产业安全专家谈从攻防两端视角看DDoS的应对策略

2020年的确是DDoS这一“经典”攻击技术的复兴之年。受全球新冠疫情的必然影响，DDoS攻击的量级也在不时必然增加，业内重创DDoS攻击的频率刷新历史了新高。过去一年，DDoS攻击的手法变地多元化，将近50Gbps的攻击数量也剧烈增加。这对许多行业和企业可以说，抗D之路任重而道远，也有非常紧迫的安全形势必须对付。那你，2020年成为DDoS攻击增幅比较大的一年，原因又是为何？DDoS攻击走势与疫情防控形势比较显著相关，其关联度体现了什么在哪儿？腾讯安全抵挡DDoS攻击的核心优势是什么？由腾讯安全联合云+社区精金的「产业安全专家谈」第二十七期请帖到腾讯安全DDoS防护技术总监、研发负责人罗喜军，深度解读《2020年腾讯云DDoS威胁白皮书》的重点内容，并多多分享腾讯安全在抗D路上的实战经验。Q1:《白皮书》说起，2020年是DDoS攻击增幅最大的一年，其背后原因是什么？罗喜军：我们可以从攻击者视角判断这种问题。必须，从意愿、动机的角度判断，去年突然昏倒的新冠疫情，给人们的生活给他了巨大的变化，很多活动都从线下直接切换到了线上，同样的带来了互联网服务的高速公路发展。业务出口下高速发展，都会给黑产攻击者给予更多可乘之机，他们的获利空间变大；第二，取决于人攻击者的能力，即资源。热门IoT、5G等基础设施在快速发展，而就，安全问题也会伴随有一种，例如弱口令或是一些漏洞问题，很难直接导致黑客攻击，也让设备沦为“肉鸡”，造成DDoS攻击；而且，现在DDoS攻击有一个趋势，就是它的攻击逐渐工具化，现在叫作攻击的SaaS化服务什么，它能让攻击者的门槛变低。打比方在网页上注册账号，如果点下鼠标或是内部函数API接口就可以不发起攻击攻击；至于，疫情也会使攻击者的动机变强。疫情受到刺激需求，需求带来资源，资源又在一个减弱的增长过程中，而持续增长的资源在动机的强烈地驱程下，就还能够令攻击者更合适地借用资源。综上分析，攻击动机跟攻击资源这两个因素以至于20年的攻击趋势有了太大的增长。Q2:DDoS攻击走势与疫情防控形势比较显著相关，其关联度体现出来在哪儿？罗喜军：数据中的可以体现的关联度取决于人，疫情期大家都宅在家里，线上业务狂暴，这时是对黑产团伙来讲，就是另一个绝佳的攻击机会，势必会比居家隔离前的时段做空获利非常大、效果更明显。举一个更最简单例子，游戏。在凌晨或半夜，比较少有人去玩，所以此时对攻击者而言，他们是没有太大动力去行凶作恶的，只不过用户越少，获利越低；或且，在游戏高峰期，.例如晚上七八点或是中午，此时在线用户多，假如这时展开攻击，会让攻击者资源极大的利益，对用户和游戏行业也都能倒致极大的影响。Q3:游戏行业依旧是主要被反击行业。2020年游戏行业因DDoS攻击倒致的威胁有多大？国内的游戏企业受到的影响是否极为严重?罗喜军：游戏行业一直在是DDoS威胁的个重灾区，数据显示，2020年游戏行业攻击占比已达78%，较2019年迅速下降28%。那个原因在于，受DDoS攻击的区域跟与游戏行业的相同高度发展是也很完美的契合的，放进全球范围看都是一样的，也就是说，游戏行业对DDoS攻击感受到的影响是最很明显的。举例说明，另一个玩家在游戏过程中遭攻击，有可能简单啊卡顿下，也有可能再掉网，再重连就算是不上了，此时玩家对产品的体验和产品本身的口碑都会造成太大影响。不过，国内的游戏企业在海上时也会遇上同时的问题，在海外很有可能会遇到了极其艰难的环境。