产业安全专家谈 从攻防两端视角看DDoS的应对策略
2020年可以说是DDoS这一“经典”攻击技术的复兴之年。受全球新冠疫情的重大影响,DDoS攻击的量级也在不断加大,业内遭受DDoS攻击的频率创下了新高。过去一年,DDoS攻击的手法变得多样化,超过50Gbps的攻击数量也急剧增加。对于许多行业和企业来说,抗D之路任重道远,还有更加严峻的安全形势需要面对。
那么,2020年成为DDoS攻击增幅最大的一年,原因何在?DDoS攻击走势与疫情防控形势显著相关,其关联度体现在哪里?腾讯安全抵御DDoS攻击的核心优势是什么?由腾讯安全联合云+社区打造的「产业安全专家谈」第二十七期邀请到腾讯安全DDoS防护技术总监、研发负责人罗喜军,深度解读《2020年腾讯云DDoS威胁白皮书》的重点内容,并分享腾讯安全在抗D路上的实战经验。
Q1:《白皮书》提到,2020年是DDoS攻击增幅最大的一年,其背后原因是什么?
罗喜军:我们可以从攻击者视角来看这个问题。首先,从意愿、动机的角度来看,去年突发的新冠疫情,给人们的生活方式带来了巨大的变化,很多活动都从线下切换到了线上,同时带来了 互联网 服务的高速发展。业务高速发展,就会给黑产攻击者带来更多可乘之机,他们的获利空间变大;第二,在于攻击者的能力,即资源。近几年IoT、5G等基础设施在快速发展,与此同时,安全问题也会伴随产生,比如弱口令或者一些漏洞问题,很容易引发黑客攻击,使得设备沦为“肉鸡”,导致DDoS攻击;而且,现在DDoS攻击还有一个趋势,就是它的攻击逐渐工具化,现在叫做攻击的SaaS化服务,它能让攻击者的门槛变低。假设在网页上注册账号,只要点一下鼠标或者调用API接口就可以发起攻击;此外,疫情也会使攻击者的动机变强。疫情刺激需求,需求带来资源,资源又在一个持续的增长过程中,而持续增长的资源在动机的强烈驱动下,就能够令攻击者更好地利用资源。综上,攻击动机跟攻击资源这两个因素使得20年的攻击趋势有了很大的增长。
Q2: DDoS攻击走势与疫情防控形势显著相关,其关联度体现在哪里?
罗喜军:数据当中体现的关联度在于,疫情期间大家都宅在家里,线上业务爆发,这时对于黑产团伙来说,就是一个绝佳的攻击机会,势必比居家隔离前的时段获利更大、效果更明显。举一个更简单的例子, 游戏 。在凌晨或半夜,很少有人去玩,所以此时对攻击者来说,他们是没有太大动力去作恶的,因为用户越少,获利越低;反之,在游戏高峰期,比如晚上七八点或者中午,此时在线用户多,如果这时发起攻击,会让攻击者获取更大的利益,对用户和游戏行业也都能造成更大的影响。
Q3: 游戏行业仍然是主要被攻击行业。2020年游戏行业因DDoS攻击造成的威胁有多大?国内的游戏企业受到的影响是否严重?
罗喜军:游戏行业一直都是DDoS威胁的一个重灾区,数据显示,2020年游戏行业攻击占比已达78%,较2019年上升28%。这个原因在于,受DDoS攻击的区域跟与游戏行业的高度发展是比较契合的,放在全球范围看也是一样的,也就是说,游戏行业对DDoS攻击感受到的影响是最明显的。举例说明,一个玩家在游戏过程中遭到攻击,有可能简单卡顿一下,也有可能直接掉线,再重连就连不上了,此时玩家对产品的体验以及产品本身的口碑都会受到很大影响。而且,国内的游戏企业在出海时也会遇到同样的问题,在海外可能会遇到更加恶劣的环境。一方面是海外黑产团伙的能力有可能更强,另一方面是在海外想要采取溯源等措施也许会更加困难。因此,国内的游戏在出海过程中受DDoS攻击的影响会更大,比如近几年很常见的敲诈勒索,以及一些不正当的竞争,甚至是有些玩家在游戏中恶意牟取利益,都会影响游戏行业。目前对于黑产来说,DDoS攻击依然是他们的惯用手段。
Q4: 去年出现了新型的UDP反射攻击,原因是什么?为什么这些新型的反射攻击依然集中在游戏行业?
