歲末年初，各行各業都在總結過去一年的成就和經驗教訓。回首剛剛過去的鼠年，新冠肺炎疫情當仁不讓成為了各行各業的關鍵詞。疫情的大流行導致人們大規模轉移到遠程工作和學習模式，并越發依賴在線服務，這就為網絡犯罪分子提供了更多攻擊機會。在網絡安全領域，過去一年可謂見證了分布式拒絕服務（DDoS）攻擊這個歷史悠久的攻擊手段的爆發。與往年相比，網絡犯罪分子在去年對各行業發起的DDoS攻擊在規模、頻率和復雜度上均創下了新高，攻擊動機也更是別有用心。

隨著人們進入到后疫情時代，DDoS攻擊發起者的野心恐將欲壑難填，企業需要以面對“疫情常態化”的心態來應對“加強版”DDoS攻擊的常態化。Akamai智能邊緣安全平臺在去年成功抵御了包括截至目前最大帶寬和最大吞吐量在內的數起DDoS攻擊。基于此，下文總結了Akamai平臺上觀察到的DDoS攻擊新趨勢，并提出了解決之道，旨在幫助企業在后疫情時代的安全環境中以往鑒來、更好保護自身業務發展。

攻擊規模史無前例，攻擊手段變化多端

圖一、Akamai成功幫助客戶抵御DDoS攻擊的歷史記錄

上圖中灰色部分表示帶寬——數字越大意味著被攻擊企業在互聯網的出入口位置受到的壓力越大；藍色部分表示吞吐量、即報文數量——數字越大意味著網絡設備的處理能力面臨更大壓力。由圖可見，過去十年間“灰藍”兩項指標基本呈指數型增長，增長了約二十倍，而去年兩項指標又再次被刷新。具體而言，2020年6月的第一周，Akamai應對了迄今見到的最大規模帶寬的DDoS攻擊（灰色）。其針對的是一家互聯網主機提供商，主要攻擊對象共有五個IP地址，使用了ACK Flood、CLDAP反射、NTP Flood等九種不同的攻擊向量和多種僵尸網絡攻擊工具。這起攻擊流量來源于全球，持續了近兩個小時，最終峰值達到1.44 Tbps和385 Mpps，其中超過1 Tbps的帶寬就超過了一個小時。而上一次Akamai觀察到如此大帶寬的DDoS攻擊還是在2018年，當時的攻擊帶寬僅為1.3 Tbps。由這起攻擊事件可見，攻擊者為了達到目的，非常重視DDoS攻擊技術的開發與變化。事實上，多向量DDoS攻擊在去年非常普遍，Akamai平臺緩解的攻擊中約有33%起攻擊包含三個或更多攻擊向量，最高者為14個不同向量。

另一起破吞吐量紀錄的DDoS攻擊（藍色）發生在去年6月，目標為一家歐洲大型銀行。Akamai觀察到，其帶寬在幾秒鐘內從正常流量水平激增至418 Gbps，隨后在約兩分鐘內達到809 Mpps的吞吐量峰值。整起攻擊雖持續不到十分鐘，但獨特之處在于Akamai觀察到的數據包源IP地址數量大幅增加，這意味著在攻擊期間，攻擊者向該銀行目的地注冊的源IP數量大幅增加，表明攻擊來源高度分布。Akamai觀察到的每分鐘源IP數量是通常觀察到的客戶目的地址的600倍以上。以上述兩起破紀錄的DDoS攻擊為代表的去年數起攻擊反映出，雖然某些攻擊未得逞，但攻擊者愿意花費的成本與代價十分巨大，企業若沒有富有經驗的技術、人員和流程，將難以應變，最終被擊垮。

以勒索為威脅訴求，存在魚目混珠情況

從2020年8月開始，Akamai的部分客戶陸續收到幾個攻擊組織發來的DDoS攻擊勒索信。信中措辭與此前已公開的勒索內容并無二致：勒索信警告若對外曝光勒索要求，則立即發起攻擊，攻擊不但會破壞基礎設施，還將造成聲譽等更大影響。可見勒索者精心策劃過信件內容，希望達到“不戰而屈人之兵”的效果。一些勒索信注明了身份，如主要針對金融機構進行勒索的Fancy Bear（APT 28）和Armada Collective分別要求支付10個比特幣（時價為12萬美元）和20個比特幣（約合24萬美元），若超過付款期限，還會增加勒索要求。還有一些勒索信指明了攻擊目標并威脅發起一次小的“測試”攻擊來證明情況的嚴重性以及攻擊決心。

