2023 年には、グローバルなデジタル化が加速しており、ネットワーク セキュリティはデジタル開発の重要な保証です。同時に、サイバー脅威も増大しています。その中でも、ネットワーク セキュリティに対する主要な脅威の 1 つである DDoS 攻撃は、年々増加する傾向にあり、企業のビジネスの安定性に大きな課題をもたらしています。
2 月 21 日、Tencent Security は China Telecom Security、NSFOCUS、および Tencent Cloud Developer Community と協力して、「2023 年の DDoS 攻撃の新しいトレンドと企業保護のための新しいアイデア」をテーマに公開クラスを開催し、Tencent のセキュリティ専門家を招待しました。 Jingtao と Xiong Wentao は、 「2022 DDoS 攻撃の脅威レポート」に基づいて、。保護。
基調講演は以下の通り。
2022 年の脅威情勢の解釈、DDoS 攻撃が活発な時期に入る
Tencent Security のシニア セキュリティ アーキテクトである You Jingtao 氏は、3 者の代表として、「2022 年の DDoS 攻撃の脅威レポートの概要解釈」というテーマを共有し、レポートと意見を解釈しました。
1. 脅威は増加の一途をたどり、100Gを超える大容量攻撃が急増中
You Jingtao: DDoS の脅威は 2022 年も増加し続け、最大攻撃トラフィックはテラバイトに達し、ピーク攻撃のピークは史上最高レベルに達し、前年比で 15% 増加します。全体として、2022 年の攻撃値は 2021 年に比べて特に大きく増加します。
同時に、クラウド コンピューティング、ビッグ データ、AI、ライブ ビデオなどの業界の急速な成長に後押しされて、100 G を超えるトラフィックを伴う攻撃の数が増加しており、2022 年には、平均して 1 時間に 1 回の攻撃が発生する見込みです。攻撃数は4年連続で増加しています。注目すべきは、2020 年から 2022 年までの総攻撃数が 2010 年から 2019 年までの総攻撃数を上回っており、近年 DDoS 攻撃の状況が深刻化していることを示しています。
2. 攻撃手法は様々、大容量攻撃は主にUDPによるもの
You Jingtao: UDP DDoS 攻撃は、ハッカーの最も一般的な攻撃方法です。一般的に言えば、UDP リフレクションは大規模なトラフィック攻撃の 40% 以上を占め、UDBC リフレクションは約 20% を占めています。SYNFLOOD 攻撃の割合は約 15% に減少し、そのうち SYN ラージ パケット攻撃は 10% 未満でした。一方では、攻撃コストが比較的高いためであり、他方では、防御者にとって大きな SYN パケットはフィルタリングしやすいためです。
3. ゲーム業界は依然として DDoS 攻撃の発生率が高い分野です
You Jingtao: DDoS 攻撃のターゲットの業界属性を分析した結果、インターネットが DDoS 攻撃の主なターゲットになっていることがわかりました。ゲーム業界が第 1 位で、60% 以上を占めています。ゲームに対する攻撃の大部分は競合製品に関連しており、その中でもモバイル ゲームは DDoS による攻撃が最も頻繁に行われています。
4. DDoS 攻撃は時間の影響を受けず、攻撃の持続性が向上します
You Jingtao:通常、DDoS 攻撃は標的の IP を長時間にわたって攻撃し、そのうち 80% は 10 分から 30 分持続します.この割合は 2021 年に比べて大幅に増加しており、単一の IP を標的にして継続的に攻撃することが最も一般的になっていることを示しています. DDoS 攻撃の現在の傾向。攻撃ポートに関しては、犠牲ポートは主に小さなポートであるため、保護する場合、企業はIPアドレスとポートを非表示にし、不要なサービスを可能な限りシャットダウンして、攻撃される可能性を減らす必要があります。
オペレーターの視点から見た 2022 年の DDoS 攻撃の傾向と保護の解釈
China Telecom のネットワーク セキュリティ テクノロジー カテゴリのシニア エキスパートであり、China Telecom Security Company の DDoS 攻撃防御のシニア オペレーション エキスパートである Sun Anji は、DDoS 攻撃の主な変化傾向に基づいて、通信事業者業界独自の視点から DDoS 攻撃を解釈し、共有しました。過去1年間の保護練習経験。
1. DDoS 攻撃の規模は 2022 年に回復し、その数は増加し続ける
孫安吉:インターネットの急速な発展とデジタルトランスフォーメーションの加速に伴い、ネットワークセキュリティの問題はますます顕著になっています.DDoS攻撃は、最も代表的なネットワークセキュリティの脅威の1つであり、毎年、企業、機関、個人に莫大な損失をもたらしています.
