DDoS 攻击在当今的网络环境中呈现出愈发严峻的态势。根据网络安全公司 Gcore 的报告显示,2024 年上半年全球分布式拒绝服务攻击事件数量达到了 44.5 万起,与去年同期相比增长了 46%。游戏和博彩业继续成为 DDoS 攻击的主要目标,占攻击事件总数的 49%。在线游戏由于其高风险和竞争性,特别容易受到攻击和破坏。
以热门游戏《黑神话:悟空》为例,其发行平台 Steam 就遭遇了罕见的 DDoS 攻击。攻击指令一夜暴涨了 2 万多倍,有近 60 个僵尸网络主控发起攻击,涉及 13 个国家和地区的 107 个 Steam 服务器 IP。由于 Steam 平台的突然崩溃,该游戏的实时在线人数一度骤降至百万以下。此前曾有数据显示,一款游戏如果持续遭到攻击一天,玩家数量将流失 80%,这对游戏企业来说是致命的打击。
在金融行业,DDoS 攻击也屡见不鲜。金融行业是国家经济的核心,涉及大量的资金流动和交易,攻击者可能试图通过瘫痪金融机构的网络服务来造成经济混乱,甚至获取非法利益。企业遭到 DDoS 攻击后,不仅会导致收入损失,还可能失去客户信任、声誉下降,甚至出现数据泄露的风险。
然而,企业在遭遇 DDoS 攻击后立案却面临诸多困难。一方面,攻击源的地理分布广泛,确定攻击者的位置具有一定难度;另一方面,攻击行为与结果间的因果关系证明难、经济损失认定不统一等问题也给立案带来了挑战。
二、DDoS 溯源的必要性
(一)提升证据有效性
在网络安全领域,黑客基础设施的寿命通常较短。据相关数据统计,大部分黑客基础设施的存活时间可能仅在数小时到数天之间。做威胁情报系统的同事们深知,随着时间的推移,证据的有效性就难以保证。因此,对 DDoS 攻击源进行实时分析至关重要。通过实时分析攻击源,可以在黑客基础设施被销毁或转移之前,迅速获取关键证据,为后续的调查和法律行动提供有力支持。例如,在某企业遭受 DDoS 攻击后,安全团队立即启动实时分析程序,成功在攻击发生后的数小时内锁定了部分攻击源的 IP 地址和相关信息。这些信息在后续的调查中发挥了重要作用,为确定攻击者的身份提供了 valuable 线索。
(二)降低溯源成本
目前,不是每一起 DDoS 攻击事件都能溯源,主要原因之一就是溯源成本很高。构建廉价的溯源系统成为当务之急。如果能够降低溯源成本,那么警方的立案标准也会相应降低。目前的标准是攻击流量峰值达到 100G 攻击以上才立案,这使得许多中小规模的 DDoS 攻击事件无法得到及时处理。例如,一些小型企业遭受的攻击流量可能只有几十 G,但由于无法达到立案标准,只能自行承担损失。如果能够构建廉价的溯源系统,就可以提高溯源的可能性,让更多的 DDoS 攻击事件得到应有的关注和处理。
(三)精准定位嫌疑人
DDoS 溯源不仅仅是要找到攻击的源头,更重要的是要定位到人或者团伙。未接触性网络犯罪是由人发起的,最终的完结也需要抓捕到嫌疑人。只有将攻击者绳之以法,才能真正起到威慑作用,减少 DDoS 攻击的发生。例如,在某起 DDoS 攻击事件中,警方通过艰苦的调查和溯源,最终锁定了一个黑客团伙。这个团伙利用肉鸡进行 DDoS 攻击,给多个企业造成了巨大损失。通过精准定位嫌疑人,警方成功将该团伙成员抓获,为受害者挽回了损失,也维护了网络空间的秩序。
三、DDoS 溯源的方法与技术
(一)系统架构搭建
在公有云平台搭建业务系统时,需要精心设计系统架构以实现有效的 DDoS 溯源。公有云根据部署架构的区分,有双 POP 点、多 AZ 节点以及多活的数据中心。在每个 AZ 中部署分光和分流设备,同时支持数据镜像,将数据分别提供给全流量系统(包含 DDoS 检测系统)和网络入侵检测系统。这样的架构设计可以确保在攻击发生时,能够全面地收集和分析网络流量数据,为溯源工作提供丰富的信息来源。例如,中国联通作为业界领先的电信运营商,在其 DDoS 防护体系中,已在境内 31 个省级行政区设立防护中心,一旦发生 DDoS 攻击,可在攻击源头附近快速反应,有效拦截并清理恶意流量。这种近源防御策略不仅缩短了响应时间,还减少了无效数据在网络中的传播,为 DDoS 溯源提供了有力的支持。
(二)四层溯源解决方案
- 判断攻击类型,如根据包占比确定 SYN Flood、NTP Flood 等。当通过分布式抓包的方式获取到 pcap 数据包后,对包内容进行统计。例如,SYN 包占比达到 40%,即可认为是 SYN Flood;NTP 包占比达到 60%,即可认为是 NTP Flood。这样的判断方式可以快速确定攻击类型,为后续的溯源工作提供重要线索。
