Lumen和卡巴斯基實驗室最新發布的第三季度 DDoS 報告，都顯示本季度DDoS攻擊暴增，Lumen發現本季度比上一季度多 35%。安全專家警告說，且攻擊技術也越來越復雜。Lumen 研究人員分析發現DDoS攻擊開始越來越多地針對VoIP語音等新服務?？ò退够鶎嶒炇已芯咳藛T也同時發現第三季度DDoS攻擊出現了一個明顯的趨勢，即網絡電話提供商受到大量攻擊，主要影響了英國、加拿大和美國的公司。由于功能強大而復雜，它們給客戶帶來了語音和短信問題。同時，近年來，越來越多的攻擊者開始使用DDoS 攻擊向受害者勒索贖金，這些攻擊者自稱來自勒索軟件組織REvil，要求支付巨額贖金來才能停止攻擊。但是，目前還無法確認該組織的真實身份是 REvil 還是其他。無論如何，對 VoIP 提供商的勒索攻擊僅限于 DDoS，而 REvil 主要進行數據加密。

早在10月份，一家名為 VoIP.ms 的主要 VoIP 提供商已經受到 DDoS攻擊。造成企業無法為他們的客戶服務，客戶反饋說他們無法連接到 VoIP.ms 的 SIP 服務器以及其他資源。與此同時，有人聲稱自己是 REvil 勒索軟件組織的一員，要求支付贖金來恢復業務。研究人員在樣本中沒有看到任何 SIP 數據包。相反，他們看到的是 DNS、SNMP 和其他通常出現在放大攻擊和僵尸網絡 DDoS 攻擊中的流量。

卡巴斯基實驗室研究人員也同時發現，第三季度發現的最大攻擊帶寬為 612 Gbps，比第二季度增長了 49%;基于數據包速率統計的最大攻擊規模為252 Mbps，較第二季度增加了 91%;對客戶的最長攻擊持續了兩周，突顯了 DDoS 可能對組織產生較嚴重影響;在受攻擊次數達 500 次的行業中，受攻擊最頻繁的行業是電信和軟件/技術，其次是零售;28% 的多重緩解措施首次面對四種不同攻擊類型的復雜組合，分別是DNS、TCP RST、TCP SYN-ACK和 UDP 放大。DDoS攻擊這些年來并沒有太大變化，因為此類攻擊仍然相對便宜、容易和有效，因此，近年來，越來越多的攻擊者開始使用DDoS 攻擊向受害者勒索贖金。其中俄羅斯服務商 Yandex 遭遇了有史以來最大規模的DDoS攻擊。

本季度另一個備受矚目的事件是 Mēris 的發現，這是一種能夠進行強大的 DDoS 攻擊的新型僵尸網絡。據最先報告僵尸網絡的 Yandex 和 Qrator Labs 稱，它由高性能網絡設備組成，主要來自 Mikrotik，并使用 HTTP管道，允許在一個連接中向服務器發送多個請求，而無需等待響應。這種僵尸網絡的攻擊以每秒大量的請求而引人注目。例如，針對Cloudflare客戶(歸因于Mēris)的DDoS攻擊，盡管持續時間不到一分鐘，但每秒仍有1720萬次請求，而 Yandex 報告每秒請求 2180 萬次。

信息安全領域的知名記者 Brian Krebs 的網站也遭到了短暫但威力巨大的 Mēris 攻擊。Krebs 指出，雖然每秒請求數沒有 Yandex 或 Cloudflare 那樣令人印象深刻，但它仍然是 Mirai 對其網站的攻擊的四倍多。

如上所述，Cloudflare最近成功阻止了一次DDoS攻擊，其峰值略低于2Tbps，成為有史以來最兇猛的DDoS攻擊。

這次DDoS攻擊發生在安全機構Rapid7警告GitLab漏洞(在CVSS嚴重程度上被評為滿分10.0)僅兩周后，該漏洞就已經被外部利用，允許掌握它的攻擊者在受影響的服務器上遠程運行代碼，如僵尸網絡惡意軟件。Rapid7發現，在60000個面向互聯網的GitLab實例中，至少有一半仍未打補丁，并警告說，隨著該漏洞的細節被公開，利用將持續增加。

根據對攻擊的分析，Cloudflare認為這是一次多載體攻擊，結合了DNS放大攻擊和UDP FLOOD的方式。這次攻擊持續了不到一分鐘，是Cloudflare迄今為止看到的最大的一次。

Cloudflare的產品經理Omer Yoachimik說："我們第三季度DDoS趨勢報告的另一個關鍵發現是，網絡層的DDoS攻擊實際上比一季度增加了44%。雖然第四季度還沒有結束，但我們已經看到了多起針對Cloudflare客戶的攻擊。"

