如何才能有效地緩解海量真實源DDoS攻擊

2020年3月12日，華為未然實驗室重磅發(fā)布《2019年全球DDoS攻擊現(xiàn)狀與趨勢分析報告》。

報告顯示，隨著萬物互聯(lián)的5G時代到來，越來越多的終端設備接入到互聯(lián)網(wǎng)，這些海量的IoT設備已經(jīng)成為了DDoS攻擊的重要攻擊源。其數(shù)量大、性能優(yōu)、帶寬高和實時在線的特點，給現(xiàn)有的防護設備帶來巨大的壓力。與此同時，黑客為有效躲避DDoS防御設備檢測，攻擊的擬人化程度也越來越高，給現(xiàn)有的防護機制帶來巨大的挑戰(zhàn)。威脅情報作為防御設備、系統(tǒng)和分析人員的安全檢測和分析能力的匯集，為緩解越來越嚴峻的DDoS攻擊提供了新的防護思路，特別是難以簡單通過限制源訪問速率的方式進行緩解的海量真實源DDoS攻擊。

華為未然實驗室致力于為華為產(chǎn)品提供輕量化、易移植、上下文豐富的安全服務，主要包括：基礎安全數(shù)據(jù)服務、安全威脅檢測服務、深度安全分析服務，分別對應情報數(shù)據(jù)、情報信息和情報知識。

圖 1 威脅情報整體框架

其中：

情報數(shù)據(jù)主要為安全檢測和分析提供基礎支撐數(shù)據(jù)，包括惡意樣本、PDNS、IP資產(chǎn)探測、IP指紋、IP地址位置、URL分類、URL檢測等數(shù)據(jù)。

情報信息則主要提供安全檢測和標簽服務，包括URL、Domain、Hash和IP的信譽值和標簽，以及針對特定安全檢測系統(tǒng)的檢測指標，如YARA、Snort和SIGMA等。

情報知識則是基于威脅知識圖譜構建和提供安全分析能力，包括TTPs、攻擊工具、攻擊指標、攻擊組織和人員、應對措施等信息。

在應對DDoS真實源攻擊時，各個層次的威脅情報可以在不同維度進行攻擊緩解。

下面，我們將從基礎情報數(shù)據(jù)、檢測情報信息和深度情報知識三個層面，通過實例來描述威脅情報緩解DDoS真實源攻擊的思路和過程。

1.1基礎情報數(shù)據(jù)

下面從IP基礎標簽信息、IP資產(chǎn)信息和IP地域信息三個基礎情報數(shù)據(jù)出發(fā)，描述識別異常DDoS攻擊IP的過程。

IP地址基礎標簽信息

威脅情報的基礎情報數(shù)據(jù)可以提供IP地址基礎標簽信息，這些標簽信息表征了IP的屬性歸類，如STATIONGW、IDC、DNS服務器、Proxy服務器、各大公司網(wǎng)絡爬蟲、網(wǎng)吧信息等。在DDoS防御和處置過程中，針對特定的場景，IP地址的基礎屬性信息可以用于真實源攻擊IP的篩選和過濾。如圖2所示的場景：

圖 2 冒充Baidu網(wǎng)絡爬蟲的攻擊流量

攻擊者冒充Baidu的網(wǎng)絡爬蟲對客戶服務器進行攻擊，可以通過設置網(wǎng)絡爬蟲白名單，對白名單以外的、冒充網(wǎng)絡爬蟲的流量訪問都可以進行屏蔽，進而達到緩解攻擊的目的。

同樣，PC游戲服務器也是DDoS攻擊的目標，而網(wǎng)吧既是PC游戲的重要訪問來源，也是黑客入侵的重災區(qū)。一個網(wǎng)吧往往只有少數(shù)的獨立公網(wǎng)IP，因此在PC游戲服務器遭受來自網(wǎng)吧的DDoS攻擊時，流量中既有攻擊流量，也有正常用戶流量。如果貿(mào)然將網(wǎng)吧IP拉黑，會導致網(wǎng)吧中其他正常用戶也會受影響?；A情報數(shù)據(jù)中記錄了網(wǎng)吧IP的信息，這些IP在PC游戲業(yè)務場景下，可以作為白名單進行使用。

