2024年7月15日,以色列一家大型金融服务公司遭遇了一次极大规模的DDoS攻击,这次高度复杂且高流量的攻击持续了近24小时。据报道称,就在同一天,以色列其他金融机构也遭遇了宕机和停机,可能同样是由于类似攻击和相同攻击者所为。
延伸阅读,点击链接了解 Akamai API Security
在Akamai的帮助下,这家金融机构成功扛住了此次攻击。Akamai将通过这篇文章分享自己观察到的一些情报和心得体会。
攻击分析
这次持续的大体量DDoS攻击始于UTC时间2024年7月15日(星期一)早8:05(以色列当地时间早10:05),攻击使用了包括UDP泛洪、UDP碎片、DNS反射和PSH+ACK在内的多种攻击途径。这次DDoS攻击源于全球分布的僵尸网络,这一点最近倒是越来越普遍了。
尽管Akamai也曾处理过峰值流量更高的攻击,但这次针对Akamai客户的攻击同样规模庞大:流量介于300到798Gbps之间。Akamai的DDoS网络安全平台Prolexic曾记录过的最大DDoS攻击流量为1.44 Tbps,虽然这次的攻击未达到如此程度,但强度依然算很高了。简单来说,这次攻击是Akamai Prolexic有史以来缓解的第六大DDoS流量峰值。
更重要的是,这是一次持续的、有针对性的攻击,几乎持续了一整天。在最初的一次小规模试探性攻击后,紧随其后的是一个为期三小时的攻击窗口,在此期间Prolexic缓解的攻击流量总量高达389TB。在整个近24小时的攻击持续期间,Akamai Prolexic大约阻止了419TB的流量(图1)。
图1:最初的小规模试探性攻击之后是一次为期三小时的攻击窗口
大多数DDoS攻击的持续时间较短,通常仅几分钟。造成这种状况的原因有三:首先,如果成功,即便短暂的攻击也能长时间地瘫痪系统,并通过中断目标公司的业务造成重大损害;其次,短时攻击更难让受害者的防御系统和安全工程师进行分析并做出应对;最后,短时攻击使攻击者更容易用更低成本调动大量计算资源,从而实施更有效的攻击。然而,这次DDoS攻击的主要攻击窗口长达三小时(图2)。
图2:主要攻击窗口期间的流量流动情况
攻击资源通常来自感染了恶意软件的计算机所组成的大规模僵尸网络。攻击者可以远程控制这些计算机,并利用它们对指定的受害者发起统一攻击。许多其他形式的网络攻击活动通常会无目的地随机选择一些系统或公司作为目标,但DDoS攻击的不同之处在于,攻击者会有意识地指定要攻击的目标。
在这方面,7月15日的攻击也不例外:它源于一个全球分布的僵尸网络,目标是同时攻击受害者的超过278个IP地址,借此组成一次重要的第3层和第4层横向DDoS攻击(图3)。这次攻击显然是有目的的,似乎是以某个特定国家的多个金融机构为目标所发起的,一次有组织的攻击浪潮的一部分。
此外,这次攻击在总持续时间上也非常特别。持续时间长、强度高、攻击向量多样、规模大,同时具备这些特征的DDoS攻击极为罕见。这需要大量资源,往往需要非常复杂的技术手段。
图3:7月15日DDoS攻击所针对的不同IP地址
新型DDoS造成严重威胁
在这次攻击中,攻击者显然拥有大量资源,不仅具备发起DDoS所需的“火力”,还能花费大量时间来控制负责发起攻击的机器大军。更重要的是,在同一时段,相同的攻击者可能还“捎带手”发起了其他几起攻击。
因此该攻击者及其庞大的DDoS能力必须引起大家重视——毕竟,我们不得不假设他们有能力且愿意对其他目标发起同样强大(甚至更强)的攻击,或对最近的受害者再次发起攻击。以色列金融机构遭遇的攻击已经超过一些网络安全供应商和DDoS防护解决方案的防御能力。弱点到底在谁身上?攻击者现在可能已经一清二楚了。
针对以色列目标发起的DDoS攻击
根据Akamai内部的DDoS威胁情报,尽管2024年还没结束,以色列的企业和机构就已经遭遇了有史以来数量最多的DDoS攻击。本文所提及的金融机构自从2023年第4季度以来一直反复遭到DDoS攻击。
在过去90天里,这位客户共遭受了27次重大DDoS攻击,每次都被Akamai Prolexic成功缓解。在7月15日这次创纪录的DDoS攻击之前,该客户遭受的最大攻击规模为330Gbps。
谁最可能承受攻击风险?
