近几年ddos攻击事件分析_近几年ddos攻击事件

那些年，DDoS的那些反击渗透的事情。

DDoS攻击与对策

DDo（Distributed Denial of Service），即分布式拒绝服务攻击，是指黑客通过控制由多个肉鸡或服务器组成的僵尸 *** ，向目标发送大量看似合法的请求，从而占用大量 *** 资源使 *** 瘫痪，阻止用户对 *** 资源的正常访问。

从各安全厂商的DDoS分析报告不难看出，DDoS攻击的规模及趋势正在成倍增长。由于攻击的成本不断降低，技术门槛要求越来越低，攻击工具的肆意传播，互联网上随处可见成群的肉鸡，使发动一起DDoS攻击变得轻而易举。

DDoS攻击技术包括：常见的流量直接攻击（如SYN/ACK/ICMP/UDP FLOOD），利用特定应用或协议进行反射型的流量攻击（如，NTP/DNS/SSDP反射攻击，2018年2月28日GitHub所遭受的Memcached反射攻击），基于应用的CC、慢速HTTP等。关于这些攻击技术的原理及利用工具网上有大量的资源，不再赘述。

1.1　DDoS防御常规套路

防御DDoS的常规套路包括：本地设备清洗，运营商清洗，云清洗。

1.本地设备清洗

抗DDoS设备（业内习惯称ADS设备）一般以盒子的形式部署在 *** 出口处，可串联也可旁路部署。旁路部署需要在发生攻击时进行流量牵引，其基本部署方案如图18-1所示。

图18-1　ADS 设备部署方式

图18-1中的检测设备对镜像过来的流量进行分析，检测到DDoS攻击后通知清洗设备，清洗设备通过BGP或OSPF协议将发往被攻击目标主机的流量牵引到清洗设备，然后将清洗后的干净流量通过策略路由或者MPLS LSP等方式回注到 *** 中；当检测设备检测到DDoS攻击停止后，会通知清洗设备停止流量牵引。

将ADS设备部署在本地，企业用户可依靠设备内置的一些防御算法和模型有效抵挡一些小规模的常见流量攻击，同时结合盒子提供的可定制化策略和服务，方便有一定经验的企业用户对攻击报文进行分析，定制针对性的防御策略。目前国内市场上，主要以绿盟的黑洞为代表，具体可以访问其官网进一步了解。

本地清洗更大的问题是当DDoS攻击流量超出企业出口带宽时，即使ADS设备处理性能够，也无法解决这个问题。一般金融证券等企业用户的出口带宽可能在几百兆到几G，如果遇到十G以上甚至上百G的流量，就真的麻烦了，更别谈T级别的DDoS攻击了。

 2.运营商清洗

当本地设备清洗解决不了流量超过出口带宽的问题时，往往需要借助运营商的能力了，紧急扩容或者开启清洗服务是一般做法，前提是要采购相应的清洗服务，而且一般需要通过 *** 或邮件确认，有的可能还要求传真。

运营商的清洗服务基本是根据netflow抽样检测 *** 是否存在DDoS攻击，而且策略的颗粒度较粗，因此针对低流量特征的DDoS攻击类型检测效果往往不够理想。再加上一些流程上的操作如 *** 、邮件、传真等，真正攻击到来时处理可能会更慢，需要重点关注。

值得一提的是中国电信的云堤服务，提供了“流量压制”和“近源清洗”服务，而且还提供了自助平台供用户操作，查看流量、开启清洗也非常方便。

 3.云清洗

内容分发 *** （Content Delivery Network，CDN）是指，通过在 *** 各处放置节点服务器，让用户能够在离自己最近的地方访问服务，以此来提高访问速度和服务质量。CDN主要利用了四大关键技术：内容路由，内容分发，内存存储，内容管理。更详细的技术原理可以参考中国电信研究院出版的《CDN技术详解》。

CDN技术的初衷是为了提高互联网用户对静态网站的访问速度，但是由于分布式、就近访问的特点，能对攻击流量进行稀释，因此，一些传统CDN厂商除了提供云加速功能外，也开始推出云清洗的服务，当然还有一些安全公司基于其自身优势进入云清洗市场。基本原理都一样，需要先在云端配置好相应的记录，当企业遭受大规模攻击时，通过修改其DNS记录将要保护的域名CNAME到云端事先配好的记录上，等待DNS生效即可。

