F5 Labs 基于许多不同的数据源分析威胁和攻击,其中之一是 F5 安全运营中心 (SoC),它为客户提供 F5 Silverline DDoS 防护服务。 2021 年,SOC 阻止了针对某金融服务机构的大规模 DDoS 攻击,攻击流量峰值超过 840 Gbps。 SoC 与 F5 Labs 共享数据,以深入了解大规模 DDoS 攻击。 针对此次大规模DDoS攻击的特征和**,我们分析了以下数据:
峰值流量为 840 Gbps。
来自 42 个不同国家的客户受到这次攻击的影响。
攻击者使用不同的攻击向量组合,例如 SYN Flood 攻击、RST Flood 攻击、UDP 反射攻击和 ICMP Flood 攻击。
客户端平台范围从嵌入式系统、Windows 计算机到 Linux 服务器。
UTC 时间 2021 年 6 月 21 日星期一凌晨 3:04,SOC 检测到针对一家金融服务机构的大规模 DDoS 攻击。 在攻击期间,合法流量速率保持在 25 Mbps 左右的正常水平。 在高峰期,攻击流量达到正常流量的 33,599 倍。
八分钟,两峰
一开始,流量在两分钟的峰值后达到了第一个峰值,约为 400 Gbps。 然后它下降到 125 Gbps,直到 UTC 时间 3:07 左右,流量再次飙升,并在 UTC 时间凌晨 3:10 达到 840 Gbps 的第二个峰值。 一分半钟后,流量恢复到正常水平(图1)。
图1:DDoS流量观测图。
不同的颜色代表不同的 Silverline 数据中心。
这两个峰值似乎是由攻击者攻击公司的域名而不是特定的IP地址引起的。 客户使用具有两个 IP 地址的 DNS 轮询系统,每个 IP 地址都有一个 90 秒的 TTL(生存时间)。 由于攻击者的 DNS 解析会随着轮询而变化,因此两个 IP 地址会在短时间内同时受到攻击,从而导致第二次峰值。
我们推测这可能是由于攻击者使用了多线程工具,线程数量随着DNS结果的变化而增加,但这个结论无法得到证实。
标准攻击,数不胜数
攻击流量的内容并没有什么特别之处。 攻击者使用了 TCP 和 UDP 两种向量,其中 TCP 向量包括 SYN 和 RST 洪水攻击。 UDP 向量主要是 DNS 请求反射攻击。 此外,我们还观察到一些ICMP流量,这些流量可能不是由攻击者生成的,而是其他流量的“产物”。
除了尝试控制攻击次数外,SoC 还使用简单的规避措施来保护客户,包括在边缘网络阻止 UDP 并使用各种 TCP 泛洪保护措施,有些纯粹基于容量,有些使用标准 SYN cookie 技术,有些基于每个客户端跟踪特定的客户端流量。
在全球多个 Silverline 数据中心中观察到攻击流量。 这表明流量来自许多不同国家和地区的多个不同设备,并使用典型的 Internet 路由到达目的地。
在 Silverline 员工的帮助下,F5 Labs 检索了一小部分受损 IP 地址样本,以进行深入调查。 虽然我们获得的数据集很小(只有 282 个唯一的 IP 地址),但它们揭示的信息发人深省。 请务必注意,此小数据样本仅包含 Silverline 基础结构的特定设备日志**的 IP 地址。 我们的样本可能小于 01%。我们没有有关 UDP 流量的数据,因为它被截获,并且未到达收集此示例的网络位置。
从这 282 个 IP 地址显示的连接数量来看,数据仍然非常有限。 在攻击期间,我们观察到 1,304 个 TCP 连接和 680 个 ICMP 连接。
统一和分散
就总流量而言,排名前 10 的国家是美国、中国大陆、韩国、德国、荷兰、台湾、日本、英国、香港和澳大利亚,占我们观察到的流量的 80%6%(图2)。 所有这些国家都拥有强大的现代互联网连接。
图 2:按总流量排名前 10 的国家/地区。
其余19个4%的流量更加分散。 一些流量来自西欧和东欧的几个国家,而另一些则来自不太常见的国家,如博茨瓦纳、哈萨克斯坦、伊朗、伊拉克、纳米比亚和卢旺达(见图3)。 
图 3:按总流量划分的其他国家/地区。
我们观察到每个国家/地区的唯一 IP 地址数量也类似,这 10 个国家/地区占受攻击 IP 地址的 77 个3%(图4)和其余227%也来自不同的国家(图5)。
图 4:按唯一 IP 地址数量排名前 10 的国家和地区。
图 5:具有唯一 IP 地址的其他国家/地区。
我们研究和分析了特定IP地址的网段所有者,发现大多数被攻击的IP地址属于“Microsoft-Corp-MSN-AS块”拥有的网段,共有47个IP地址(16个)。6%)。总共有超过 102 个细分所有者,其中 63 个只有一个 IP 地址。
客户端 IP 地址研究结果
我们查看了多个受到攻击的 IP 地址。 虽然相当多的 IP 地址处于离线状态或缺乏信息,但我们仍然可以先睹为快。在这些可以挖掘更多数据的 IP 地址中,8 个被识别为 Linux,2 个是 Windows 7 或 8,1 个是 Windows Server 2008 实例,35 个是“Mikrotik Routeros 6”。44.1”。
虽然这些样本并不全面甚至不准确,但我们可以假设攻击者利用了 Mikrotik Routeros 中的某些特定漏洞。 此处的 Mikrotik Routeros 版本有几个公开可用的漏洞,如果不小心,可能会导致入侵。 但是,攻击者也极有可能单独使用身份验证或两者的组合来暴力破解开放端口,从而破坏这些设备。
在这个特定的现实案例中,攻击者使用已知的标准技术进行大规模 DDoS 攻击,其根本原因是它们仍然有效。 受攻击的 IP 地址来自世界各地的设备,它们可能是一个僵尸网络,主要由客户端计算机、路由器软件和偶尔的服务器组成。
为此,我们得出结论,对于该僵尸网络的组织者来说,互联网是“扁平的”,也就是说,他们不关心受到攻击的设备或设备的功能,甚至不关心整个互联网基础设施的状态。 所谓“广撒网多捞”,他们只看规模,不看设备的特点或位置。
这种方法可以产生每秒近 1 TB 的协同攻击,这不应该被所有人低估。 攻击的规模和频率正在上升(参见 2020 年 DDoS 攻击趋势),并且未来可能会继续上升。
F5 Labs 建议至少使用以下技术来应对 DDoS 攻击。
跟踪流量值并建立基线。
异常流量告警(例如,大量TCP RST)。
评估目前可用于解决常见 DDoS 攻击媒介的保护措施。
考虑使用第三方服务来扩展带宽容量并改善保护。