DDoS攻击愈演愈烈，反射攻击举足轻重

全球DDoS网络攻击次数不断增长，反射攻击次数也是逐年上升，回顾几次”最大”攻击，都是以CLDAP为主的反射攻击。除了CLDAP反射攻击外，SSDP、NTP等反射攻击也是历年来最为流行的攻击类型，最近几年不断有新的攻击类型被发现，行业内监测到的反射类型有50多种。

反射攻击态势

DDoS攻击峰值和攻击频率不断增高，反射攻击的占比从2017年的21%，增长到2021年接近50%，下图展示了DDoS攻击次数与反射攻击增长的趋势。

统计2021上半年DDoS攻击类型占比，udp反射攻击拥有高达38.85%的占比，相较于2020年同期上升明显。

统计反射攻击类型TOP6的数据，SSDP、NTP、SNMP、Memcache、DNS和CLDAP是最为活跃的反射攻击。 

其中CLDAP是近年来较火的攻击类型，业内披露的多次T级以上的超大攻击，都有CLDAP攻击的参与，CLDAP协议广泛应用于Windows服务器的活动目录服务（AD），反射放大倍数超过70倍。

反射攻击原理

图中攻击者Attacker伪造了请求包Pva发送到反射服务器Amplifiers（简称A），但Pva的源IP是受害者Victim（简称V），所以A响应的时候发送Pav给到V，Pav往往是Pva的好几倍，甚至是成千上万倍。

反射攻击一方面隐藏了黑客IP，同时还有一个重要特征是放大攻击流量。

1）隐藏黑客IP

黑客实施攻击时，不是直接攻击受害者IP，而是伪造受害者IP的大量请求发给相应的开放服务，相应服务将大量的恶意流量发送给受害者，这样就产生的隐藏了发送者真实身份的效果。

有一种情况是国内三大运营商的边缘网络或路由器会检查源IP，对不是同一网络的IP出向包进行丢弃。

针对这种情况，黑客会在使用相应手段储备攻击资源，下图展示了BillGates木马收集的过程。

上图中序号19、20两个包中红色打码的是BillGates木马用真实IP收发心跳包，序号21和22是木马伪造不同的IP段发包，payload中记录了真实IP。木马收到请求包后根据payload是否包含真实IP来确定哪些IP段可以用于伪造。

BiillGates木马通过收发心跳包来确定哪些IP段是可以将伪造的请求顺利通过边缘网络或路由器发到主控端。

2）放大攻击流量

反射攻击流行的另一个重要原因是反射服务带有放大效果，这些服务使用的协议通常不对来源请求进行安全性校验，直接响应数倍乃至数万倍于请求的数据包，例如我们熟知的Memcache反射攻击，最大的放大倍数可达十几万倍。

很多知名的服务都可以用作反射攻击，如：NTP、SNMP，行业内监测到的50多种攻击类型中就有21种利用了物联网协议，7种游戏协议，16种网络服务以及6种私有协议，这些反射攻击的放大倍数少则几倍，多则高达十几万倍，这些反射攻击的放大倍数少则几倍，多则高达十几万倍，甚至payload为空的的情况下，也能响应超量数据包。

因此，在长期与DDoS黑客”打交道”中，WAAP全站防护是必不可少的：

WAAP全站防护是基于风险管理和WAAP理念打造的安全方案，以“体系化主动安全” 取代安全产品的简单叠加，为各类Web、API业务等防御来自网络层和应用层的攻击，帮助企业全面提升Web安全水位和安全运营效率。

主要的特性在于：

1.全周期风险管理

基于事前-事中-事后全流程，通过资产发现→策略布防→体系化运营，实现风险管理闭环

2.全方位防护

聚合DDoS云清洗、Web攻击防护、业务安全、API安全、全站隔离5大模块，实现覆盖L3-L7层的全站防护

3.简化安全运营

统一纳管多云环境所有Web业务、一个后台统一控制、打破数据孤岛，大幅降低安全运营复杂度和人力成本

4.防护效果卓越

多模块数据联动，秒级识别低频DDoS、业务欺诈等隐藏恶意行为；主动威胁情报和全站隔离技术实现主动防护、屏蔽0day漏洞威胁

产品功能包括但不限于：

一、云端部署

一键接入，无需改造现有架构，专家7*24小时在线支撑，实时解决问题

二、风险管理

在事前阶段，结合安全专家服务，帮助企业发现并收敛Web业务安全风险

1.漏洞扫描：通过漏洞扫描器对Web应用资产进行安全扫描，发现Web应用中存在的安全漏洞(OWASP TOP10、弱口令、CVE漏洞等)；

2.渗透测试：派出安全专家，以黑客视角对目标系统进行非破坏性漏洞挖掘，清查目标系统潜在的安全隐患；

3.智能化防护策略：平台基于客户业务的智能化分析，可自动适配防护策略，实现开箱即用；

4.API资产盘点：基于流量分析，帮助企业从流量数据中发现尚未掌握的API业务，形成API资产清单，为后续的防护工作做好资产盘点；

5.互联网暴露面资产发现：通过平台和人工服务的方式，对域名、IP及关键字的综合查询及关联分析，提供互联网资产的发现、识 别、监测、稽核等服务，帮助用户发现和梳理互联网资产；