其次是海外黑产团伙的能力有可能更强大，另一方面是在海外打算采取的措施溯源等措施也许会非常难了。所以，国内的游戏在出海过程中受DDoS攻击的影响会更大，比如说听说今年很较常见的强迫交易，在内一些不这时候的竞争，哪怕是有点玩家在游戏中心存恶意牟取暴利利益，都会会影响游戏行业。目前对于黑产而言，DDoS攻击始终是他们的惯用手段。Q4:去年出现了新发明的UDP反射攻击，原因是什么？为什么这些个研制开发的反射攻击始终集中在一起在游戏行业？罗喜军：反正UDP的反射攻击是一个比较比较老的攻击手法了，但去年我们应该见到UDP反射这里有一些新情况。去年7月有研究者发现自己，黑客按照几种新的IoT设备，利用UDP反射手法发动攻击攻击，后再美国FBI就对这一威胁接受了四次安全预警，通报给了美国企业，会造成黑产打听一下到这一手法，那就它是会大范围地在用这种手法，这都是7月份后占比高偏底的原因，映射出出UDP攻击手法的一些变化。为么那就游戏？有几个原因，第一，游戏要可以保证很好的用户体验，是需要尽量低延时，所以才在网络协议开发上面永远都是都会按结构UDP协议，UDP反射趁着都是用UDP协议，总之两个场景下协议是不同的；第二，新的UDP反射手法与以往差别，以往的可能会有两个反射比，发十几字节的小包结束后再产生几百字节的攻击包，无法形成流量可以放大。可是这几种UDP手法，它的包长不算而且大，它的包长与算正常游戏协议的行为包长大小是差不多的，以及我们注意到黑客可以使用的攻击源又是这种，诸如家里面的路由器也可以一些别的的智能设备。从服务端而言，这些IP那就是都正常用户的IP，是因为就是从家庭网络进去的。所以才从防护端的角度而言，这几个层面就造成我们很容易防御攻击这样的一些情况，的或说它对于防御系统的挑战会不会变大。只不过攻击者也喜欢以假乱真的效果，所以都会更加变本加厉，一但才发现他突破这个点，变会大肆搜刮可以使用这种东西。Q5:在安全情报的公开披露上面，要对外披露到什么东西程度会也很最合适？罗喜军：这些问题更多的是站在防护者视角，或是说以正向的视角去公开披露。毕竟我们又不能详细披露做坏事的手法，而是要提醒大家，做坏事的手法我们是能够掌握的，乃至于是在防护的过程中，也能同时可以解决安全问题。但是作为防守端，当然不华指我们可以去滥用安全情报的披露信息手法，而是在于对情况的掌控。对此雷鸣大盘来讲，包括攻防两端，我们都能手中掌握威胁情报，也恰好能够体现了我们的专业能力。Q6:TCP反射攻击威胁减弱不断扩大，原因是什么？罗喜军：TCP反射是近两三年才会出现的三个新手法，它在前一两年一些的是凭借网上开源的Web服务，比如依靠通用的CDN来通过反射。从去年正在，办公形势不可能发生变化，通用的CDN巳经没法行最简形矩阵攻击需求了，随后就结束凭借DNS设备，除开其余智能设备来发动攻击。这个跟UDP反射会有一些差别，UDP反射大量是我希望反射发动攻击流量变小，达到四两拨千斤的效果；而TCP反射就没明显的可以放大比，很难变小流量，但这个可以让包量的或PPS至少很大的程度。包量或是PPS参数是对网络设备或防护设备的性能体验挑战是都很大的，这也是TCP反射攻击的威胁比UDP反射更难解决的原因处，它所会造成的PPS包量吞吐量会比较比较大，这是对我们设备的性能来说是很大的考验。至于，TCP反射建议使用的是一个正常吗的通信协议栈，它肯定可以以假乱真，算正常的协议栈没法去不同对待，到底是正常用户？还是另一个攻击者？这一依靠点会给我们的防护体系和防护策略给他更高的挑战。