🤙 🔩 🕺🏾 拒绝服务类型：DDoS如何发展 🧜🏽 🤞🏻 🤽

良好的旧DDoS ...每年我们都分析这部分网络犯罪的变化，根据过去和今年年初的结果，我们发现此类攻击的数量增长了1.5倍以上。在此期间，攻击者极大地增强了攻击能力并改变了战术。此外，DDoS变得更加易于访问：从最近对教育资源和各种“电子日记”的攻击数量急剧增加来看，学校黑客越来越多地发现DDoS的世界。在本文中，我们将讨论我们在2019年和2020年初记录的DDoS攻击，以及DDoS最近如何变化。

快速而强大

黑客加速了。持续数天的低功率攻击现在对他们而言并不有趣。例如，报告期内最长的攻击持续了大约一天（一年前，攻击者“折磨”服务器11天零16小时）。

当然，攻击者并没有放松控制-与持续时间相比，DDoS攻击的力量有所增加。过去一段时间内，最强大的攻击强度为405 Gbit / s。当然，这略低于Rostelecom网络的2018年模型的创纪录攻击（450 Gbit / s），但平均而言，DDoS功率指标仍在增加。可以通过以下事实来解释黑客策略的变化：在攻击过程中，防御者可以发现僵尸网络（一种宝贵的资产）。消除攻击后，僵尸网络地址数据将作为其他信息交换的一部分可供其他操作员使用，并且僵尸网络不再适用。如果您以强大的请求浪潮快速攻击受害者，则Anti-DDoS服务根本就没有时间填补黑名单。

DDoS Technologies-阿森纳新

要进行虚假通信爆炸的冲刺，您需要一个良好的技术基础。最近，攻击者对此进行了很好的介绍。我们提请注意新的强大放大器的出现，这些放大器开始积极地用于DDoS攻击中。

首先，它是基于UDP的Apple远程桌面协议（UDP端口3283），其放大系数为35.5：1（Netscout数据）。Apple Remote Desktop是macOS工作站远程管理应用程序。启用“远程管理”模式后，即使ARMS（Apple的远程管理服务）访问运行macOS的工作站上始终打开的UDP端口，即使该端口与防火墙上的安全设置冲突也是如此。如今，全球网络中已经注册了超过一万六千台运行具有开放UDP端口的macOS的计算机。

此外，网络犯罪分子还积极使用IoT解决方案中使用的WS-Discovery（Web服务动态发现）设备发现协议。其放大倍数为500：1。与Apple Remote Desktop一样，WS-Discovery使用基于UDP的协议传输数据包，该协议允许黑客使用数据包欺骗（IP地址欺骗）。 BinaryEdge统计了Internet上大约63万个具有此漏洞的设备（2019年9月的数据）。利用-我不要！

不要忘了DDoS的主要工具之一-物联网设备的僵尸网络。我们记录的最强大的智能攻击是在2019年：178 Mpps击中了博彩公司之一。攻击者使用了8 000个真实设备的僵尸网络：家庭路由器，摄像机和其他物联网以及移动电话。我不想增加压力，但明显感觉到5G和IPv6将为我们带来新的“记录”。

最受欢迎的攻击类型

通常，最流行的DDoS攻击方法仍然是UDP泛洪-约占攻击总量的32％。在第二和第三位-SYN泛滥（27.4％）和带有碎片数据包的攻击（14.2％）。 DNS放大攻击（13.2％）离领导者不远。

攻击者还在试验目前很少使用的协议-16（CHAOS）和111（IPX over IP）。但是，此类攻击很可能是一个例外：客户端在现实生活中不会使用这些协议，并且在抑制攻击时可以轻松检测到这些协议并将其丢弃。

在去年的不寻常袭击中，可以注意到所谓的“地毯炸弹袭击”。它们的特征是在受害者的地址空间中破坏目标，并寻找其中最脆弱的目标。当仅保护单个IP地址而不保护整个Internet基础结构时，这将使每个IP保护模型中此类攻击的检测和应对变得复杂。我们记录的最大规模的“地毯炸弹爆炸”包括近3000个目标-尝试了一个客户的所有网络的每个地址。