尽管此次针对以色列金融机构的DDoS攻击表明这些攻击与地区冲突有关,但我们也无法预测如果攻击者决定重新激活僵尸网络并发起新一轮攻击,谁更有可能成为新的受害者。但可以假设攻击者仍然拥有和7月15日的攻击相同程度的资源,甚至攻击者在那之后还进一步扩展了自己的僵尸网络,并提高了攻击效率。
DDoS攻击是通过全球互联网发起的,因此我们还必须假设该攻击者有能力对世界上任何地区的企业和机构发起异常强大的攻击。无论这次攻击的确切动机是什么,该攻击者很可能会选择中东以外的目标,并且这些目标可能并不仅限于金融行业。
在之前的相关研究中,Akamai的研究人员就已经观察到:自2019年初以来,EMEA(欧洲、中东和非洲)地区的DDoS攻击事件数量一直在上升,且峰值越来越高。研究人员分析了EMEA地区的DDoS数据,发现该地区的DDoS攻击事件数量增长程度比其他任何地区更显著,增速甚至超过目前整体数量全球领先的北美地区(图4)。
图4:EMEA地区的DDoS攻击事件数量增速比其他地区(包括北美)更显著
谁最可能受到攻击的严重影响?
从技术角度来看,Akamai认为:如果仅使用某些基于设备的、不具备云端后备容量的本地DDoS防御系统,这样的企业会面临更高风险,很大概率可能无法抵御在7月15日观察到的这种类型的攻击。因为这类解决方案在处理攻击流量的能力上可能存在限制,同时还要允许合法的网络流量顺利通过。
同样,如果仅依赖托管商/服务提供商所提供的DDoS保护机制,这样的企业也更有可能在遇到这种性质的攻击后遭受严重影响。多租户环境中的共享DDoS防御资源,这种机制通常意味着无法为单个客户提供足够的防御能力。
如何最大限度降低风险
Akamai建议全球企业重新审视自己的DDoS安全态势,加强防御系统,以抵御类似7月15日这种攻击的威胁。
事实上,成功抵御了7月15日攻击的Akamai客户,他们就曾重新评估过自己的DDoS防御措施,并决定转为使用Akamai的Prolexic平台,这一系列决策的根本原因恰恰是担心自己先前的解决方案无法应对大规模攻击。他们的前瞻性决定取得了回报,因为他们是此次攻击浪潮中唯一没有遭受持续宕机的主要金融机构之一。
六个步骤应对风险
- 评估风险以及有的DDoS缓解服务:与DDoS防御技术供应商联手进行全面、主动的风险评估,特别是需要考虑,对于像本文所介绍的这种极为强力且持续的攻击,现有防御机制是否足够。
- 检查关键子网和IP地址空间,确保具备缓解控制措施。
- 部署DDoS安全控制措施,采取始终开启的缓解态势,以此作为第一道防线,避免真正遭遇攻击后才紧急采取事后应对措施并减轻事件响应人员的负担。
- 通过基于边缘的网络云防火墙扩展安全态势,在基本的DDoS防护之外获得更全面的保护。在现有防火墙之前(作为额外的补充)配置边缘网络防火墙,这是一种强大、易于部署和使用的工具,可以快速、集中地在全球范围内阻止不希望进入网络或网络内某些目标的流量。Akamai Prolexic就在DDoS防御能力中提供了网络云防火墙,我们认为这是一项关键的防御能力。
- 保护DNS基础设施免受针对DNS的DDoS攻击。确保部署了强大的权威DNS解决方案,如Akamai Edge DNS(无论主模式或从模式均可)。如果有本地或混合DNS基础设施,请使用DNS代理解决方案(如Akamai Shield NS53),它可以实施动态安全控制,保护网络免受DNS资源耗尽(NXDOMAIN)洪水攻击。
- 制定事件响应计划和危机响应团队:主动制定全面的事件响应计划,明确在发生DDoS攻击时所需采取的步骤。该计划应包括角色和职责、沟通渠道以及预定义的缓解策略。另外别忘了定期更新工作手册和紧急联系人信息。
如果你的企业在正在遭受攻击,或需要在Akamai的帮助下预防未来的安全风险,请立即我们。
—————————————————————————————————————————————————
如您所在的企业也想要进一步保护API安全,
点击链接了解Akamai的解决方案