因为牟利黑客极其不愿意借用一切从俭到难的，慢慢的用UDP反射，再到TCP反射，一步步的走加强，一步步地趁机突破。Q7：《白皮书》会显示，应用层反击显现出海量化趋势，这个点指的是什么？罗喜军：去年我们捕捉猎物到三例接近300万QPS的加密流量攻击，以前捕捉猎物的大的规模也就几万，这不过是个几十倍的增长。我们突然发现加密流量的威胁突然间间变大，应用层的威胁也陡然猛增，然后把再增。也有三个有趣的的点，这些攻击源在用的全是秒拨IP，即秒拨代理IP，它是说在业务安全领域，欺诈、黄牛、媷羊毛的场景肯定会比较多地都用到秒拨IP，因为它时不时切换，必须沿着我们的风控策略。我们突然发现秒拨IP早应用方法于现代的安全对抗领域，如果那就以IP的角度先去做追踪防护，可能会有很多弊端，毕竟秒拨IP的特性就是不停地地变，假如再用旧方法对抗它，都会发现我们永远落后于攻击者，会永远也是在被别人打了一波后再去讲。Q8：XOR.DDoS僵尸网络众多亢奋状态，原因有哪些？罗喜军：XOR僵尸网络是比较好很经典的个僵尸网络，已经10多年了，这个trickbot感染炎症Linux服务器，按照密码狙也可以sql注入的去病菌感染，感染结束后在上面大面积种植木马后门，里面会种植三个DDoS攻击工具，这个攻击工具会被的的的“肉鸡”加入到坏人的僵尸网络，去发起攻击对外攻击。这个攻击手法是最很经典的手法，不过应该是SYNFLOOD，但是是SYN大包攻击，就像单个网络的规模应该是是在100~300G左右，去年下半年的原因IoT这种设备的发展，所以才活跃度在下半年也会不会变大。去年12月份，我们在两个开源的软件供应链里面发现到有僵尸网络实际投毒的接受传播，这相对来说那就也很大的、新的趋势。以往的传播可能会肯定通过黑客去黑新“肉鸡”，完全控制“肉鸡”，接着上传木马、后门，本地上传工具，率先发动攻击，但当时我们发现到软件园的安全监控里面，它实际私刻某另一个软件供应链里的另一个软件，在里面捆绑住个后门，一旦在用开源软件搭建中自己的业务体系时，发现到这个软件是被投毒的，那机器肯定也就被种上了这样的木马。Q9：与往年两者相比，腾讯2020年抗D最重点的技术提升到方向是哪些？效果要如何？罗喜军：第一，降本增效。我们不时地去设计研发低功耗的防护设备和方案，去减低在设备上的投入成本。诸如以往很有可能大量的是单台设备，能防御10G的流量，到去年我们也正在迈向到百G甚至连400G的区段，那样的话前期投入变会迅速下降，运维、运营效率也会陡然增加。第二，想加盟提效。按照跟一些合作伙伴约定确立安全能力，把安全能力刚刚开放给客户。然后再那就是在算法层面的坚持了升级，我们以往的对抗形式肯定那就比较传统，例如写规则、写特征，不过在攻击手法复杂化也可以强相抗衡的背景下，这样的方法变会越加视野局限，因为我们又是在不断地地依靠大数据或者机器学习算法，去修为提升策略的可配置性或灵活性，期望都能够极其智能、自动化地去如何处理一些高级别的攻击手法。不过效果如何，就是产品的需要付费成本很有可能会降到，的或说相同成本上，能买的到更多的高防能力，这是一个，而且成本是客户重点考量的因素；第二，是因为安全攻防永远都是是一个坚持了相对抗的过程，不过技术的升级本质相抗衡效率的提升，诸如以往出现个攻击手法，很有可能要花上三五天才能帮客户帮忙解决，现在只需三天甚至还一会，的或只需要调三个配置，就能帮忙解决这些问题，效率会转弱进阶，客户的受影响时间也会大家缩减。Q10：腾讯安全为客户可以提供了什么样的增量能力和解决方案？