Akamai：DDoS 攻击呈上升趋势，变得更加专业化

网络防御者需要保持警惕，因为 DDoS 攻击仍在上升。根据 Akamai Technologies 的2018 年夏季互联网/安全状况：Web 攻击报告，记录的DDoS 攻击数量自去年以来增加了 16%，并且攻击者正在设计新的和先进的 DDoS 方法。

自去年以来，基于反射的 DDoS 攻击增加了 4%，SQL 注入或跨站点脚本等应用层攻击增加了 38%，memcached 反射器攻击每秒增加了1.35 TB，这是最大的 DDoS 攻击互联网呢。

迄今为止最大的 DDoS 攻击

至于memcached 反射攻击向量，Akamai 在 2 月份见证了互联网上有史以来最大规模的攻击。在针对一家软件公司的记录设置为 1.35 Tbps 的攻击中，攻击者利用“memcached 服务器作为反射器，使攻击放大的数量级比以前用其他反射攻击所见的要大”，从而打开了大量的流量。幸运的是，管理员忙于缓解这个问题，将 50,000 台易受攻击的服务器减少到几千台。

其他几个亮点包括 Mirai 并没有死，因为新变种的攻击仍在进行中。Akamai 还发现了使用诸如智能平台管理接口 (IPMI) 和互联网密钥交换 (IKE) 协议等晦涩向量的多向量反射攻击。

2 个不常见的 DDoS 攻击示例

DDoS 不仅仅是关于堵塞管道的数量。Akamai 描述了两种不常见、适应性强且有趣的攻击模式来证明这一点。

其中一次新攻击源自一位 12 岁开发人员的 YouTube 教程；它针对整个 /24 子网。其中另一起攻击来自一群未成年人，他们协调对 Steam 和 IRC 进行攻击。“这些攻击是由一群人类志愿者实施的，而不是使用感染了恶意软件的设备组成的僵尸网络来遵循黑客命令。” 主要是一次非常大的 SYN 泛洪攻击，速度超过 170 Gbps 和 65 Mpps（每秒百万个数据包）；“Syn ACK 泛洪反映了跨多个地理区域的合法 FTP 和 Web 服务器。”

下一个不常见的攻击示例包括一系列攻击公司的 DNS 服务器而不是公司网站的攻击。攻击持续了近两天，攻击者通过缓解措施调整了攻击的性质。

Akamai 解释说：“所看到的大部分攻击流量是体积 DNS 查询，这会占用网络资源和 DNS 服务器处理能力，例如，导致服务器寻找随机的、不存在的名称。DNS 流量的峰值为 1.8 Gbps 和 2.5 Mpps，但一次很少超过几分钟。攻击还包括一个辅助向量，一种基于 TCP 的攻击，峰值为 120 Gbps 和 18.6 Mpps，由 PSH/ACK 数据包组成。”

酒店业：中国和俄罗斯因滥用凭证攻击最多

该报告还深入研究了针对酒店业的攻击，分析了针对航空公司、邮轮公司、酒店、在线旅游、汽车租赁和运输组织的网站的1120亿次机器人请求和 39亿次恶意登录尝试。

游轮公司的目标机器人数量是连接航空公司和酒店网站的机器人的两倍，Akamia 捕获了 500 亿个针对游轮公司的事件。然而，酒店和度假村网站受到最严重的凭证滥用连接的打击。

就旅游业的凭证滥用而言，Akamai 对针对酒店、邮轮公司、航空公司和旅游网站的攻击流量的地理分析显示，大部分来自俄罗斯和中国。

Akamai 写道：“来自中国和俄罗斯的针对酒店和旅游业的攻击流量加起来是源自美国的攻击数量的三倍”

来自印度尼西亚的攻击流量排在第三位。

Akamai 表示：“大约一半来自俄罗斯、中国和印度尼西亚的凭证滥用流量针对的是酒店、游轮公司、航空公司和旅游网站。”

近 40% 的针对酒店和旅游网站的机器人流量被归类为“已知浏览器的冒充者”——欺诈的载体。报告指出，对移动设备浏览器的模仿呈上升趋势；它是最常见的浏览器模仿器类型之一。下一个最常见的类型被归类为“其他机器人”，第三最常见的机器人流量类型来自网络搜索引擎。

为勒索软件注入新活力

我强烈建议阅读整个报告，但我也想重点介绍一些由 Trend Micro 安全研究副总裁 Rik Ferguson 编写的示例。他正在谈论技术如何不断变化和攻击也是如此。

这是一个可怕的例子：既然商业电子邮件妥协 (BEC) 是一种“低薪演出”，攻击者已经对一家公司进行了研究，“提取了您 CEO 的所有在线视频、音频和静态镜头，并将其提供给关闭的- 现有的 AI 视频处理工具。他们可以实时修改镜头，将 CEO 的形象合成到犯罪来电者的面部和身体上。不仅如此，当他们向财务总监发起视频通话时，音频还允许他们准确地复制语气。” 周五晚了，这背后的攻击者冒充别人，声称发票“必须”立即支付。

另一个例子强调了攻击者如何为勒索软件攻击注入新的活力。弗格森写道：

另一个攻击组织专注于重新利用失败的勒索软件模型的方法。上个月，他们控制了一支自动送货卡车车队，以每小时 3 英里的速度将它们全部改道到曼哈顿市中心。很快就陷入了僵局，但受害者仍然花了将近五个小时才同意支付赎金。对于攻击者来说不够快。

他们将注意力转向伦敦希思罗机场，在那里他们连接到行李处理系统。他们参考了 DDoS 成功手册，向机场发送了一条消息：“下午 2 点，我们将关闭您的行李处理系统，直到您支付一百万美元。中午我们将证明我们有能力做到这一点，您将有三个小时的时间付款。”

机场无法将行李处理系统下线，因此支付了 100 万美元，“与潜在的赔偿、损失和品牌损害相比，这是一个很小的变化。”

Ferguson 建议说，“信息安全不再是 No 部门，它变成了变革部门。”

Akamai 安全情报高级经理 Lisa Beegle 补充说：“这份报告显示了恶意行为者如何通过创建更复杂的攻击方法来更加适应企业防御。技术日新月异，安全不能再被搁置一旁——解决方案的设计需要考虑到未来不断变化的网络威胁。”