簡介：?阿里云安全運營中心對疫情期間的應用層DDoS攻擊事件做了深入分析，希望給企業提升防御水位提供參考。

應用層DDoS攻擊與傳統的DDoS攻擊有著很大不同。傳統的DDoS攻擊通過向攻擊目標發起大流量并發式訪問造成服務不可用，系統癱瘓，這種方式比較容易被識破，且市場上已經有成熟的應對方案。而近年來興起的應用層DDoS攻擊流量則會偽裝成正常的流量，甚至和正常業務一樣，繞過防御設備，造成企業服務器不可用，業務卡頓等，對防御方造成很大困擾。

阿里云安全運營中心對疫情期間的應用層DDoS攻擊事件做了深入分析，希望給企業提升防御水位提供參考。

原文鏈接：點擊這里?

疫情期間攻擊量級持續高位

這次疫情爆發在春節期間，2020年1-3月份抗擊疫情期間應用層DDoS攻擊量持續處于高位。尤其是1月中旬到2月中旬疫情最嚴重時期，攻擊量與春節前期相比，有了明顯大幅提升。從圖1可以看出，攻擊者在抗擊疫情期間“趁虛而入”，試圖從中獲利。

?

游戲、醫療和在線教育行業成全新重點目標

據阿里云安全運營中心統計分析發現，2020年1月16日到3月15日疫情期間，應用層DDoS攻擊環比增長幅度排名前三的分別為醫療、在線教育及在線辦公、游戲三大行業，如圖2所示。

?

在這期間，醫療、在線教育及在線辦公得到了前所未有的關注，大量資源開始投入到這兩大行業中。由于黑客逐利屬性的驅使，使得這兩大行業也成為重點攻擊對象。同時不難看出，疫情期間，大家閉門在家，可選的娛樂活動有限，使得游戲行業異常火爆，也因此使得游戲行業受攻擊數量環比增長超過300%。

主要攻擊來源演變為代理、感染肉雞、云平臺服務器

通過對疫情期間數百起應用層DDoS攻擊事件及數億次攻擊請求做圖聚類分析發現，攻擊來源主要分為三類：代理、感染肉雞、各大云平臺服務器，且單次攻擊的攻擊來源類型單一，如圖3所示。

?

從圖3可以發現，單次攻擊通常利用單一攻擊來源發起攻擊，交叉使用不同攻擊源發起的攻擊數量較少。舉例來說，如果一次攻擊利用了代理作為攻擊源，那就幾乎不再同時利用感染肉雞或云平臺服務器發起攻擊。

不同攻擊類型特點不同，企業需要做好相應的防御措施
通過不同攻擊源發起攻擊的次數占比分別為，代理攻擊源占比78.6%，感染肉雞攻擊占比20.65%，各大云平臺服務器攻擊占比0.68%。如圖4所示。

?

不同類型的攻擊源占比分別為，代理攻擊用到的攻擊源占比為12.40%，感染肉雞攻擊用到的攻擊源占比為87.42%，各大云平臺服務器攻擊用到的攻擊源占比0.18%。如圖5所示。

?

對圖4圖5綜合分析，我們可以看出：

1）代理攻擊已成為常態，企業需要足夠重視

代理攻擊在所有攻擊事件中占比最高，而攻擊源個數僅占12.40%。對攻擊者而言，此類攻擊源性價比最高，攻擊IP易獲得且成本低廉，用于攻擊時攻擊性能較好，所以成為攻擊中的主力軍。

對企業而言，我們建議在放行業務相關代理的基礎上，對無需使用代理訪問的網站封禁代理，可在防御中起到“四兩撥千斤”的效果。

2）感染肉雞攻擊源分散，企業應動態調整防御策略

通過感染肉雞發起的攻擊事件占比為20.65%，但攻擊源個數最多，占比達87.42%。這類攻擊的攻擊源極為分散，且對應IP往往為寬帶/基站出口IP。對攻擊者而言，此類攻擊源在線情況并不穩定，單個攻擊源攻擊性能一般。

對于這類攻擊源發起的攻擊，不建議企業采用IP粒度的防御方式。感染肉雞對應的IP往往是寬帶/基站出口IP，背后的正常用戶很多，封禁一個歷史攻擊IP的代價有可能是阻止成百上千的潛在用戶正常訪問。

更進一步來講，感染肉雞的IP變化較快，設備位置的變化以及運營商的IP動態分配機制都會改變它們的IP，從而容易繞過封禁。

防護此類攻擊，需要基于正常業務請求特性，事前封禁不可能出現的請求特征，如純APP業務可封禁來自PC端的請求；或事中基于正常業務請求及攻擊請求的差異性，動態地調整策略。

3）借云平臺發起攻擊量明顯降低

借助各大云平臺服務器發起的攻擊事件占比最少，僅為0.68%，且攻擊源個數僅為0.18%。這得益于各大云平臺針對DDoS攻擊做了嚴格管控，也造成攻擊者使用此類攻擊源攻擊的固定成本較高。

因此，我們建議如果發現攻擊源IP來自少數幾個C段，且正常情況下很少有該IP段的請求來訪問，可以考慮將其封禁，避免潛在的惡意請求。

安全建議

基于上述分析，針對如何防御應用層DDoS攻擊，我們給出如下建議：

1. 拉黑歷史攻擊IP有風險，添加需謹慎

拉黑先前攻擊中出現過的攻擊源是較為常見的事后防御加固手段，當遭遇攻擊來自代理或各大云平臺服務器時，這一做法確實對后續的攻擊在一定程度上有免疫效果。然而，倘若遇上的是感染肉雞發起的攻擊，那封禁歷史攻擊IP的做法就是“殺敵一萬，自損三千”了。因此，拉黑歷史攻擊IP前要先對攻擊源類型加以區分，避免風險。

2.僅限制訪問頻率高的IP，防御效果有限

拉黑高頻請求的IP是最傳統的事中防御手段，在攻擊源個數較少時，這樣的做法是非常有效的。然而，上述三大類攻擊中任何一類，哪怕是攻擊源占比最小的各大云平臺服務器，觀測到的攻擊源數量都在萬量級。這意味著，即使防御策略嚴苛到每秒每個IP只放行一個請求，每秒總計會有上萬的請求涌向網站，絕大多數中小網站的服務器也是無法承受的。因此，要完全壓制攻擊，需要打出組合拳：事前盡可能封禁不可能出現的請求來源及請求特征；事中基于攻擊與正常業務的差異動態精細化調整防御策略。頻次策略只能起到輔助防御的作用。?

總結

以上是生活随笔為你收集整理的阿里云安全运营中心：DDoS攻击趁虚而入，通过代理攻击已成常态的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。