罗喜军：我们以前推出了另一个方案叫暗“AI防护”，以前没有它的时候，当两个攻击手法转变时，通常的模式是，客户业务受损时，安全团队实际分析来调整和更新策略，这样一来很有可能会耗上几小时甚至再久些；而在推出“AI智能防护”这样的高级功能之后，客户只必须在页面上点再看看，就是可以自动分析什么攻击手法的变化，自动识别和变动策略，可能会只要一两分钟时间，大量业务就能重新恢复，这是一个点。Q11：在黑灰产的攻击手段不断升级时，才是进攻方，我们要如何能跑在前面？罗喜军：第一，我们的威胁情报能力要求我们要把很多事情能够做到万无一失，不要被动挨打，只不过是主动地去高度控盘，因此我们是对业界的威胁变化会有一个马上的捕获、感应能力；第二，是对腾讯自有的业务来讲，尤其是自有的游戏业务，当然也会未知那样的话大的威胁，除了腾讯云的客户。诸如a客户发现到了一些问题，能马上感应到，我们就能把这样的问题弄到所有的大盘上去判断；假如b客户也发现问题，就不可能很自动格挡地如何处理，这就体现了什么了我们的威胁情报能力；另外一点是后端的技术能力。当一个新的问题又出现后，技术迭代能马上解决问题并渐渐适应这一状况。总之我们全部后台系统全是自研的，自研给予的另一个好处是可控性好，定制化的效率也会很高。当有需求的或遇到了攻击之后，都能够一下子利用迭代升级，这也依恋于后台的技术模型，不过要意见这么快的迭代效果。Q12：抵挡住DDoS领域最不需要的核心能力是什么，我们的核心优势又是什么？罗喜军：第一，我们具备几千年的技术沉淀和积累。因为安全有专业门槛，很可能这里不必然捷径；两个层面，腾讯占据许多业务，具备海量、全新的互联网业务模型，还以及腾讯云用户的实战结论，这里指的是放实战中，跟坏人去肉搏之后，才能清楚肯定怎么打，这是我们在技术上的一些优势；第二，资源优势。是因为DDoS比较大程度那就只是相对而言资源的配套，像腾讯安全的产品强大的后端资源储备，例如带宽资源储备，BGP网络的储备等，我们单独的业务的形态都能为用户可以提供很高的防护带宽和能力，这是资源优势；第三，安全服务。比如说客户出现问题必须可以解决时，我们还能够快速支持和响应，帮助客户正向如何处理问题。Q13：未来有都有哪些行业很有可能会蓝月帝国DDoS攻击的高发领域，如果没有这个行业不需要提前部署、延后去对付的话，估计实际都有那些方面来建立起自身的行业体系？罗喜军：理论上看，绝大部分互联网业务都会未知DDoS攻击的可能，只不过它不像是漏洞或是袭击，漏洞跟入侵是说自身必然弱点，坏人才有机会冲进来；但DDoS是说，如果在网上就未知这种肯定，因为网络可达是会修真者的存在这样的问题，并且DDoS的攻击效果是最的确的，应该是让用户断网，另外给业务造成负面影响。未来，在一些新兴行业中的，很可能会未知这个安全风险。比如说在线教育平台，网络断了，学生就不能线上上课；或者是在线医疗，这是完全与生命紧密的联系在一起的，所以才会有比较大的风险修真者的存在。这对是非行业的客户或企业主而言，我们的建议是：第一，企业自身要具备什么抗攻击能力。如同普通人得感冒，说不定又不是全靠吃药打针来解决了问题，完全是身体简单要具备什么是有的抵抗力。同理可得，业务首先要在程序、代码开发、基本架构等方面拥有一定的抗攻击能力；第二，对此架构层面而言，当真正会出现问题时，要有飞快的调度或热备切换到，这是容灾备份的问题，也可以就是快速恢复业务的能力；第三，专业的人干专业的事，当真正影响不大到企业的生存发展时，还是要找专业的安全服务团队来解决的办法这个问题。