圖二、Akamai使用信號識別山寨勒索

Akamai平臺曾觀察到一個受勒索的客戶遭到了50 Gbps的攻擊，但經過分析，該勒索攻擊者并非信中聲稱的組織，而是利用知名攻擊組織的名聲來恐嚇企業加緊付款。而這樣的渾水摸魚勒索在去年的勒索型DDoS攻擊中更是屢見不鮮。上圖運用了Akamai平臺的數據和專家的經驗，將勒索DDoS攻擊中的向量、所利用的漏洞等技術特征，即“攻擊信號”進行提取，然后把該攻擊是否在平臺上出現過來鑒別已知和未知威脅，最終Akamai發現去年的勒索型DDoS攻擊并不都是信中宣稱的那些組織發起的，雖然很多人宣稱自己是某一黑客組織，但他們所使用的安全信號完全不同，有些攻擊甚至被Akamai平臺自動攔截了。從Akamai的數據來看，真正由信中宣稱的組織發起的勒索型DDoS攻擊在所有攻擊中只占約10%；從另一個角度來說，并不是每一起去年發生的DDoS攻擊都會告知勒索需求。

有組織全行業掃蕩，勒索難以獨善其身

總體而言，Akamai在去年發現北美、亞太、歐洲、中東和非洲的企業收到的勒索信日益增加。金融服務業起初是受威脅最大的行業，但隨后的勒索信又將目標對準了其他行業，波及電商、社交媒體、制造、酒店和旅游等各行各業。勒索組織進行全行業掃描，從最有利可圖的行業入手，勒索完一個便調轉槍口對準另一個行業。

圖三、Akamai統計的各行業遭受的DDoS攻擊情況

而攻擊最終發起的情況也反映出沒有行業能夠幸免。由上圖可見，去年8月前，DDoS攻擊主要針對游戲業。但從8月開始，攻擊突然轉向金融業，隨后又擴散至多個行業。由于疫情期間在線學習的需要，教育業在去年成為了DDoS攻擊重災區，DDoS攻擊會使學生無課可上，產生非常糟糕的后果。

五大舉措應對“新時代”的勒索型DDoS攻擊

去年很多遭到攻擊的大型企業表示勒索信被系統當成垃圾郵件過濾了，因此沒有收到勒索郵件的企業并不代表能夠獨善其身。而中小型企業往往在勒索的成本與付出的安全投資之間舉棋不定。可以確定的是，勒索型DDoS攻擊會長期存在，攻擊者正在改變和更新其攻擊手段，不斷躲避網絡安全從業者和執法機構。那么面對“新常態”下的網絡環境，企業該如何應對DDoS攻擊呢？

首先，面對DDoS攻擊，企業機構決不能妥協，不能助紂為虐。按照攻擊者的要求支付贖金既無法保證攻擊者停止攻擊，也不能確保未來不再受到其他攻擊威脅。

其次，企業機構可以向有經驗的組織尋求幫助，借力專家，尋求適當等級的咨詢與安防建議以及應對突發情況的緊急服務。企業機構可以以情報研判、實戰經驗、緩解能力和緩解容量四個方面作為評估標準，尋找合適的合作伙伴。

第三，DDoS攻擊在發生的那一刻，可能就已經造成了數萬美金的財務損失，所以，企業機構應該隨時準備迎戰，結合合適的防護方案與安全合作伙伴，主動緩解DDoS流量，讓攻擊者難有可乘之機。

第四，企業機構應該優化自身安防流程和技術，改善自身安全態勢，有針對性地設立防御層次。根據自身業務形態與風險承受能力，來確定應采用的安防形式，形成閉環，不斷優化，從而更好地保護自身資產。

第五，企業機構應該協調好技術、流程和人員的關系，召集相關職能部門，確保準備充分，了解在發生攻擊時各自應采取何種措施。企業機構可以定期執行桌面演練，以確保適當的人員、流程和技術都準備就緒，讓投資的技術、工具都能落到實處，使價值最大化。

2020實“鼠”不易，DDoS攻擊帶來的威脅從未像現在這樣嚴峻。企業機構只有做到以上五點，通過“人員+流程+技術”結合的方式，建立應對DDoS攻擊的全方位安防網，才能有條不紊地應對水平不斷上升的DDoS攻擊，打好DDoS反擊戰，在2021“牛”轉乾坤。