罗喜军:其实UDP的反射攻击是一个比较老的攻击手法了,但去年我们还是看到UDP反射这里有一些新情况。去年7月有研究者发现,黑客通过几种新的IoT设备,利用UDP反射手法发起攻击,然后美国FBI就对这一威胁进行了一次安全预警,通报给了美国企业,导致黑产了解到这一手法,那么它就会大范围地使用这种手法,这也是7月份之后占比偏高的原因,映射出UDP攻击手法的一些变化。为什么还是游戏?有几个原因,第一,游戏要保证很好的用户体验,需要保持低延时,所以在网络协议开发上面永远都会采用UDP协议,UDP反射正好也是用UDP协议,其实两个场景下协议是相同的;第二,新的UDP反射手法与以往不同,以往的可能会有一个反射比,发十几字节的小包之后产生几百字节的攻击包,形成流量放大。但是这几种UDP手法,它的包长不算特别大,它的包长与正常游戏协议的行为包长大小是差不多的,包括我们看到黑客使用的攻击源也是这种,比如家里面的路由器或者一些其他的智能设备。从服务端来看,这些IP就是正常用户的IP,因为就是从家庭网络出来的。所以从防护端的角度来看,这几个层面就导致我们很难防御这样的一些情况,或者说它对于防御系统的挑战会变大。因为攻击者也喜欢以假乱真的效果,所以就会变本加厉,一旦发现他突破这个点,就会大肆使用这种东西。
Q5: 在安全情报的披露上面,要披露到什么程度会比较合适?
罗喜军:这个问题更多的是站在防护者视角,或者说以正向的视角去披露。因为我们不能披露做坏事的手法,而是要告诉大家,做坏事的手法我们是掌握的,抑或是在防护的过程中,也能同时解决安全问题。但是作为防守端,并不代表我们可以去滥用安全情报的披露手法,而是在于对情况的掌控。对于整个大盘来说,包括攻防两端,我们都能掌握威胁情报,也正是体现了我们的专业能力。
Q6: TCP反射攻击威胁持续扩大,原因是什么?
罗喜军:TCP反射是近两三年才出现的一个新手法,它在前一两年更多的是利用网上开源的Web服务,例如依靠通用的CDN来进行反射。从去年开始,办公形势发生变化,通用的CDN已经不能满足攻击需求了,于是就开始利用DNS设备,包括其他智能设备来发起。这个跟UDP反射会有一些差别,UDP反射更多是希望反射发起流量放大,达到四两拨千斤的效果;而TCP反射没有明显的放大比,没法放大流量,但是可以让包量或者PPS达到很大的程度。包量或者PPS参数对于网络设备或防护设备的性能体验挑战是比较大的,这也是TCP反射攻击的威胁比UDP反射更难解决的原因所在,它所造成的PPS包量吞吐量会比较大,这对于我们设备的性能来说是很大的考验。另外,TCP反射使用的是一个正常的通信协议栈,它还是以假乱真,正常的协议栈很难去区别对待,到底是正常用户?还是一个攻击者?这一利用点会给我们的防护体系和防护策略带来更高的挑战。所以不法黑客更加愿意利用从简到难的方式,慢慢用UDP反射,再到TCP反射,一步步加强,一步步试图突破。
Q7:《白皮书》显示,应用层攻击呈现海量化趋势,这个点指的是什么?
罗喜军:去年我们捕获到一例接近300万QPS的加密流量攻击,之前捕获的最大规模也就几万,这其实是一个几十倍的增长。我们发现加密流量的威胁突然间变大,应用层的威胁也随之突增,然后再增。还有一个有趣的点,这些攻击源使用的都是秒拨IP,即秒拨代理IP,它是说在业务安全领域,欺诈、黄牛、薅羊毛的场景可能会比较多地用到秒拨IP,因为它不停切换,必须绕过我们的风控策略。我们发现秒拨IP已经应用于传统的安全对抗领域,如果还是以IP的角度去做拦截防护,就会有很多弊端,因为秒拨IP的特性就是不停地变,如果再用旧方法对抗它,就会发现我们永远落后于攻击者,永远都是在被别人打了一波之后再去分析。
Q8:XOR.DDoS僵尸网络最为活跃,原因有哪些?
罗喜军:XOR僵尸网络是比较经典的一个僵尸网络,已经10多年了,这个僵尸网络感染Linux服务器,通过密码爆破或者弱口令的方式去感染,感染之后在上面种植木马后门,里面会种植一个DDoS攻击工具,这个攻击工具会被类似的“肉鸡”加入到坏人的僵尸网络,去发起对外攻击。这个攻击手法是最经典的手法,其实就是SYNFLOOD,而且是SYN大包攻击,一般单个网络的规模应该是在100~300G左右,去年下半年由于IoT这种设备的发展,所以活跃度在下半年也会变大。去年12月份,我们在一个开源的软件供应链里面发现有僵尸网络通过投毒的方式进行传播,这相对来说还是比较大的、新的趋势。以往的传播可能还是通过黑客去黑新“肉鸡”,控制“肉鸡”,然后上传木马、后门,上传工具,发起攻击,但当时我们发现软件园的安全监控里面,它通过伪造某一个软件供应链里的一个软件,在里面捆绑一个后门,一旦在用开源软件搭建自己的业务体系时,发现这个软件是被投毒的,那机器可能也就被种上了这样的木马。
Q9:与往年相比,腾讯2020年抗D最重点的技术提升方向是哪些?效果如何?
