2020年DDoS攻击的规模和频率大幅增加

　　2020 年分布式拒绝服务 (DDoS) 攻击的规模、频率和持续时间都在增加。

　　卡巴斯基实验室报告，2020 年首要季度DDoS 攻击比 2019 年第四季度翻了一番，与去年同期相比增长了 80%。卡巴斯基还发现，DDoS 网络攻击的持续时间正在增加。2020 年首要季度，平均攻击持续时间与去年同期相比增加了 24%。与此同时，与去年同期相比，首要季度的攻击持续时间增加了一倍多。

　　最近对一家大型欧洲银行的 DDoS 攻击以 8.09 亿数据包/秒的速度运行，比 Akamai 平台上之前的记录的两倍多。Akamai 上月报告了对一家互联网服务提供商的 1.44 TB/秒攻击。攻击来自 9 个不同的向量，持续了一个多小时，保持了1.3 兆比特/秒的强度。今年 2 月，Amazon Web 服务(AWS) 的 DDoS 攻击记录为 2.3 TB/秒。这比 AWS 检测到的任何 DDoS 都大 44%。

　　一、DDoS 攻击的类型

　　Akamai 解释说，比特/秒(BPS) 和数据包/秒(PPS) 攻击具有不同的目标受害者的方法。通过 BPS 攻击，目标是使入站互联网通道被压倒。它轰炸的流量超过它能处理的规模。通过 PPS 攻击，目标是在受害者的数据中心或云环境中耗尽网络装备和应用，耗尽资源。在采取不同方法的同时，这两种类型的 DDoS 攻击都可对受害者产生破坏性影响。

　　Akamai 首席产品架构师 Tom Emmons 表示："从 2020 年启动以来的 DDoS 活动整体上看，很明显，大型、复杂的 DDoS 攻击仍然是重要的攻击媒介。大多数 DDoS 攻击都涉及 SYN 洪水，这是协议攻击。这是三种 DDoS 类型之一，以及体积和应用程序攻击。

　　二、DDoS 攻击者利用新冠疫情

　　许多 DDoS 攻击都是通过针对医疗保健组织、教育平台和政府机构来利用新冠疫情大流行。

　　例如，2020 年首要季度，DDoS 对教育和行政 Web 资源的攻击数量与去年同期相比增加了两倍。卡巴斯基预测，随着向远程工作的转变成为"新常态"，VPN 网关等企业基础设施将收到更多的 DDoS 攻击。

　　Imperva 最近发现应用程序 DDoS 攻击的持续时间更长。6 月的两次攻击持续了 5 到 6 天，来自多达 28000 个仅有 IP 地址。目标最明确的行业是媒体、商业和金融服务。

　　助长 DDoS 攻击的另一个开发是僵尸网络租赁服务。根据趋势科技的研究，这些服务的提供商正在为控制家庭路由器在僵尸网络中使用而斗争。然后，网络犯罪分子出售对 DDoS 攻击的这些僵尸网络的访问，或匿名化点击欺诈、数据盗窃和帐户接管。

　　趋势科技全球威胁通信主管乔恩•克莱(Jon Clay)解释道："网络罪犯知道，绝大多数家庭路由器都缺乏默认凭据，并且大规模地加大了攻击力度。"“对于家庭用户来说，这会劫持他们的带宽并减慢他们的网络速度。对于成为二次攻击目标的企业，这些僵尸网络可以完全摧毁一个网站，正如我们过去在高调攻击中所看到的那样，"Clay 说。

　　三、如何防止攻击？

　　数据是清楚的。从所有方面衡量，DDoS 攻击正在增加。DDoS 攻击与 DoS 拒绝服务攻击有什么区别?恶意流量来自世界各地的分布式来源，例如由数百万台设备(而不是单个来源)的僵尸网络。这种类型的攻击使常规防火墙和入侵检测系统在阻止这些攻击方面几乎毫无用处。

　　组织可以做几件事情来防止攻击并减轻其影响。卡内基梅隆大学软件工程研究所的研究员Rachel Kartch 建议企业实施四个改进 DDoS攻击 的实践。

　　•使架构尽可能具有弹性。企业应分散资产，以避免向攻击者展示有吸引力的目标。他们应该将服务器定位在不同的数据中心，确保数据中心位于不同的网络上，具有不同的路径，并确保数据中心和网络没有瓶颈或单点故障。

　　•部署可以处理 DDoS 攻击的硬件。企业应使用旨在保护网络资源的网络和安全硬件中的设置。许多下一代网络防火墙、Web 应用程序防火墙和负载均衡器可以抵御协议和应用程序攻击。还可以部署专用 DDoS 缓解设备。

　　•扩大网络带宽。如果组织能够负担得起，他们应该扩展带宽以吸收体量攻击。对于没有财力投入更多带宽的较小组织来说，此步骤可能很困难。

　　•雇用 DDoS 缓解提供程序。企业可以求助于专门响应 DDoS 攻击的大型提供商，这些提供商使用云清理服务进行攻击流量，在流量击中组织网络之前将流量转移到缓解中心。例如启用香港高防服务器、美国高防服务器、高防IP 等DDoS专精侦测和清洗服务。

　　ESecurity Planet 的安全撰稿人 Paul Rubens建议企业通过将 DNS 服务器放在负载均衡器后面的各种数据中心或迁移到基于云的 DNS 提供商来保护它们。

　　根据银行信息安全咨询的安全专家，公司应使用基于云的 Web 服务器来处理 DDoS 攻击的高流量，进行模拟真实 DDoS 攻击的练习，在 DDoS 攻击发生之前实施中断缓解和响应策略，并培训员工如何识别和响应 DDoS 攻击。

　　IANS 研究主管、Akamai 前高级项目经理 Bill Brenner 表示："虽然技术缓解是必要的，但教育企业内部的用户安全是一种心态，而不是例外，也可以减少此类事件。