欢迎光临网防CDN首页! 您好, 新人有礼

网防CDN

新闻公告

攻击者使用DDoS脉冲来锁定多个目标

发布时间:2018-04-13 09:55
cdn加速

在过去的几个月里出现了一种新的攻击模式我们称之为“脉冲波”DDoS攻击。在最极端的情况下它们一次可以持续数天并且可以高达每秒350千兆比特(Gbps)。
 
经过审查我们认为这是新的攻击策略旨在将僵尸网络的输出提高一倍,并利用“家电第一云秒”混合缓解解决方案中的软点。DDoS攻击通常呈现波形逐渐增加导致峰值,然后是突然下降或缓慢下降。重复时该图案类似于三角形或锯齿波形。这种DDoS浪潮的倾斜标志着犯罪分子动员僵尸网络的时间。它的存在说明了这些地理上分散的网络由数以万计的不同设备组成。
 
对于脉搏波攻击趋势不是逐渐倾斜是引起我们注意的第一件事。这不是我们第一次看到攻击迅速增加。然而我们从来没有见过如此直接的这种幅度峰值的攻击,然后以这样的精确度重复。无论谁是这些攻击的另一端,他们都能够在几秒钟内动员一个300Gbps的僵尸网络。再加上脉冲重现的准确持续性,这些非常熟练的不良行为者展现出对其攻击资源的高度控制。
 
还有一个更大的问题仍然存在:为什么他们这样做?砍掉攻击流量可以获得什么?
 
我们意识到假设僵尸网络在这些短暂的“安静时间”中关闭是没有意义的。相反这些差距仅仅是罪犯切换目标的标志,充分利用对其资源的高度控制。
 
这也解释了攻击如何能够立即达到顶峰。这是僵尸网络转换目标在运行的同时以满负荷工作的结果。很显然操作这些僵尸网络的人已经找到了DDoS攻击的经验法则:时刻关闭需要数小时才能恢复。知道这一点并且能够访问即时响应的僵尸网络,他们通过一箭双雕就能做到这一点。
 
不良行为者加倍攻击输出的想法是所有在线组织都关心的一个原因。攻击的类似脉冲可能会对具有“减少DDoS攻击的首次应用,云端第二”混合方法的解决方案特别有害。顾名思义这种设置背后的想法是让本地设备成为针对DDoS攻击的第一道防线,并将云用作按需备份选项以实现额外的可扩展性。这种拓扑结构通常适用于处理随时间累积的DDoS攻击。但是当用于缓解迅速达到峰值的攻击时它会遇到问题,因为适当的云故障转移需要(至少)几分钟才能完成。
 
没有加速时间的脉冲波攻击表示任何由这样的混合动力捍卫的网络的最坏情况。一旦第一个脉冲击中它立即堵塞交通管道切断网络与外界沟通的能力。这不仅会导致拒绝服务还会阻止缓解设备激活云清理平台。
 
对于脉冲持续时间整个网络完全关闭。当它恢复时另一个脉冲再次关闭令人生厌。如果在某些时候云被重新配置为在出现问题时自动激活自身,则由于验证过程清理过程仍然会显着延迟。另外缺乏通信会阻止设备提供创建攻击签名所需的信息。即使云最终会联机它仍然必须在启动筛选过程之前从头重新采样流量。这一切加起来有几个缓解过程的延迟。分裂攻击流量的普遍益处可能会激发其他不良行为者模仿这个MO,只是作为一种简单的方法来增加他们的攻击输出。发生这种情况时目标的范围也可能会扩大。
 
我们将脉搏波攻击描述为时代的症状,因为它们表达了DDoS攻击者整体使用的重复性短阵发作。这种趋势的存在以及这种攻击手段带来的实际好处。在可预见的将来我们可能会遇到更多的脉搏波攻击。为确保您的组织受到保护我们建议您仔细检查DDoS缓解提供商的SLA中的“ 缓解时间 ”条款。如果您的网络受到'设备第一'混合解决方案的保护,我们还建议检查您的配置以更好地理解在缓解设备有机会启动故障转移到云之前阻止您的网络管道的攻击的后果。
 
网防cdn专业提供国内外高防cdn加速服务
 
本文链接:http://www.f8i.com/news/463.html