使用云清洗需要注意以下几个问题：

1. -·云清洗厂商需要提前配置好相应记录。 ·DNS修改记录后，需要等待TTL超时才生效。 

2.  ·直接针对源IP的攻击，无法使用云清洗防护，还要依靠本地和运营商清冼。 

3. ·针对HTTPS网站的防御，还涉及HTTPS证书，由此带来的数据安全风险需要考虑，市面上也有相应的Keyless方案{n1}。

由于国内环境不支持Anycast技术，所以不再赘述，如果有海外分支机构的网站需要防护，可以关注。

{nt1|其细节可以参考cloudflare公司博客上的文章，链接：[]()。

一些经验

结合笔者的一些经验，对DDoS防护落地做一些补充，仅供参考。

1.自动化平台

金融企业由于高可用要求，往往会有多个数据中心，一个数据中心还会接入多家运营商线路，通过广域网负载均衡系统对用户的访问进行调度，使之访问到最近更优的资源。当任何一条接入线路存在DDoS攻击时，能通过广域网负载均衡系统将该线路上的访问需求转移至其他互联网线路。在针对IP地址开展的DDoS攻击中，此方案能够有效保障正常客户的访问不受影响，为了实现快速切换，需要通过自动化运维平台来实现，如图18-2所示。

图18-2

线路调整一键应急配合必要的应知应会学习和应急演练，使团队成员都能快速掌握 *** ，在事件发生之一时间进行切换，将影响降到最小。接下来才是通知运营商进行清洗处理，等待流量恢复正常后再进行回切。

当某一个业务的IP受到攻击时，可以针对性地处置，比如一键停用，让正常用户访问其他IP；也可以一键开启清洗服务。

 2.设备抗D能力

除了ADS设备外，还有一些设备也需要关注抗DDoS能力，包括防火墙、负载均衡设备等。

出于安全可控需求，金融企业往往会采用异构模式部署防火墙，比如最外层用产品A，里面可能会用产品B。假如产品A的抗DDoS能力差，在发生攻击时，可能还没等到ADS设备清洗，产品A已经出问题了，比如发生了HA切换或者无法再处理新的连接等。

在产品选型测试时，需要关注这方面的能力，结合笔者所在团队经验，有以下几点供参考：

1. ·某些产品在开启日志记录模块后会存在极严重的性能消耗，在可能存在攻击的环境内建议关闭。

2. ·尽管理论和实际会有偏差，但根据实际测试情况，还是建议当存在大量TCP、UDP新建连接时，防火墙的更大连接数越大越好

3. 多测试多对比，从对比中可以发现更优的方案，通过适当的调整优化引入更优方案。

4. ·监控防火墙CPU和连接数，当超过一定值时开始着手优化规则，将访问量多的规则前移、减少规则数目等都是手段。

负载均衡设备也需要关注以上问题，此外，负载均衡由于承接了应用访问请求分发调度，可以一定程度上针对性地防护基于IP速率、基于URL速率的DDoS攻击以及慢速攻击等。图18-3所示为F5的A *** 的DDoS防护策略。

图18-3

负载均衡设备A *** 防DDoS功能

请求经过防火墙和负载均衡，最后到了目标机器上处理的时候，也需要关注。系统的性能调优设置、Nginx的性能参数调整以及限制连接模块配置等，都是在实际工作中会涉及的。

3.应急演练

部署好产品，开发好自动化运维平台，还要配合必要的应知应会、应急演练才行。因为金融行业的特殊性，DDoS攻击发生的次数相比互联网行业还是少很多的，有的企业可能几年也碰不到一次。时间久了技能就生疏了，真正需要用到时，可能连登录设备的账号口令都忘了，又或者需要现场接线的连设备都找不到，那就太糟糕了。