三、全站防护

在事中阶段，从网络安全、应用安全、业务安全、API安全各层面，为Web应用提供全面安全防护闭环

1.DDoS防护：秒级检测专利技术，在边缘实时清洗网络层DDoS攻击；

2.CC防护：基于AI的流量行为分析技术，实现对应用层CC攻击的秒级检测及防御；

3.业务安全：针对业务层面，提供轻量化的信息防爬和场景化风控能力；

4.API安全：针对API应用进行精细化的管理和防护，规避API滥用行为、防止数据泄露；

5.Web攻击防护：覆盖OWASP Top10的各类Web攻击防护，基于CDN的分布式算力提供弹性防护和海量IP封禁，同时支持与源站本地防护联合决策提高防御精度；

6.全站隔离：基于远程浏览器隔离技术使网站源代码不可见，从而主动隐藏网站攻击面，同时结合混淆访问路径、加密交互内容等技术，实现对0day漏洞攻击的有效屏蔽；

7.协同防护：通过全站防护管理平台，对网络L3-L7层各防护模块的安全策略进行统一管理，并通过数据聚合、情报协同，形成真正的纵深防护，简化运营工作的同时进一步提升整体安全的防护水位。

四、安全运营

在事后阶段，以降低风险为目标，全站防护管理平台提供体系化的安全运营能力，帮助企业夯实全周期风险管理闭环

1.全面的安全态势：聚合各防护模块数据，以简洁、贴近业务的形式呈现，用户可总览web安全态势，主动感知和响应已知安全事件；

2.持续优化的托管策略：结合平台实战对抗经验和持续的攻防研究成果，管理平台持续提供推送更高质量的防护规则和策略建议，对业务防护策略进行优化，与黑产持续对抗；

3.安全专家运营：资深安全专家提供策略优化、应急响应、重保等专项安全服务，同时对客户风险的持续监测与防护管理。

而像金融机构、政务及央企国企、媒体咨询以及电商零售行业都是适合接入WAAP全站防护方案的。

①针对金融机构，在云端为金融行业提供第一道安全防线，与本地防御形成联合防控体系，解决重大活动期间本地防御性能瓶颈问题，保障业务高可用、安全高水位。

1.提供超大规模算力及防护资源，弹性应对业务突增，并承接对性能消耗极大的防护策略（如海量IP封禁），缓解本地压力；

2.全网威胁情报、云端攻击数据共享，为本地安全体系提升主动防御能力和运营团队研判效率；

3.云端检测能力与本地互补，形成异构深度检测，避免漏报；

4.通过高危情报、防自动化扫描及全站隔离防护能力，实现对0day攻击的无规则防护。

②针对政务及央企国企，通过补充最外层云端防线，形成云地联合防控，帮助政府单位、央企国企及其下属二、三级单位的门户网站、信息公示系统统一安全水位、提升合规水平，并提供重要时期安保、政务数据保护、打击山寨钓鱼网站等能力。

1.阻断漏洞扫描行为，WAF防护率行业领先的，帮助政企单位提升合规水平；

2.超强抗D、专项情报、专项策略模板、政企白名单等能力，强化两会、国庆等重要时期安全保障；

3.网站防复制、数据防抓取技术，防止黑灰产利用爬虫工具复制政府网站用于钓鱼、诈骗等恶意目的；

4.所有业务云端统一纳管，为集团及下属二级、三级单位提供集中安全防护。

③针对媒体资讯，针对媒体资讯类网站对内容安全及合规建设的高要求，在云端补充最外层防线，统一收敛攻击面，提升防护水位，建立风险闭环。

1.行业领先的WAF防护率，防止新闻媒体网站被攻击、篡改，造成不良社会影响；

2.媒体网站通常内容丰富、目录层级较深，全站防护提供定期的网站风险检测，避免出现暗链、黑链等风险；

3.网站防复制、内容防抓取技术，防止黑灰产利用爬虫工具复制新闻网站，进行钓鱼、诈骗、造谣等恶意行为。

④针对电商零售，为电商及零售企业提供全面的业务安全风险防控。

1.对于黑灰产利用自动化工具“薅羊毛”、刷水刷量、占座抢票等业务欺诈行为，提供多层级、场景化AI反欺诈风控能力进行强力反制；

2.防止竞争对手、第三方比价软件利用爬虫工具长期抓取、监控电商平台商品价格信息，导致平台定价策略、优惠策略泄露；

3.防止黑灰产利用爬虫工具抓取用户的登录信息、交易信息等，造成用户信息泄露；

4.大促、新品发布期间，防护黑产DDoS勒索，并支持一体化安全加速，保障网站业务可用和用户体验。