网络安全大师：打造防御第7 层DDoS 攻击的终极秘籍

打造防御第7层DDoS攻击的终极秘籍 目录 前言2第7层DDoS攻击的常见目标3现代DDoS攻击中的常见要素7攻击者使用的工具和技术7此类攻击常用的漏洞9真实示例 ：使用自动化技术发起DDoS攻击10攻击手段不断升级 ：TLS信号仿冒11准备好打造您自己的防御之道12一探究竟 ：风险评估和漏洞识别12避免分工不明 ：明确角色和职责12量身选择合适的工具13检测和抵御方法14基于行为/异常的检测14基于速率和吞吐量的检测14基于签名的检测14质询-响应测试14混合方法15传统方法15寻找稳妥而平衡的方法，打造多层DDoS防御策略15 Akamai一体化解决方案 ：工具、组成要素和抵御方法17未雨绸缪 ：借助Akamai边缘架构打造深度防御策略17主动控制措施18被动控制措施18多种要素叠加，运用秘诀打造平衡方案19秘诀 ：抵御HTTP POST泛洪攻击20恢复和攻击后分析22分析流量和攻击模式22根据攻击分析结果，审查并更新防御策略23策略要点24攻击后分析24维护和更新抵御策略25持续监控和评估25组建防DDoS攻击团队25与威胁情报社区交流25寻求网络安全供应商的帮助25测试自己的防御措施25与社区分享经验教训26重要信息26总结27 前言 即便是技能高超的安全专业人士，在面对当今的分布式拒绝服务(DDoS)攻击时，也很难找到合适的防御措施。所以对于更为复杂的第7层DDoS攻击，可能会更加力不从心。这种情况下，一种行之有效的解决办法是提供一套分步式操作说明，介绍如何使用不同的方法来应对不同的威胁。换言之，制作一份第7层DDoS攻击防御指导手册。 不同攻击者会采用不同的方法来准备发起DDoS攻击。第3层和第4层的攻击更偏向于实力比拼。谁会有更大的网络容量，攻击者还是防御者？第7层攻击则不同，这种攻击针对的是开放系统互连(OSI)模型的应用层，而应用层负责直接与软件应用程序交互。攻击的目标是通过占用容量、内存分配或者侵入这些系统处理请求途径中的弱点，彻底耗尽Web服务器、数据库或应用程序的资源。 因此，在抵御第7层DDoS攻击时会面临特殊的挑战，因为此类请求通常显示为合法的流量，想要筛选掉恶意请求但不影响合法用户，就会变得非常困难。此外，由于攻击可以利用自动化技术和云资源，这使得攻击者可以更轻易地快速发动大规模攻击。 在本文中，我们探讨了抵御第7层DDoS攻击时面临的难题，并详细介绍了攻击者采用的方案（包括所用的工具和技术）、应对这些攻击的检测和抵御策略，以及事件后分析与恢复建议。 Akamai在内容分发、网络安全和分布式云平台领域拥有成熟的经验，同时在全球设有4,200多个接入点，所以我们对当今的DDoS攻击形势有着独到的见解。应用层DDoS攻击日趋复杂，涉及的层面也多种多样，因此必须要有深刻的见解，并采取全面的防御策略。本文将满足您的这些需求。 不论您是身处一线的安全专业人士，想要寻求有关应对特定威胁或漏洞的帮助，还是作为CISO希望改善安全状况，这份指导手册都可以为您带来打造安全屏障的成功秘籍。 第7层DDoS攻击的常见目标和示例 第7层DDoS攻击针对的是OSI模型的顶层，也就是应用层。这些攻击的目标是侵入Web应用程序处理请求的途径，以此来耗尽目标资源。第7层DDoS攻击的常见目标包括： Web服务器：攻击者将Web服务器作为目标，干扰向合法用户分发内容。这可能会导致网站加载速度缓慢，甚至可能完全无法访问。 Web应用程序：依赖于数据库或后端服务的应用程序非常容易遭受第7层DDoS攻击，因为这些攻击会侵入应用程序在解析请求、处理请求或管理会话时的弱点。 应用程序编程接口(API)：在现代化的Web服务和移动应用程序中，API是非常关键的组成部分。攻击者会针对API发起攻击，干扰不同软件服务之间的交互，进而影响到依靠这些API的应用程序的功能。 