此外，采购的外围的监控服务、运营商和云清洗产品的服务能力也需要通过演练来检验有效性。签订合同时承诺的秒级发现、分钟级响应是否经得起考验，要先在心里打上一个问号。建议在不事先通知的情况下进行演练，观察这中间的问题并做好记录，待演练完成后一并提交给服务商要求整改。这样的演练每年要不定期组织几次。

新的一年，ddos攻击还存在哪些威胁

有数据表明，近几年的ddos攻击数据有明显的增长趋势，这给不少的企业带来麻烦甚至是经济损失。究其原因，这种状况主要是因为ddos攻击变得更加复杂和更具有欺骗性。同时，更可怕的是，ddos攻击不仅仅应用在 *** 竞争，而已经渗透到国家与国家之间的安全较量。

在2017年加密货币淘金热已经成为全球金融市场的热门话题。但是，随着热度的升高投资者们对平台的关注度也越来越高，这也导致它们成为 *** 犯罪分子寻求巨额利益的重点目标，因此也加大了对其攻击力度。

曾经就有一些加密货币平台遭遇了几起ddos攻击，其中包括两起攻击加密货币现货交易平台Bitfinex的攻击，还有一起攻击英国加密货币初创厂商Electroneum公司的攻击。随着这种货币贸易的普及，在新的一年中ddos攻击的数量可能还会持续增加。

而且，随着 *** 攻击技术的升华，ddos攻击已经被应用到国家与国家之间的较量。目前，各个国家的重要基础设施都将面临更多的复杂和破坏性的 *** 威胁，这些威胁常常被认为是干扰国外 *** 的 *** 安全建设以影响其正常生产生活的重要手段。比如，针对瑞典传输 *** 的ddos攻击导致了其列车延误和旅行服务中断。

由此可见，ddos攻击已经上升为国际战略部署，在未来一年中很有可能成为 *** 战争中的主要力量。这不仅会增加各个 *** 安全建设的压力，同时也给各国的生产生活带来严重的负面影响，这也将会成为新一年新的发展趋势。所以，各国都在 *** 安全方面做了充分的防御措施。国内知名的 *** 安全防御平台cloud.cc已经针对ddos攻击采取应对办法，凭借遍布全球的数十个国际顶级流量清洗中心，形成超强的防ddos攻击流量清洗中心，防御能力高达10Tb+，可实现攻击秒级阻止，为保护国家 *** 安全贡献一份力量。

2015 ddos有哪些重大的攻击事件

重大事件这块， *** 上公布数据并不多，公布的就是BBC，和阿里多一些

2022上半年十大 *** 攻击事件

01 勒索凶猛！美国数千家公司工资难以发放

1月，专门提供劳动力与人力资本管理解决方案的美国克罗诺斯（Kronos）公司私有云平台遭勒索软件攻击至今已一月有余，但混乱仍在数百万人中蔓延。美国纽约城区超过两万名公共交通从业人员、克里夫兰市公共服务部门工作人员、联邦快递和全食超市员工以及全美各地大量医疗人员等均未能逃脱。

克罗诺斯母公司UKG集团（Ultimate Kronos Group）宣称，受攻击系统有望于1月底恢复正常运营，但客户却对此信心不足。有客户表示，即使系统按时恢复，公司面临的繁重工作也不会随之结束——在服务中断的一个月甚至更长时间里，账务和人事部门均积累了大量记录和报告，必须以手工形式录入克罗诺斯系统。此举甚至有可能导致W-2及其他税务信息的延迟发布。

克利夫兰市首席人力资源官保罗・帕顿（Paul Patton）无奈地表示，“我只能说勒索软件攻击的时间点选择非常敏感。年终岁尾，税务部门和普通民众都非常关心他们的账单，但（克罗诺斯）却瘫痪了。”为纠正本市8000余名公务人员的薪酬差错，克利夫兰专门设立了一间由行政工作人员组成的“作战室”。但帕顿认为效果并不明显，因为要做的工作太多了。

