套数，他们在调整技术，利用新工具和寻找新方法。有很多因素证明了这一演变。 自动化：攻击者使用自动化脚本和爬虫程序来模仿合法用户行为，使得检测显著变得更加困难。此外，攻击者现在会转为利用机器学习算法，通过它们来适应和规避传统的检测方法。 多媒介攻击：攻击者越来越多地采用多媒介策略，结合运用不同的攻击类型 （例如GET和POST泛洪）与DNS目标（例如放大攻击和碎片攻击）以及其他组合攻击方式，从而实现彻底耗尽网络和应用程序资源的目的。 以API为目标：随着企业在应用程序的使用中越来越依赖于API，攻击者也发现了新的机会，可以在其DDoS攻击中利用API漏洞。这些攻击的目标是耗尽服务器的资源，其手段包括同时发出成千上万的连接请求，或者利用逻辑漏洞，从而导致服务中断。 利用物联网设备：物联网设备数量急剧增长，然而通常未能得到妥善保护，这为僵尸网络提供了庞大的武器库。这些设备经常遭到劫持，利用其网络连接和计算能力来发起大规模的DDoS攻击。 复杂程度提高 DDoS攻击利用这些新的工具和技术，复杂性和攻击频率也随之提升，攻击者会使用错综复杂的方法绕过传统的防御措施。下面列出了一些明显的趋势： 加密：明显转向基于HTTPS的DDoS攻击的趋势，使得抵御攻击更加困难。这些攻击会进行加密，伪装成合法流量，这加大了检测并筛选掉这些攻击的难度，因为传统的DDoS防护措施在解密应用层SSL/TLS流量方面存在限制。 网络安全大师：打造防御第7层DDoS攻击的终极秘籍 DDoS攻击者能够构建和协调分 布极为广泛的攻击基础架构，该基础架构主要源自云提供商。 2024年|8 僵尸网络和代理：由于DDoS僵尸网络显著增长以及攻击者普遍使用匿名代理，现在会从大量IP地址发送请求（通常每次攻击会有超过10,000个IP）。一些防御措施针对单个IP计算请求数量，攻击者使用此策略可以绕过这样的措施。而云托管平台的盛行以及云端服务的采用，只会让策划这些高强度和高度分散的攻击变得更容易。 匿名系统发起的DDoS攻击 近期针对Akamai金融客户的应用层DDoS攻击的示意图：每秒交易数(TPS)达到650,000，吞吐量达到20Gbps，请求总数超过90亿 防御者采用的方法也在不断发展，有一种方法会根据每个TLS指纹跟踪请求，这种指纹由多个TLS层信号组成，例如密码类型及其顺序。虽然这种方法容易产生误报，但如果能够正确使用，当攻击者从大量的机器和IP发起攻击时，此方法可提供更有效的防御措施，因为被入侵的设备上安装的是同一个软件。这些设备会表现出类似的环境特征，其中之一就是共享TLS库。 常见要素溯源 虽然市场上提供的工具经常变化，但攻击技术的发展表明，攻击方法正朝着更复杂、更难于检测的方向发展。其中包含： •被入侵的物联网设备：攻击者在发起大规模的DDoS攻击时，仍会使用僵尸网络中被入侵的物联网设备，这突显出这些设备长久以来存在漏洞。 •DDoS出租服务：DDoS出租服务的出现，降低了发起攻击的门槛，就算不具备全面技术知识的个人也能够发起大规模攻击。 网络安全大师：打造防御第7层DDoS攻击的终极秘籍