DNS服务：虽然DNS攻击还可能发生在其他层，但第7层攻击会涉及到利用恶意请求来轰炸DNS服务，从而干扰域名解析，导致大面积出现可访问性问题。DNS over HTTP/TLS的采用日趋普遍，会导致此类攻击的增长。 电子邮件服务器：针对电子邮件服务器的攻击会干扰通信，同时影响到传入和传出电子邮件。 支付网关和金融服务：对于攻击者而言，这些都是相当有利可图的目标，他们通过干扰交易来造成金融运营的混乱。 Akamai的互联网现状(SOTI)报告和安全见解会定期分析第7层DDoS攻击的发展形势，并重点介绍多元化的攻击媒介以及高风险行业。 攻击媒介 •Web应用程序和API攻击：一般情况下，攻击者针对的是网站入口点，包括通常由于其内容或配置而不进行缓存的API端点。一些常见的攻击目标路径包括“/”、“/home”、“/en-us”、“/pricing/”等。 •常见的攻击媒介包括： •针对主页的HTTP GET/POST泛洪•针对随机路径和查询字符串的HTTPS GET泛洪•慢速读取攻击•大文件上传泛洪 此外，每年遭受DDoS攻击的公司数量都是有增无减，但现在的攻击方法已经大为不同。首先，受攻击资产的类型和体量发生了变化。例如，攻击者不再对相同或相似的端点发起10次攻击，而是针对网络空间中的不同IP发动100次攻击。这些攻击不仅针对第3层，还同时针对第7层。 目标行业 2023年，金融服务业、博彩业和制造业遭受分布式拒绝服务(DDoS)攻击的事件次数急剧上升，尤其是欧洲、中东和非洲地区，超过了其他所有地区的总和。 金融服务行业更是成为第7层DDoS攻击增长的重灾区。自2021年以来，Akamai发现，针对金融服务公司的DDoS攻击数量出现了不同于其他行业的显著增长。2023年，在所有行业中，金融服务机构遭受的攻击数量占攻击总数的三分之一(35%)以上，从而超越游戏业，成为更受攻击者觊觎的目标。Akamai的分析师发现，全球63%的DDoS攻击针对的是银行业。在欧洲、中东和非洲，几乎四分之三(72%)的攻击集中在银行业，而在亚太地区这一数字甚至达到了91%。然而在美国，DDoS攻击则更平均地散布在银行业、保险业和其他金融服务机构中。 在最近的一个示例中，Akamai的一家金融服务客户遭受了一起复杂的第7层DDoS攻击，网络攻击者利用自动化技术并制造出了高度分散的攻击。这种攻击使用HTTP GET泛洪，主要目标是不可缓存的URL（例如主页和登录端点）。我们利用各种主动式的控制措施，成功防御了此次攻击，避免了对客户的源端点造成影响。此次攻击的来源热图突出显示，对云服务提供商、Tor出口节点以及匿名或开放的代理节点的使用量出现增加：DDoS Atacks by Autonomous System DDoS攻击者能够构建和协调分布极为广泛的攻击基础架构，利用遍布全球众多国家和地区的广泛网络中的动态IP地址。 现代DDoS攻击中的常见要素 攻击者使用的工具和技术 很不幸的是，DDoS攻击者及其使用方法并不是一成不变的。攻击者不断摸索利用攻击来牟利的套数，他们在调整技术，利用新工具和寻找新方法。有很多因素证明了这一演变。 自动化：攻击者使用自动化脚本和爬虫程序来模仿合法用户行为，使得检测显著变得更加困难。此外，攻击者现在会转为利用机器学习算法，通过它们来适应和规避传统的检测方法。 多媒介攻击：攻击者越来越多地采用多媒介策略，结合运用不同的攻击类型（例如GET和POST泛洪）与DNS目标（例如放大攻击和碎片攻击）以及其他组合攻击方式，从而实现彻底耗尽网络和应用程序资源的目的。 以API为目标：随着企业在应用程序的使用中越来越依赖于API，攻击者也发现了新的机会，可以在其DDoS攻击中利用API漏洞。这些攻击的目标是耗尽服务器的资源，其手段包括同时发出成千上万的连接请求，或者利用逻辑漏洞，从而导致服务中断。 利用物联网设备：物联网设备数量急剧增长，然而通常未能得到妥善保护，这为僵尸网络提供了庞大的武器库。