虹科分享 | 網(wǎng)絡(luò)仿真器 | 下一代DDoS緩解：如何加強(qiáng)DDoS測試以阻止當(dāng)今的數(shù)太比特攻擊

你可能會想:為什么在2022年我們?nèi)匀粫龅椒植际骄芙^服務(wù)(DDoS)攻擊?兩個原因:

●現(xiàn)代DDoS攻擊已經(jīng)變得更加有利可圖和商品化

●防御者還沒有找到一種方法讓DDoS帶來比它本身更大的麻煩

趨勢表明，差距可能正在擴(kuò)大，但新興的最佳實踐可能會讓防守方的時間倒流……

只需500美元，任何人都可以支付DDoS訂閱服務(wù)來發(fā)起DDoS攻擊。Microsoft

???

2022年DDoS攻擊會是什么樣子

自1974年一個高中生發(fā)起第一次DDoS攻擊以來(當(dāng)時SecOps還不存在)，DDoS攻擊已經(jīng)造成了近40年的嚴(yán)重破壞。拒絕服務(wù)(DoS)的基本目標(biāo)沒有改變:

通過大量同時發(fā)出的請求使網(wǎng)站、服務(wù)或底層網(wǎng)絡(luò)基礎(chǔ)設(shè)施不堪重負(fù)而關(guān)閉正常的業(yè)務(wù)運(yùn)行。

常見的DDOS攻擊

DDoS攻擊已經(jīng)發(fā)展成為一個大規(guī)模的、經(jīng)過時間考驗的行業(yè)。

目標(biāo)相同，目標(biāo)更多

惡意、貪婪和政治壓力仍然是驅(qū)動DDoS攻擊的主要動機(jī)。實際上，任何公司(或任何虛擬公司)現(xiàn)在都可能成為攻擊目標(biāo)，從云提供商和電子商務(wù)門戶到金融經(jīng)紀(jì)公司和世界上的優(yōu)步(uber)。

造成更多傷害

在將DDoS商品化的過程中，威脅行動者通過Clearnet和Darknet上的市場為幾乎每個人提供了一種強(qiáng)大的武器。這一過程變得更加高效，即使成功的攻擊數(shù)量略有減少，但被攻擊企業(yè)的成本仍在繼續(xù)上升。今天的攻擊每分鐘讓企業(yè)損失2.2萬美元，2021年的攻擊每分鐘損失超過20萬美元(Radware)。

現(xiàn)代攻擊似乎也更容易成功。到2022年，DDoS的年增長率為109%。Nexusguard的研究表明，在FH’22年，DDoS攻擊比2021年下半年增加了75.6%，應(yīng)用程序攻擊比2021年下半年增加了330%，放大攻擊增加了106.7%

DDoS攻擊在2022年第三季度穩(wěn)步增長，特別是由專業(yè)人員進(jìn)行的DDoS攻擊。與去年同期相比，復(fù)雜的攻擊數(shù)量翻了一番，而黑客活動分子的攻擊數(shù)量在前兩個季度顯著上升之后，在第三季度幾乎消失了。

復(fù)雜程度的新水平

今天精心策劃和商品化的攻擊與他們的早期祖先沒有什么相似之處:

◎使用僵尸網(wǎng)絡(luò)：大量有效請求來自受感染的pc和物聯(lián)網(wǎng)設(shè)備(溫度/水/占用傳感器，閉路電視攝像機(jī)，CPE等)的大型全球網(wǎng)絡(luò)，這些設(shè)備被惡意軟件感染，變成機(jī)器人(通過“僵尸網(wǎng)絡(luò)”連接在一起)。

◎分階段發(fā)生：攻擊可以持續(xù)幾分鐘，幾小時，甚至幾天，并可能定期重復(fù)

◎有多種類型：應(yīng)用程序、協(xié)議和體積攻擊針對堆棧的每一層

復(fù)雜性混淆防御

DDoS攻擊最初類似于合法流量的峰值，這使得它們更難被發(fā)現(xiàn)，防御者的響應(yīng)速度更慢，甚至無法識別出跡象：

●來自單個IP地址或范圍的過量流量

●來自一個區(qū)域或瀏覽器類型的非典型流量

●異?；蚍潜镜亓髁糠逯?/p>

分布式拒絕服務(wù)攻擊現(xiàn)在可能提供了一種多向量“三重勒索勒索軟件”攻擊的元素，旨在從勒索軟件受害者那里榨取更高的報酬。網(wǎng)絡(luò)罪犯也可能把它當(dāng)作煙霧彈，從惡意軟件插入或數(shù)據(jù)泄露等更復(fù)雜的活動中轉(zhuǎn)移資源。