2019年,在国家治理等背景下,DDoS攻击已进入到低谷期。然而,由于疫情以及国际局势等多方面原因,2022年攻击规模明显回升,攻击总流量增长了79%,达到64.13万TB。单次攻击的平均峰值也达到了42.8Gbps,较2021年增加204%。同时,根据监测数据显示,和2021年相比,2022年的月均攻击次数增加了三倍以上。具体而言,2022年的攻击次数达到45.9万次,较2021年增长了272%。
2、特大型流量攻击事件持续增长,成为网络安全的重要挑战
孙安吉:2022年,针对客户接入带宽的大流量DDoS攻击再创历史性突破。其中,11月份的攻击峰值达到3.18Tbps,相比2021年7月的1.85Tbps,攻击峰值增长了76%。与2021年相比,2022年攻击规模在持续增大,中大型规模的攻击有所增加,其中特大型流量攻击事件持续增长。大流量攻击事件正在成为网络安全的重要挑战。
据统计,2022年800Gbps以上的特大流量DDoS攻击事件已达到了65次,100Gbps以上的大流量攻击事件达到6684次,平均每个月557次。可见,超大型攻击在不断增加,而攻击方式还是以混合攻击为主,极少是单一攻击方式。这给运营商的安全防护带来了极大挑战。
3、DDoS攻击形式趋向短时、高频,SSDP反射攻击“异军突起”
孙安吉:据最新数据显示,攻击持续时长在十分钟以内的攻击事件占比接近79%,而在三十分钟内的攻击事件占比近95%。目前绝大多数攻击的特征是快速发起,在达到峰值之后迅速回落并结束。这种缩短攻击时长的方法可以增加攻击频度,也可以利用防护启动的时间差提高攻击效果,同时也会增加溯源追踪难度。
另外,SSDP反射攻击成为2022年攻击新趋势,自2月份开始攻击频次迅速增加,全年攻击占比最大。其他常见攻击的变化幅度相对较小,例如TCP攻击,其占比基本保持稳定,没有明显变化。
探索DDoS防御新手段实现对攻击组织的刻画与溯源
绿盟科技伏影实验室高级安全研究员兰星结合多年攻击溯源经验,提出和探索DDoS防御新手段,实现对攻击组织的刻画与溯源。
1、DDoS攻击主要作用于关基设施,造成负面社会影响
兰星:结合全球网络空间的监测来看,当前DDoS攻击可总结为以下几点:
DDoS攻击成本较低廉,具有极高的作战费效比。
DDoS攻击的主要作用是致瘫关键基础设施和重要网络系统,这些系统被破坏后往往会遭受巨大经济损失,并带来极坏的社会影响。
DDoS攻击不同于其他攻击,会有更多非国家行为体,甚至是个人的参入。可以说DDoS攻击已成为网空博弈重要的致瘫武器。
2、DDoS攻击监测、溯源和刻画成为攻击应对新思路
兰星:当前行业内主要的应对手段是以阻断应对防护为主,视野不够宽泛,没有对攻击者形成威慑的能力。攻击者被阻断之后,过段时间还会去持续地攻击目标。为了实现真正的防护,攻击监测、溯源和刻画十分必要。
首先,要对DDoS攻击进行监测,发现主要攻击活动以及重点攻击事件,感知DDoS威胁对抗的发展,挖掘新型威胁。
其次,防护者需要找到攻击参与者,例如僵尸主机和反射器,背后真正的控制主机以及主机控制者。结合控制者的身份信息,包括所属工作单位,国家政策以及社交平台,找到所在攻击组织的信息。
在具备了DDoS攻击监测和溯源的能力之后,就可以基于这两部分内容对DDoS攻击进行刻画。结合监测到的攻击事件、组织还有僵尸网络的恶意文件、域名、IP,经过关联分析,最终形成犯罪团伙和控制团伙的画像,完成对DDoS攻击组织的刻画。
3、通过DDoS全球异域监测主动进行攻击防御
兰星:在DDoS攻击监测方面,防护者可以从两个方向去主动开展防御行动。
攻击事件发生前,攻击者需要去探测全球部署的支持脆弱协议的反射器。攻击者探测到这种反射器后,会将其作为攻击资源收录到他们的基础设施池里。在这一过程中,防护者可以伪装成反射器,把自身作为攻击者攻击资源的一部分,监测攻击者的攻击指令和攻击目标,实现对DDoS攻击事件的威胁狩猎。
攻击事件发生时,防护者可以进行僵尸主机的伪装监测,获取攻击者的攻击指令以及攻击目标。
4、层次化溯源深挖攻击者背后的信息