第三季度，針對美國的DDoS攻攻擊增加了4.8個百分點，達到40.80%。在經歷了第一季度和第二季度的平靜期后，該國的攻擊比例一下子增長了12.61%。

DDoS 攻擊次數激增

第三季度的DDoS攻擊數量異常多。7月上旬比較平靜，但到月中，DDoS攻擊日均數超過1000次，8月18日達到8825次， 8月21日和22日，日均數超過5000次。在8月2日和6日，9月16日、18日、19日和22日，發現了超過3000次攻擊。

在本季度最平靜的日子里，研究人員觀察到將近500起DDoS攻擊：6月2日494起，6月3日485起。

在第三季度，DDoS攻擊的分布是一年中最不均勻的。大多數攻擊發生在周三——19.22%。這一統計結果很大程度上受到了8月18日(周三)DDoS攻擊的影響。由于8月份的另外兩個高峰期，發生在周六和周日的攻擊比例也有所增加。在其他時間，DDoS活動的比例比上一季度有所下降。

DDoS攻擊的持續時間和類型

在第三季度，平均 DDoS 攻擊持續時間減少到 2.84 小時。這可能是由于持續 50 小時或更長時間的攻擊次數減少，而相對較短的攻擊次數增加。例如，盡管極短攻擊的比例 (86.47%) 比上一季度有所下降，但其數量幾乎翻了一番：從第二季度的3.3萬次增至6.3.7萬次。與此同時，第三季度最長的攻擊持續了339小時，比之前報告的最長攻擊時間少了2倍以上。

從攻擊類型來看，SYN Flood攻擊在第三季度遙遙領先，51.63%的攻擊使用了該攻擊。UDP FLOOD攻擊位居第二(38.00%)，比例比上一季度下降了22%。TCP FLOOD仍排在第三位，但其比例也降至8.33%。

僵尸網絡的地理分布

第三季度，大部分C&C僵尸網絡服務器位于美國(43.44%)，然而，他們的比例下降了4.51%。德國(10.75%)仍然位居第二，其比例也略有下降，荷蘭(9.25%)排名第三。俄羅斯(5.38%)取代法國(3.87%)位居第四，與捷克(3.87%)并列第6位和第7位，加拿大(4.73%)仍位居第五。英國 (2.58%) 在 C&C 服務器數量方面排名第八，羅馬尼亞 (1.94%) 和瑞士 (1.94%) 位居榜首。

30000臺服務器被攻擊!GitLab再次遭受DDoS攻擊，峰值超1Tbs

DDoS攻擊并不少見，但近期這類攻擊卻有著愈演愈烈的趨勢。有專家警告說，超過1Tbps以上的大流量DDoS攻擊越來越普遍。

今年10月，微軟曾宣布其Azure云服務成功攔截一次每秒2.4 Tbps的DDoS攻擊，這是當時發現的最大的DDoS攻擊。

截止發稿前，GitLab又被DDoS攻擊了，峰值流量超1 Tbps。此次攻擊的漏洞來源于4月份已經修復的漏洞，但仍有30000臺未安裝更新的服務器被攻擊。

負責谷歌DDoS防御的云安全可靠性工程師Damian Menscher最近披露，有攻擊者正在利用 GitLab 托管服務器上的安全漏洞來構建僵尸網絡，并發起流量驚人的攻擊。

最常遭到DDoS攻擊的行業有哪些?

DDoS攻擊是目前被公認為最難防御的網絡攻擊之一，最常遭到DDoS攻擊的行業有哪些?

網絡游戲行業

網絡游戲行業除了應對網絡高峰，最大的問題就是部署業務時容易遭到DDoS攻擊。數據顯示，游戲行業是攻擊的重災區，攻擊次數占比高達49%。第三季度，《最終幻想14》的歐洲服務器受到多次攻擊。在被攻擊的幾個小時時間里，游戲玩家都遇到了掉線、速度變慢和登錄問題。

電子商務行業

數據顯示，有將近30%的網絡攻擊是針對電商，電商行業因為交付功能、平臺的實時響應對安全和速度有著較高要求。特別是在618、雙11這類特殊的節日，電商企業由于DDoS大流量攻擊導致的業務中斷、客戶流失、營收損失等難以計數。

互聯網金融行業

金融領域可以說是DDoS攻擊的高發行業，金融部門更容易受到攻擊，攻擊會使金融系統無法訪問。黑客一般是為了贖金和敲詐勒索。

虛擬貨幣行業

遭受DDoS攻擊的還有最古老的比特幣網站Bitcoin.org。盡管在這個案例中，不像對VoIP提供商的攻擊，攻擊者愿意接受半個比特幣，但對于非營利信息門戶網站來說，這仍然是一筆不小的贖金。

值得注意的，因為加密貨幣的價格攀升仍然和以前一樣強勁，而DDoS市場的增長與加密貨幣開始暴漲之前相似。過去幾年，這兩個市場一直在爭奪計算能力，許多僵尸網絡既可以用于DDoS，也可以用于挖礦，因此加密貨幣的高價格吸引了DDoS的計算力?，F在，在加密貨幣價格持續走高的背景下，DDoS市場不斷增長，從這一點來看，攻擊者已經開始以不同的方式分配資源。