循環(huán)攻擊向量或針對堆棧多層的活動使標(biāo)記異常變得更加困難。威脅參與者還可能將對DNS服務(wù)器的突發(fā)攻擊與基于加密(SSL/TLS)的攻擊相結(jié)合，使防御者更難檢測和了解他們在何時何地受到攻擊。

最重要的是：規(guī)模很重要

研究表明，當(dāng)今DDoS攻擊改變游戲規(guī)則的方面不是其頻率、技術(shù)、成功率，甚至不是其復(fù)雜性，而是其速度。根據(jù)NIST：

這種快速增長的威脅的特征是，此類攻擊的帶寬呈數(shù)量級增長(從每秒一億比特到每秒千億比特)，目標(biāo)范圍也在不斷擴(kuò)大(從電子商務(wù)網(wǎng)站到金融機(jī)構(gòu)，再到關(guān)鍵基礎(chǔ)設(shè)施的組件)。

F5《2022年應(yīng)用保護(hù)報告:DDoS攻擊趨勢報告》顯示，超過250gbps的DDoS攻擊增長了1300%。Radware報告稱，已知最大的DDoS攻擊發(fā)生在2022年第二季度，最高達(dá)到1.46 Tbps(此后可能發(fā)生了更大的DDoS攻擊)。Radware還報告客戶端每月攔截3.39 TB攻擊量。

DDoS緩解的目的是跟上步伐

在任何攻擊中，防御者的目標(biāo)都是相同的:在快速檢測和關(guān)閉到來的威脅的同時，保持業(yè)務(wù)運(yùn)營。隨著DDoS攻擊成為一個有利可圖的行業(yè)，DDoS緩解行業(yè)圍繞著阻止攻擊而發(fā)展起來。DDoS緩解是指使用專用設(shè)備或基于云的保護(hù)服務(wù)保護(hù)目標(biāo)網(wǎng)絡(luò)和服務(wù)器的過程。

專家預(yù)計，DDoS防護(hù)和緩解安全市場將在2027年達(dá)到80億美元，因為新興的最佳實踐將使防御方的時間倒流。

DDoS防御包括監(jiān)控、檢測以及越來越多的自動化響應(yīng)。許多企業(yè)已經(jīng)運(yùn)行防火墻、負(fù)載均衡器和其他設(shè)備，以創(chuàng)建彈性的、堅如磐石的邊界，沒有單點故障。

現(xiàn)代的DDoS緩解方案和策略還包括在你的服務(wù)器和互聯(lián)網(wǎng)之間部署專門的Web應(yīng)用防火墻(WAFs)，以過濾請求和檢測DoS技術(shù)。WAFs通過應(yīng)用它設(shè)置的自定義規(guī)則來應(yīng)對攻擊。

與服務(wù)提供商和網(wǎng)絡(luò)設(shè)備(路由器、交換機(jī)、服務(wù)器、防火墻)制造商一樣，電子商務(wù)提供商和擁有大量web業(yè)務(wù)的企業(yè)依靠DDoS緩解來維持業(yè)務(wù)連續(xù)性和聲譽(yù)。關(guān)鍵是要確保它能像宣傳的那樣工作。

對DDoS緩解進(jìn)行測試

如果你能輕易分辨好人和壞人，阻止DDoS攻擊就變成了一場與時間的賽跑。當(dāng)您做不到時，您需要更大的靈活性、更多的實踐和更廣泛的經(jīng)過驗證的響應(yīng)，以最小化停機(jī)時間、避免財務(wù)損失并盡可能少地加劇客戶。例如，簡單地限制帶寬或速率，限制服務(wù)器接受的請求量，不會讓任何人滿意(即使它會暫時減慢攻擊者的速度)。

為了盡可能地做好準(zhǔn)備，您需要在投資之前測試現(xiàn)有的和預(yù)期的DDoS緩解解決方案和程序，同時評估第三方風(fēng)險，并在日常操作中。證明緩解措施如承諾的那樣有效還可能影響合規(guī)和網(wǎng)絡(luò)保險保費(fèi)。