兰星:当前针对僵尸网络的溯源是以僵尸网络家族为主。但关注僵尸网络溯源不仅仅只关注其家族,更要关注其背后的控制者、攻击团队及其动机,以形成对攻击者较为全面的认知。
以反射放大攻击溯源为例。反射放大攻击主要有两个阶段:第一个阶段,攻击者会在全球范围内寻找可利用的反射器。第二个阶段,攻击者会利用探测到的反射器发起攻击报文。这时,防护者可以在攻击者探测阶段隐藏在反射器背后,控制这些反射器,还原攻击者的攻击路径,顺藤摸瓜找到真正的攻击者。
腾讯EdgeOne助力游戏行业构建安全、快速、稳定业务体验
腾讯海外安全产品专家熊文韬就游戏出海浪潮下的安全防护这一话题,基于腾讯EdgeOne产品分享自己的思考与实践。
1、游戏行业面临业务稳定、流量盗刷、DDoS攻击、Web攻击四大挑战
熊文韬:游戏行业目前面临着四个比较大的挑战:
游戏业务对时延、下载、突增要求越来越高。
CDN流量盗刷猖獗,致使用户蒙受损失。流量盗刷通常有两种方式:一是通过盗链网站模式消耗CDN流量,二是通过机器人模拟真实访问消耗CDN流量。
大流量DDoS攻击成为业界新常态。如今物联网的普及为黑客提供大量优质肉鸡,加上低廉的DDoS攻击成本,导致海外攻击态势愈发严峻,大流量攻击逐年攀升。
针对Web应用的攻击成为游戏面临的主要安全问题之一。游戏企业的官网和游戏业务本身使用7层业务接入,遭受Web攻击往往会导致页面被篡改、业务瘫痪、用户数据泄露等问题,对游戏企业的经济利益及声誉造成重大损害。
2、应对思路:融合是趋势,分裂的产品形态无法满足游戏多种诉求
熊文韬:游戏行业存在多种场景,例如官网,大厅,战斗服等,每个场景对应不同的安全产品需求,单一产品难以做到全部覆盖。如果按单个场景去采购安全产品,可能会出现采购成本高,部署运维复杂,产品间无法协同等问题。
腾讯安全基于这些行业痛点打造了安全产品EdgeOne,它对传统的CDN节点进行了升级,整合DDoS防护、Web防护和BOT防护等主流防护功能,兼具边缘JavaScript函数计算、KV存储等能力,能让客户在更靠近用户的地方实现业务逻辑,保障用户安全和优质访问体验。
3、针对游戏四大核心场景,EdgeOne配置场景化解决策略
熊文韬:游戏行业主要有四大核心场景,腾讯安全EdgeOne可以针对不同场景需求匹配相应解决方案。
第一个场景是游戏安装包下载及热更新。游戏的下载和更新对于传输速度、传输稳定性、防突增、边缘层和中间层等有较高要求。因此,腾讯安全团队建议下载速率要大于5MB/s,带宽储备不少于5~10T;开启CDN主动预热,缓解源站压力;检查客户端行为,确保HTTP RANGE请求参数在合理逻辑内;优化EdgeOne回源链路,开启多级缓存和分片回源优化能力;开启4、7层安全策略,解决可能存在的DDoS、CC等攻击。
第二个场景是游戏行业CDN防盗刷,它要解决的核心问题是盗链和机器人模拟真实访问的问题。EdgeOne可通过Web防护开启referer管控解决盗链问题,通过BOT管理功能解决机器人攻击,同时还配备了IP黑白名单配置,IP访问限频配置,鉴权配置,UA黑白名单配置等,综合去解决游戏盗刷场景威胁。
第三个场景是平台服/大厅服安全防护及加速。针对这个场景,腾讯安全可提供DDoS防护策略,包含全球联防超过5T能力,保障游戏业务体验;提供Web防护策略,缓解大规模CC攻击,提高安全防护力;提供全球访问体验优化,减少客户端访问的延迟与连接丢包率,提升全球玩家的访问质量。
第四个场景是战斗服安全防护及加速。战斗服的防护较为复杂,对于传输速度、质量和安全的要求较高。针对战斗服的防护需求,腾讯安全可提供包括水印防护、EO代播的云原生高防包、AI智能防护等能力在内的安全防护方案,在保证防护的同时,也能保障网络质量。
针对游戏行业安全防护难题,腾讯安全凝聚七大核心能力护航游戏业务,包括动静态加速,T级防护能力,Web攻击防护,边云协同架构,BOT管理,统一控制台,丰富的节点和带宽储备,可为客户提供综合性、全方位的4、7层安全防护和快速、稳定的业务体验。
「产业安全公开课」
汇聚行业智慧,打造卓越产品,解读最新趋势。腾讯安全邀你相聚云端,共话产业安全。