这些设备经常遭到劫持，利用其网络连接和计算能力来发起大规模的DDoS攻击。 复杂程度提高 DDoS攻击利用这些新的工具和技术，复杂性和攻击频率也随之提升，攻击者会使用错综复杂的方法绕过传统的防御措施。下面列出了一些明显的趋势： 加密：明显转向基于HTTPS的DDoS攻击的趋势，使得抵御攻击更加困难。这些攻击会进行加密，伪装成合法流量，这加大了检测并筛选掉这些攻击的难度，因为传统的DDoS防护措施在解密应用层SSL/TLS流量方面存在限制。 僵尸网络和代理：由于DDoS僵尸网络显著增长以及攻击者普遍使用匿名代理，现在会从大量IP地址发送请求（通常每次攻击会有超过10,000个IP）。一些防御措施针对单个IP计算请求数量，攻击者使用此策略可以绕过这样的措施。而云托管平台的盛行以及云端服务的采用，只会让策划这些高强度和高度分散的攻击变得更容易。DDoS Atacks by Autonomous System DDoS攻击者能够构建和协调分布极为广泛的攻击基础架构，该基础架构主要源自云提供商。 防御者采用的方法也在不断发展，有一种方法会根据每个TLS指纹跟踪请求，这种指纹由多个TLS层信号组成，例如密码类型及其顺序。虽然这种方法容易产生误报，但如果能够正确使用，当攻击者从大量的机器和IP发起攻击时，此方法可提供更有效的防御措施，因为被入侵的设备上安装的是同一个软件。这些设备会表现出类似的环境特征，其中之一就是共享TLS库。 常见要素溯源 虽然市场上提供的工具经常变化，但攻击技术的发展表明，攻击方法正朝着更复杂、更难于检测的方向发展。其中包含： •被入侵的物联网设备：攻击者在发起大规模的DDoS攻击时，仍会使用僵尸网络中被入侵的物联网设备，这突显出这些设备长久以来存在漏洞。 •DDoS出租服务：DDoS出租服务的出现，降低了发起攻击的门槛，就算不具备全面技术知识的个人也能够发起大规模攻击。 •规避技术：先进的规避技术越来越常见，如随机化标头参数和动态请求参数等。利用这些技术后，更难将恶意流量从合法请求中区分开来，为传统的检测和抵御方法带来了更大的挑战。 此类攻击常用的漏洞 在第7层DDoS攻击中，攻击者利用的漏洞通常与Web应用程序处理用户输入和管理数据的方式相关。在抵御这些漏洞的过程中，结合运用多种安全措施至关重要。 近年来，在开展应用层DDoS攻击时，被利用的最著名的一个漏洞是HTTP/2快速重置漏洞，该漏洞在2023年底便已面向大众广泛宣传。此类攻击利用了HTTP/2协议中的漏洞，而该协议是互联网及所有网站的运营基础协议。与上一季度相比，利用此类漏洞发起的HTTP DDoS攻击流量在一个季度内总体增长了65%，说明了利用此漏洞的攻击的严重性和影响。 这个特殊的漏洞使得攻击者可以利用云计算平台和HTTP/2来造成更大的影响，这样利用相对较小的僵尸网络即可进行海量DDoS攻击。这些攻击重点针对的行业包括游戏业、IT、加密货币、计算机软件和电信业，美国、中国、巴西、德国和印度尼西亚是这些攻击的最大源头。 为了进行应对，许多行业在全行业协调开展了披露HTTP/2快速重置漏洞(CVE-2023-44487)的工作，以阐明使用此漏洞的DDoS攻击。此攻击针对各类提供商，一些领先的云提供商和CDN服务提供商均在此列。 真实示例：一起DDoS攻击中对自动化技术的使用 在同一批DDoS攻击中，攻击者通常使用多种DDoS工具开展攻击，而每种工具会将多种技术结合起来使用，以便绕过安全产品，或者至少降低安全产品的效率。下面使用Akamai Web Security Analytics得到的分析数据，举例说明一起这样的攻击。 •攻击源自400多个网络 •2,303,793个不同的用户代理2,547,901 unique and random query strings2,303,793 unique user agents •2,547,901个不同的随机查询字符串 •HTTP标头轮换（例如，Accep