從可見性開始

給捍衛(wèi)者更多時間的第一步是理解應(yīng)用程序的正常行為并識別異常。這些問題可能包括服務(wù)降級、用戶投訴和不正常的使用模式?？梢娦詰?yīng)該包含用戶配置的警報，當(dāng)流量超過預(yù)定義的閾值時，信號分析人員和實時遙測以加速調(diào)查。

模擬攻擊

下一步是模擬可能類似于正常流量的攻擊，以評估監(jiān)控工具和緩解團(tuán)隊的響應(yīng)能力。要驗證您檢測和破壞當(dāng)今大規(guī)模DDoS/勒索軟件活動的能力，需要四個重要的模擬能力：

●現(xiàn)實主義：能夠創(chuàng)建和試驗來自不同國家的攻擊，使用一系列預(yù)設(shè)和自定義攻擊來針對緩解過程的多個層面和組件。傳統(tǒng)的測試通常包括用看起來來自單個設(shè)備的流量淹沒目標(biāo)。更高級的流量生成必須用于模擬多個設(shè)備，這些設(shè)備具有來自自定義混合國家的唯一IP或MAC地址。

●規(guī)模：模擬器必須每秒生成多個tb級的攻擊，要么一次性全部發(fā)起，要么緩慢上升以避免被檢測。

●可重復(fù)性：任何有價值的測試過程中最關(guān)鍵的方面，管理員在比較解決方案和調(diào)整配置時必須重復(fù)測試，以查看更改對針頭的影響有多大。

●易用性：否則人們不會這么做。

考慮到這些標(biāo)準(zhǔn)，Apposite開發(fā)了DDoS Storm用于使用Netropy流量生成器進(jìn)行擴(kuò)展的網(wǎng)絡(luò)安全測試。DDoS Storm讓制造商、供應(yīng)商和企業(yè)IT團(tuán)隊能夠在幾分鐘內(nèi)模擬評估監(jiān)測、檢測和DDoS防御。

步驟1：配置攻擊和目標(biāo)

用戶將DDoS Storm配置為充當(dāng)攻擊者(使用一個端口)或同時充當(dāng)攻擊者和被攻擊者(使用兩個端口)。一個或多個目標(biāo)可以包括防火墻、路由器、DNS或web服務(wù)器，或DDoS緩解服務(wù)和與電子商務(wù)門戶相關(guān)的功能。

步驟2：配置機(jī)器人

徹底的測試需要從特定區(qū)域產(chǎn)生流量。管理員可以使用DDoS Storm的交互式世界地圖來指定攻擊的組成，定義用于啟動活動的機(jī)器人將包含的時間、地點和設(shè)備數(shù)量。

步驟3：配置負(fù)載配置文件

攻擊配置文件指定了來自每個區(qū)域的流量的百分比，以及攻擊是一次性全部加載還是隨著時間的推移緩慢加載。攻擊可以針對實際設(shè)備(只需輸入真實的目標(biāo)IP地址)，或者DDoS Storm可以模擬目標(biāo)設(shè)備，以避免破壞生產(chǎn)環(huán)境的防御，或者在購買之前評估潛在的新解決方案。

步驟4：配置攻擊

最后但并非最不重要的是，選擇目標(biāo)層。測試人員可以拖放選擇一層或混合層2、3和4-7流量。Apposite測試庫包含128種預(yù)定義的攻擊變種。

典型攻擊總結(jié)

步驟5：評估你的結(jié)果

在這里，你將看到目標(biāo)發(fā)送和接收了多少數(shù)據(jù)包，并通過圖表說明了每個攻擊流的每秒數(shù)據(jù)包數(shù)(PPS)、吞吐量和延遲。如果所有模擬的DDoS數(shù)據(jù)包都被識別并丟棄，防御就會有效地工作。如果到達(dá)目標(biāo)的數(shù)據(jù)包過多，可能會對設(shè)備或配置進(jìn)行更新和重新測試。

不要在沒有測試DDoS緩解措施的情況下進(jìn)行轉(zhuǎn)換

今天的混合基礎(chǔ)設(shè)施天氣不斷變化。在云中來回移動服務(wù)會創(chuàng)建新的可用區(qū)域、新的地理目標(biāo)位置，并且經(jīng)常臨時暴露基礎(chǔ)設(shè)施，而沒有添加足夠的保護(hù)。加速的數(shù)字化變革繼續(xù)使網(wǎng)絡(luò)安全——尤其是像DDoS這樣的老后備系統(tǒng)——成為每個人的工作。

DDoS Storm使工作變得簡單。