罗喜军:第一,降本增效。我们不断地去研发高性能的防护设备和方案,去降低在设备上的投入成本。比如以往可能更多的是单台设备,能防御10G的流量,到去年我们已经开始迈入到百G甚至400G的区段,这样投入成本就会下降,运维、运营效率也会随之提高。第二,加盟提效。通过跟一些合作伙伴共同建立安全能力,把安全能力开放给客户。然后就是在算法层面的持续升级,我们以往的对抗形式可能还是比较传统,比如写规则、写特征,但是在攻击手法复杂化或者强对抗的背景下,这样的方法就会越来越局限,所以我们也是在不停地利用大数据或者机器学习算法,去提升策略的可配置性或灵活性,希望能够更加智能、自动化地去处理一些高级别的攻击手法。至于效果如何,就是产品的付费成本可能会下降,或者说相同成本上,能买到更多的高防能力,这是一个,因为成本是客户重点考量的因素;第二,因为安全攻防永远是一个持续对抗的过程,而且技术的升级在于对抗效率的提升,比如以往出现一个攻击手法,可能要花上三五天才能帮客户解决,现在只要一天甚至半天,或者只需要调一个配置,就能解决这个问题,效率会大幅提升,客户的受影响时间也会大大缩减。
Q10:腾讯安全为客户提供了什么样的增量能力和解决方案?
罗喜军:我们之前推出了一个方案叫做“AI防护”,以前没有它的时候,当一个攻击手法变化时,通常的模式是,客户业务受损时,安全团队通过分析来调整和更新策略,这样一来可能会耗上几小时甚至更久;而在推出“AI智能防护”这种高级功能之后,客户只需要在页面上点一下,就可以自动分析攻击手法的变化,自动识别和调整策略,可能只要几分钟时间,大量业务就能恢复,这是一个点。
Q11:在黑灰产的攻击手段不断升级时,作为防守方,我们要如何跑在前面?
罗喜军:第一,我们的威胁情报能力要求我们要把很多事情做到事前,不要被动挨打,而是主动去控盘,所以我们对于业界的威胁变化会有一个及时的捕获、感知;第二,对于腾讯自有的业务来说,尤其是自有的游戏业务,其实也会存在这样大的威胁,包括腾讯云的客户。比如a客户发现了一些问题,能够及时感知到,我们就能把这个问题放到整个大盘上去考虑;如果b客户也发现问题,就不会很被动地处理,这就体现了我们的威胁情报能力;另外一点是后端的技术能力。当一个新的问题出现后,技术迭代能很快解决问题并适应这一状况。其实我们所有后台系统都是自研的,自研带来的一个好处是可控性好,定制化的效率也会很高。当有需求或者遇到攻击之后,能够很快实现迭代升级,这也依赖于后台的技术模型,毕竟要支持这么快的迭代效果。
Q12:抵御DDoS领域最需要的核心能力是什么,我们的核心优势又是什么?
罗喜军:第一,我们具备多年的技术沉淀和积累。因为安全有专业门槛,可能这里不存在捷径;另一个层面,腾讯拥有许多业务,具备海量、全新的互联网业务模型,还包括腾讯云用户的实战结论,这里指的是放到实战当中,跟坏人去肉搏之后,才能知道应该怎么打,这是我们在技术上的一些优势;第二,资源优势。因为DDoS很大程度还是在于资源的配套,像腾讯安全的产品拥有的后端资源储备,比如带宽资源储备,BGP网络的储备等,我们各个业务的形态都能为用户提供很高的防护带宽和能力,这是资源优势;第三,安全服务。比如客户出现问题需要解决时,我们能够快速支持和响应,帮助客户正向处理问题。
Q13:未来有哪些行业可能会成为DDoS攻击的高发领域,如果这些行业需要提前部署、提前应对的话,应该通过哪些方面来建立自身的行业体系?
罗喜军:理论上看,所有互联网业务都会存在DDoS攻击的可能,因为它不像是漏洞或者入侵,漏洞跟入侵是说自身存在弱点,坏人才有机会进来;但DDoS是说,只要在网上就存在这种可能,因为网络可达就会存在这个问题,而且DDoS的攻击效果是最明显的,就是让用户断网,同时给业务造成负面影响。未来,在一些新兴行业当中,可能会存在这种安全风险。比如在线教育,网络断了,学生就没法上网课;或者是在线医疗,这是真正与生命紧密相连的,所以会有很大的风险存在。对于此类行业的客户或企业主来说,我们的建议是:第一,企业自身要具备抗攻击能力。如同普通人得感冒,或许不是全靠吃药来解决问题,而是身体首先要具备一定的抵抗力。同理,业务首先要在程序、代码开发、架构等方面具备一定的抗攻击能力;第二,对于架构层面来说,当真正出现问题时,要有快速的调度或热备切换,这是容灾的问题,也可以叫做快速恢复业务的能力;第三,专业的人干专业的事,当真正影响到企业的生存发展时,还是要找专业的安全服务团队来解决这个问题。