02 葡萄牙全国大面积断网：因沃达丰遭破坏性攻击

2月8日，国际电信巨头沃达丰的葡萄牙公司表示，由于遭受了一 *** “以损害与破坏为目的的蓄意 *** 攻击”，其大部分客户数据服务被迫下线。

该公司的4G与5G移动 *** 、固话语音、电视、短信及语音/数字应答服务目前仍处于离线状态。

这是沃达丰葡萄牙公司迄今为止处理过的更大规模 *** 安全事件。沃达丰在葡萄牙拥有超过400万手机用户、340万家庭和企业互联网用户，此次 *** 攻击造成了大规模的 *** 中断问题。

03 乌克兰 *** 和银行网站又遭大规模 *** 攻击被迫关闭

2月23日，乌克兰境内多个 *** 机构（包括外交部、国防部、内政部、安全局及内阁等）以及两家大型银行的网站再次沦为DDoS攻击的受害者。

专注监测国际互联网状态的民间组织NetBlocks还证实，乌克兰更大银行Privatbank、国家储蓄银行（Oschadbank）的网站也在攻击中遭受重创，目前与 *** 网站一同陷入瘫痪状态。

乌克兰国家特殊通信与信息保护局（SSCIP）表示，“部分 *** 与银行机构网站再度遭受大规模DDoS攻击，部分受到攻击的信息系统已经宕机，或处于间歇性不可用状态。”

目前，该部门与他国家 *** 安全机构“正在努力应对攻击，收集并分析相关信息。”

04 南非公民征信数据全泄露

3月，美国征信巨头TransUnion的南非公司遭巴西黑客团伙袭击，5400万消费者征信数据泄露，绝大多数为南非公民，据了解南非总人口约6060万人；

黑客团伙透露，通过暴力破解入侵了一台存有大量消费者数据的SFTP服务器，该服务器的密码为“Password”。

05 勒索软件攻击已造成国家危机

自4月17日Conti勒索软件攻击爆发以来，已至少影响了哥斯达黎加27个 *** 机构，其中9个受到严重影响，如征税工作受阻碍、公务员工资发放金额错乱等；

哥国新任总统日前表示，有证据显示，国内有内鬼配合勒索软件团队敲诈 *** ，这场危机是 *** 多年未投资 *** 安全的苦果；

安全专家称，这些犯罪团伙财力雄厚，完全有可能以收买的方式渗透进任何目标组织。

06 意大利多个重要 *** 网站遭新型DDoS攻击瘫痪

意大利安莎通讯社报道称，当地时间5月11日，意大利参议院、上议院、国防部等多个重要 *** 网站遭到 *** 攻击，网站无法访问至少1个小时，受影响的还有国际空间站、国家卫生研究所、意大利 汽车 俱乐部等机构的网站。

亲俄黑客团伙Killnet声称对本次攻击负责。此前，他们还曾先后对罗马尼亚门户网站、美国布拉德利国际机场发动过类似攻击。

作为对意大利DDoS攻击新闻报道的回应，Killnet团伙在Telegram频道上发布消息称，未来可能将出现进一步攻击。

07 亲俄黑客组织Killnet宣布对美欧十国 *** 发动 *** 战

亲俄罗斯黑客组织Killnet于5月16日宣布，该组织并未对欧洲歌唱大赛发起 *** 攻击，意大利警方宣称成功阻止 *** 攻击的说法是错误的。该组织同时宣布将对美国、英国、德国、意大利、拉脱维亚、罗马尼亚、立陶宛、爱沙尼亚、波兰和乌克兰 *** 发起 *** 战，声称选择上述国家的原因是其支持“纳粹”和“俄罗斯恐惧症”。

Killnet专门从事分布式拒绝服务（DDoS）攻击，通过大量请求来瘫痪服务器。该黑客组织近期多次对意大利、罗马尼亚、波兰、德国、捷克、拉脱维亚等国 *** 和其他网站发起 *** 攻击。