惡意軟件運營商在第三季度也決定使用DDoS作為恐嚇工具，攻擊者向公司發送電子郵件，稱他們的資源被用于DDoS攻擊，他們可能面臨法律問題。這些消息包含一個指向云目錄的鏈接，據稱其中包含有關事件的詳細信息，其中實際上包含 BazarLoader 惡意軟件加載程序。

在一些國家，DDoS攻擊針對的是幫助抗擊COVID-19的網站。今年8月，攻擊者試圖關閉馬尼拉的一個疫苗注冊門戶網站。今年9月，他們盯上了荷蘭網站CoronaCheck，在該網站上，人們可以獲得訪問咖啡館和文化景點所需的二維碼，但這個二維碼明顯是釣魚類的攻擊。

第三季度，各國發生了許多出于政治動機的 DDoS 攻擊。例如，在 7 月上旬和中旬，不明身份的攻擊者用垃圾流量攻擊了俄羅斯和烏克蘭安全機構的資源。7月下旬，俄羅斯報紙 Vedomosti 成為 DDoS 受害者。最有可能的是，這次攻擊與該網站的一篇在線文章有關。8月中旬，攻擊者試圖阻止用戶訪問菲律賓人權組織Karapatan的網絡資源。然后，在月底，德國聯邦選舉官(Federal returns Officer)的網站因與9月26日的聯邦議院(Bundestag)選舉有關而短暫遭到攻擊。

如上所述，DDoS攻擊者一直在跨地域和跨行業方面進行多樣化嘗試，DDoS攻擊更具針對性和持久性，除了上面這幾大行業外，醫療，教育，直播等行業也逐漸成為攻擊者的目標。攻擊流量也越來越大屢破紀錄，而且攻擊方式也變得越來越復雜。近年來，DDoS攻擊者越來越多地使用此類攻擊向受害者勒索贖金。

Neustar在8月份發布的一份報告稱，在過去12個月內，超過五分之二(44%)的組織成為與贖金相關的DDoS(RDDoS)攻擊的目標或受害者。

2021年第三季度出現了兩種新的DDoS攻擊媒介，可能會對主要網絡資源構成嚴重威脅。來自馬里蘭大學和科羅拉多大學博爾德分校的一組研究人員發現了一種通過TCP欺騙受害者IP地址的方法。到目前為止，由于不需要建立連接，允許IP欺騙，放大攻擊大多使用UDP協議進行。

這種新攻擊的目標是位于客戶端和服務器之間的安全設備(所謂的中間件)——防火墻、負載平衡器、網絡地址轉換器 (NAT)、深度包檢測 (DPI) 工具等?？梢愿蓴_ TCP 連接，例如，通過阻止與禁止資源的連接，并且他們經常對從一方收到的數據包做出反應，而沒有看到完整的圖片或監控TCP會話的有效性。如果以受害者的名義發送訪問被禁止資源的請求，中間層的響應可能會大得多。因此，研究人員發現超過 386000 臺設備的放大系數超過 100，其中超過 97000 臺超過 500，其中 192 臺超過 51000。

第二種攻擊被稱為 Black Storm，可以針對任何網絡設備。攻擊者可以偽裝成同一網絡中的其他設備，向通信服務提供商 (CSP) 網絡中的設備上的關閉端口發送請求。接收器設備用一條消息說明該端口不可用來響應此類請求。處理這些消息會消耗大量資源，這會使受害設備過載并阻止它們接受合法請求。研究人員指出，這種方法不僅可以讓攻擊者關閉單個服務器，還可以關閉提供商的整個網絡，包括一個大型網絡。

上述針對VoIP服務的攻擊就屬于這種攻擊類型。

隨著技術的不斷進步，攻擊源追蹤技術已經在追蹤速度、自動化程度、追蹤精確度等方面取得顯著進步， DDoS網絡層攻擊檢測也分為多種方式。

那要如何從IP源地址角度預防DDoS攻擊呢?

如上所述，研究人員發現了一種通過TCP欺騙受害者IP地址的方法。那要如何從IP源地址角度預防DDoS攻擊呢?當 DDoS 攻擊發生時或結束后，可以根據相關信息定位攻擊的來源，找到攻擊者的位置或攻擊來源。IP地址來源定位它是 DDoS 攻擊防御過程中的重要環節，并在其中起到承上啟下的關鍵作用。精準的IP地址定位結果既可以為進一步追蹤真正攻擊者提供線索，也可以為其他的防御措施，如流量限速、過濾等措施提供信息，還可以在法律上為追究攻擊者責任提供證據。

參考及來源：

https://www.rtcsec.com/post/2021/09/massive-ddos-attacks-on-voip-providers-and-simulated-ddos-testing/

https://securelist.com/ddos-attacks-in-q3-2021/104796/

https://therecord.media/gitlab-servers-are-being-exploited-in-ddos-attacks-in-excess-of-1-tbps/

文章來源：嘶吼專業版