- 通过集群抓包统计 Top1000 攻击源。把抓包通过集群方式部署,每台 x86 服务器处理 20G,dump 数据包的前 80 个字节。通过包过滤分析出是出流量还是入流量,然后过滤与指定目标 IP 无关的流量。接着统计 Top1000 的流量 IP,并把这些统计数据发送给 pcap Server,再将整个集群发过来的 Top1000 的数据统一排序,生成新的 Top1000 数据,从而统计出针对公有云 floatingIP 对应的 top1000 攻击源。
- 进行数据清洗,去除伪造 IP、反入侵获取 DDoS 程序等。先使用简单的 syn cookies 判断去除伪造 IP。然后通过扫描器回扫 Top1000IP,寻找可反入侵的 IP,反入侵后获取 DDoS 程序。此外,获取威胁情报数据,当攻击 IP 为 IDC 时,大部分主机上被部署了下载器,可直接获取 DDoS 程序。
- 获取身份信息,通过 DDoS 程序等寻找 C&C 服务器以确定黑客身份。通过 DDoS 程序,放入养鸡场、或者使用 EDR 程序监控、或者使用沙箱方式收集外连数据,寻找到 C&C 服务器。只有控制服务器才能找到黑客,从而实现精准溯源。
(三)其他溯源途径
除了上述方法外,还有其他溯源途径。可以使用 DDoS 防护服务,如快快网络推出的 DDoS 安全防护解决方案,依托强大的自研防护集群优势,结合 AI 智能引擎持续优化防护策略等多维算法,实现大数据联动防护,提高检测和响应速度,减少误报率。同时,在遭受攻击时,可以联系网络运营商,寻求帮助和支持。此外,学习网络安全基础知识也是非常重要的,了解 DDoS 攻击的原理和常见类型,掌握基本的防御和溯源方法,能够在一定程度上提高自身的网络安全防护能力。例如,业界专家提醒广大消费者也要提高防范意识,积极维权,动动手指给骚扰电话打上 “标签”,越多的人参与进来,就越能筑牢防范骚扰电话的 “防火墙”。同样,在网络安全领域,大家共同学习和提高安全意识,也能为 DDoS 溯源工作提供更多的线索和支持。
四、DDoS 溯源的意义与挑战
(一)DDoS 溯源的意义
DDoS 溯源对于保护网络安全、维护网络秩序具有至关重要的意义。首先,通过溯源可以快速锁定攻击源头,采取有效的防御措施,减少攻击造成的损失。例如,当企业遭受 DDoS 攻击时,通过溯源能够及时调整网络安全策略,部署相应的防护设备,降低攻击对业务的影响。其次,溯源能够分析攻击者的作案手法,为网络安全人员提供宝贵的信息,帮助他们提高防御水平。网络攻击手段不断变化,了解攻击者的策略有助于提前做好防范,制定更有效的安全措施。最后,溯源可以为执法部门提供证据,将攻击者绳之以法,维护网络空间的秩序。对攻击者的打击能够起到威慑作用,减少 DDoS 攻击的发生,保障网络环境的安全稳定。
(二)DDoS 溯源面临的挑战
然而,DDoS 溯源也面临着诸多严峻的挑战。其一,攻击者的匿名性使得溯源变得极为困难。攻击者通常会使用代理服务器或其他技术来隐藏自己的身份,增加了追踪的难度。据统计,在众多 DDoS 攻击事件中,能够成功确定攻击者真实身份的比例不足 30%。其二,攻击链路的复杂性也是一个重大挑战。DDoS 攻击的源头可以遍布全球各地,甚至可以跨越多个国家,攻击路径错综复杂。例如,一次大规模的 DDoS 攻击可能涉及数百个甚至上千个攻击节点,这些节点分布在不同的地理位置,使得溯源工作如同大海捞针。其三,数据篡改的可能性也给溯源带来了困难。攻击者可能会篡改网络流量数据,以掩盖自己的行踪。此外,网络环境的动态变化也增加了溯源的难度,如 IP 地址的动态分配、网络拓扑的变化等。
综上所述,DDoS 溯源虽然具有重要意义,但也面临着巨大的挑战。为了更好地应对这些挑战,需要不断创新溯源技术,加强国际合作,提高网络安全意识,共同维护网络空间的安全与秩序。
墨者安全 防护盾
墨者安全作为专业级别安全防护专家,在应对 Webshell 风险隐患方面展现出了卓越的能力。其拥有全面的检测机制,能够精准识别 Webshell 的各种类型和变体,无论是复杂的大马,还是隐蔽的内存马,都难逃其敏锐的监测。
墨者安全防护盾具备强大的实时监控功能,对服务器的各项活动进行 7*24 小时不间断的监视。一旦发现任何可疑的 Webshell 活动迹象,立即发出警报,并迅速采取隔离和清除措施,将风险扼杀在萌芽状态。
在防护策略上,墨者安全防护盾采用了多层次的防御体系。不仅能够在网络层面阻挡外部的恶意访问和攻击,还能深入系统内部,对服务器的文件系统、进程等进行深度检查和保护,确保 Webshell 无法植入和运行。
同时,墨者安全防护盾拥有快速的应急响应能力。当 Webshell 攻击事件发生时,专业的安全团队能够迅速介入,进行深入的分析和处理,最大程度减少攻击带来的损失,并帮助用户快速恢复服务器的正常运行。
墨者安全防护盾还注重用户教育和培训,为用户提供关于 Webshell 防范的专业知识和最佳实践,帮助用户提升自身的安全意识和防范能力,共同构建坚实的网络安全防线。