08 俄更大银行遭到最严重DDoS攻击

5月19日，俄罗斯更大银行Sberbank（联邦储蓄银行）官网披露，在5月6日成功击退了有史以来规模更大的DDoS攻击，峰值流量高达450 GB/秒。

次日，普京召开俄罗斯联邦安全会议，称正经历“信息空间战争”。他提出了三项关键任务，以确保俄关键信息基础设施安全。

此次攻击Sberbank主要网站的恶意流量是由一个僵尸 *** 所生成，该 *** 包含来自美国、英国、日本和中国台湾的27000台被感染设备。

Sberbank副总裁兼 *** 安全主管Sergei Lebed称， *** 犯罪分子利用各种策略实施 *** 攻击，包括将代码注入广告脚本、恶意Chrome扩展程序，以及被DDoS工具武器化的Docker容器等。

Lebed表示，他们在过去几个月内检测到超过10万名 *** 犯罪分子对其展开攻击。仅在3月，他们就记录到46次针对Sberbank不同服务同步发动的攻击活动，其中相当一部分攻击利用到在线流媒体与观影网站的流量。

09 最强间谍软件：难以防范的国家安全威胁

接连曝光的事件引发对监控软件使用的广泛争议。在全球开展的飞马项目调查显示，目前已在世界各地发现超过 450 起疑似飞马入侵事件，受害者分布普及世界各地，包括不少国家的领导人。

目前飞马软件已被美国商务部列入黑名单，正在接受欧洲议会委员会的调查。频发曝光的飞马入侵事件突显出间谍软件构成的国家安全威胁。

10 *** 攻击致使 汽车 租赁巨头全球系统中断，业务陷入混乱

5月5日Sixt公司表示，他们4月29日（周五）在IT系统上检测到可疑活动，并很快确认自己遭受到 *** 攻击。部分业务系统被迫中断，运营出现大量技术问题；公司的客户服务中心和部分分支机构受影响较大，大多数 汽车 预定都是通过笔和纸进行的，服务热线短时离线后恢复，业务陷入混乱。

总部宣称“根据公司的标准防范措施，我们立即限制了对IT系统的访问，同时启动了预先规划好的恢复流程。”但IT系统被限制访问，导致了Sixt公司的客户、 *** 和业务点发生业务中断。

公司称，此次攻击对公司运营与服务的影响已经被降至更低。据猜测，此次攻击可能属于勒索软件攻击，目前暂时没有相关组织表示负责。

近年来，ddos攻击有什么变化

DDoS将用于更多类型的恶意目的

在2012年时，遭受 DDoS攻击的目标中很大一部分比例是互联网服务提供商和企业，其原因更多来自政治和黑客攻击者的攻击。 而在当下最新的报告中，42%的受访者认为更多时候攻击罪犯只是试图证明自己的能力。另外41%的攻击用于 *** 游戏以进行敲诈勒索。

而一种新的情况也已出现，那就是, DDoS攻击被当做整个攻击步骤的一部分，只是作为一个烟幕掩盖攻击的真实目的。

物联网为攻击者提供了新的工具

服务器和PC电脑已不是DDoS攻击流量的唯一来源。 卡巴斯基实验室在其报告中指出,如今许多其他设备都可以用来发动DDoS攻击，其中包括 *** 闭路电视摄像头、以及家庭路由器等。也就是说，DDoS攻击背后的 *** 罪犯不仅会利用工作站和电脑等经典的僵尸 *** ,也可用其他脆弱的web应用程序、服务器和物联网设备等发起攻击。

美国和中国继续成为DDoS攻击更大目标

根据各个安全公司所收集的遭受DDoS攻击的国家的数据分析表明：超过一半的攻击源在中国，另外在这一比例在韩国则占近四分之一、在美国占八分之一。 而攻击的目标中，有一半是针对美国，11%针对中国，法国和韩国则各占6%。也就是说，中国和美国或许将继续成为DDoS攻击的重点目标地区。

企业将能更好地应对攻击

尽管DDoS攻击力度在不断加大，但我们也看到，如今的企业在应对以及减少拒绝服务攻击所带来的影响方面正在做得越来越好。 超过四分之三的服务提供商可以做到在20分钟甚至更少的时间内减轻DDoS攻击。

在应对DDoS攻击的对弈中，互联网服务提供商一直处于战斗的前线，尽管他们为此已经奋斗了很长时间，但就DDoS攻击得趋势看来，他们还要继续磨练技能、提高能力，以应对愈加猛烈的DDoS攻击趋势。