最近，攻击者开始组合不同类型的攻击。这样的DDoS混合示例是SYN + ACK反射。在这种类型的攻击中，使用了第三方公共资源，向其发送了带有伪受害者地址作为源的SYN数据包。第三方服务器以SYN + ACK数据包响应受害者，该受害者的TCP堆栈受到处理任何会话外部到达的数据包的影响。我们观察到一种情况，即双方（受害者和用于反映的第三方资源）都是我们的客户。对于前者，它看起来像SYN + ACK反射，对于后者，它看起来像SYN Flood。

新老受害者

关于我们的方法的前两个词。由于本研究基于Rostelecom Anti-DDoS服务对客户的攻击数据，因此在确定受攻击最多的行业时，我们形成两个分析层面：

按行业简单记录已记录的攻击总数，
每个行业客户的攻击次数平均增加。该指标消除了与来自特定行业的客户数量增加（因此记录的攻击数量增加）相关的可能的错误。

所以我们看到了什么。

按行业

如上所述，DDoS攻击的数量正在增长。即使关闭了许多重要的压力源，事实上，用于组织DDoS的服务（Quantum Stresser，ExoStress.in，QuezStresser.com等）也不会影响这种动态。 DDoS仍然便宜又容易。攻击的高峰发生在2019年10月，当时在线商店正在为黑色星期五做准备。当时的DDoS成为“折扣高达90％”的传统。同时，可以肯定的是，大型市场参与者会使用针对多媒介的攻击进行攻击。

游戏行业仍然是DDoS的领导者：它占攻击总数的34％（2018年为64％）。这并不意味着黑客对游戏失去了兴趣，对该细分市场的攻击次数并未减少，但是由于新受害者的出现，该行业的份额已“侵蚀”。

尽管如此，电子竞技作为一个整体仍然是一个小窍门。游戏协议使用UDP作为传输。这不仅允许替换发件人地址，而且使跟踪会话变得困难。在报告期内，我们观察到游戏服务器上的两种主要类型的应用程序级DDoS攻击。前者通过发送大量的软件包来实现它们的不可访问性，对于第三方保护服务，这些软件包看起来像合法的软件包。防范此类攻击的基础是对合法流量进行分析，并采取诸如正则表达式和质询响应之类的措施。

第二种类型与游戏协议和平台中已识别漏洞的利用有关。在这种情况下，主动保护需要使用不同类型的设备-游戏应用程序防火墙。大型游戏托管公司和制造商正在尝试通过在客户端程序中嵌入各种检查并将它们与独立开发的保护系统相关联来保护服务器。

电信公司的受欢迎程度排名第二，在攻击总数中的份额显着增长：从10％增长到31％。通常，这些是小型区域性ISP，各种托管和数据中心，它们没有资源来抵抗强大的攻击，因此它们很容易成为黑客的受害者。

除电信外，攻击者还提请教育机构和公共部门注意。以前，它们在DDoS攻击总量中所占的份额分别为1％和2％，但在过去一年中，每个细分市场的份额均增加到5％。我们将其归因于数字化和我们自己的Internet资源的发布，这些组织的活动越来越依赖于此，特别是在自我隔离时期。

在其他方面没有重大变化的部门：

每个客户的攻击

每个客户端攻击次数的平均增加速度明显加快。如果在2018年为21％，那么根据2019年和2020年初的结果，这一比例达到58％。教育机构显示，每位客户的攻击次数增加最多-153％。这些都是电子日记，带有作业和测验的网站-所有这些都使学生无法享受生活。此类攻击的发起者通常是~~母亲的黑客，~~即学生本人，这再次证明了在例如学校站点等不安全资源上组织DDoS的简便性。

对一个客户端的攻击的增长：

该怎么办

DDoS攻击的数量将会增加，新的放大器，攻击类型以及针对攻击者的自然新目标将出现。但是，正如牛顿的第三定律所指出的那样，
反对采取任何行动。

DDoS预防方法是众所周知的-希望最终解决这个问题。为了不产生IoT僵尸网络：及时消除所有设备，控制端口上的漏洞，并且不要使用IPv6。

要在快速变化的攻击媒介情况下正确配置保护，请执行以下操作：使用预先准备的选项来抵抗特定类型的已知攻击并定期检查您的基础结构。

通常，可以看出，DDoS领域中的当前问题以某种方式相互关联。因此，有必要在过滤的不同阶段全面保护应用程序和基础结构，尤其是业务关键部分。

拒绝服务类型：DDoS如何发展