IP資產(chǎn)信息

另一種DDoS攻擊緩解的方法是對來訪IP地址的設備類型進行探測和分析。對高風險、業(yè)務場景不匹配的IP地址，進行適時阻斷。例如，在某次針對手機網(wǎng)銀APP實施DDoS攻擊的響應處置中，對地理位置和訪問頻率可疑的源IP地址進行掃描探測和分析，發(fā)現(xiàn)這些IP地址中有不少是MikroTik路由器，如圖3所示?；跇I(yè)務場景判斷，這些IP地址不屬于合法的訪問源；另外，此前有大量MikroTik路由器受漏洞CVE-2018-14847影響被攻陷成為肉雞。因此，當再次發(fā)生針對手機銀行APP的DDoS攻擊時，可以根據(jù)“MikroTik路由器”的標簽信息對來訪IP地址進行拉黑和阻斷處理。

圖 3 來自MikroTik路由器的IP

IP地址地域信息

某些業(yè)務的地域性特點明顯，可在防護壓力較大時，對于特定地域以外的IP地址采取訪問限制等操作。如，某地銀行客戶主要位于江浙地區(qū)，在遭受較嚴重的DDoS攻擊時，可對于其地域外的IP地址適時拉黑和阻斷。

1.2檢測情報信息

對于攻擊者而言，可使用的DDoS攻擊資源是有限的，需要攻陷主機才可以使其成為攻擊資源。因此，攻擊資源復用是常態(tài)。例如，某個IP地址經(jīng)常發(fā)起DDoS攻擊，則其風險較大?？梢詮囊炎R別的攻擊行為、攻擊時間、與其他威脅情報信息的關聯(lián)等維度，綜合計算該IP地址的風險值。對于風險值較高的IP地址，可以適時拉黑和阻斷。

另外，可以配合IP地址的設備類型、地域、客戶業(yè)務類型等特點進行定制化處理，提高DDoS防御設備的IP威脅情報的阻斷效率，保證防護效果，同時維持較低的誤報率。部署結構如圖4所示。

圖 4 華為DDoS防御威脅情報庫部署

1.3深度情報知識

知己知彼，方能百戰(zhàn)不殆。深度情報知識則從樣本培植和預警、僵尸網(wǎng)絡家族追蹤兩方面，介紹對DDoS攻擊的深度分析過程。深度學習和分析DDoS攻擊的實施過程和攻擊規(guī)模等信息的特點，在應對DDoS攻擊時才能更好地進行部署和防御。

樣本培植和預警

通過對從多個來源收集到的樣本信息進行篩選和分析，選擇特定僵尸網(wǎng)絡家族或攻擊團伙的樣本進行樣本培植，并對樣本的回連C2和指令進行分析和破解?？商崆矮@得該攻擊團伙的攻擊目標信息，進而提供對被攻擊目標的攻擊預警，督促企業(yè)在攻擊未發(fā)生前就提前有針對性地加固防御策略，提升防御效果。

圖 5 樣本培植系統(tǒng)

對僵尸網(wǎng)絡家族和攻擊團伙的追蹤

通過綜合分析蜜罐、樣本培植以及應急響應處置收集到的僵尸網(wǎng)絡樣本信息，關聯(lián)基礎情報數(shù)據(jù)和檢測情報信息，可以觀察到僵尸網(wǎng)絡家族的活躍情況和變化趨勢。結合特定場景的數(shù)據(jù)信息，如網(wǎng)絡特定流量追蹤等，還可以判斷僵尸網(wǎng)絡家族和攻擊團伙控制的肉雞規(guī)模情況。對Gafgyt樣本追蹤如下圖所示，可以明顯看到Gafgyt樣本的三個家族。

圖 6 對捕獲到的Gafgyt樣本進行關聯(lián)分析

隨著5G時代的到來，萬物互聯(lián)，接入互聯(lián)網(wǎng)的IoT終端設備數(shù)量呈指數(shù)級增長，DDoS防護壓力將會越來越大。DDoS攻防對抗的本質是資源和成本的對抗，DDoS攻擊本質上就是集全網(wǎng)僵尸網(wǎng)絡的力量攻擊一個點。因此，DDoS防御系統(tǒng)的過濾算法必須高效，而威脅情報本身就是提升DDoS防御系統(tǒng)過濾效率最有效的技術之一。

而從整個安全響應閉環(huán)的角度，威脅情報的本質是防御設備、系統(tǒng)和分析人員的安全檢測和分析能力的匯集，結合威脅情報共享機制，安全檢測和響應方案可以同時做到低成本和高效率。后續(xù)在應對更加嚴峻的DDoS攻擊時，除了同步提升DDoS防御設備的檢測和處置性能外，相信威脅情報也可以為緩解DDoS真實源攻擊提供有效支持。
責任編輯；zl