2020年3月12日，華為未然實(shí)驗(yàn)室重磅發(fā)布《2019年全球DDoS攻擊現(xiàn)狀與趨勢(shì)分析報(bào)告》。

報(bào)告顯示，隨著萬物互聯(lián)的5G時(shí)代到來，越來越多的終端設(shè)備接入到互聯(lián)網(wǎng)，這些海量的IoT設(shè)備已經(jīng)成為了DDoS攻擊的重要攻擊源。其數(shù)量大、性能優(yōu)、帶寬高和實(shí)時(shí)在線的特點(diǎn)，給現(xiàn)有的防護(hù)設(shè)備帶來巨大的壓力。與此同時(shí)，黑客為有效躲避DDoS防御設(shè)備檢測，攻擊的擬人化程度也越來越高，給現(xiàn)有的防護(hù)機(jī)制帶來巨大的挑戰(zhàn)。威脅情報(bào)作為防御設(shè)備、系統(tǒng)和分析人員的安全檢測和分析能力的匯集，為緩解越來越嚴(yán)峻的DDoS攻擊提供了新的防護(hù)思路，特別是難以簡單通過限制源訪問速率的方式進(jìn)行緩解的海量真實(shí)源DDoS攻擊。

華為未然實(shí)驗(yàn)室致力于為華為產(chǎn)品提供輕量化、易移植、上下文豐富的安全服務(wù)，主要包括：基礎(chǔ)安全數(shù)據(jù)服務(wù)、安全威脅檢測服務(wù)、深度安全分析服務(wù)，分別對(duì)應(yīng)情報(bào)數(shù)據(jù)、情報(bào)信息和情報(bào)知識(shí)。

圖 1 威脅情報(bào)整體框架

其中：

情報(bào)數(shù)據(jù)主要為安全檢測和分析提供基礎(chǔ)支撐數(shù)據(jù)，包括惡意樣本、PDNS、IP資產(chǎn)探測、IP指紋、IP地址位置、URL分類、URL檢測等數(shù)據(jù)。

情報(bào)信息則主要提供安全檢測和標(biāo)簽服務(wù)，包括URL、Domain、Hash和IP的信譽(yù)值和標(biāo)簽，以及針對(duì)特定安全檢測系統(tǒng)的檢測指標(biāo)，如YARA、Snort和SIGMA等。

情報(bào)知識(shí)則是基于威脅知識(shí)圖譜構(gòu)建和提供安全分析能力，包括TTPs、攻擊工具、攻擊指標(biāo)、攻擊組織和人員、應(yīng)對(duì)措施等信息。

在應(yīng)對(duì)DDoS真實(shí)源攻擊時(shí)，各個(gè)層次的威脅情報(bào)可以在不同維度進(jìn)行攻擊緩解。

下面，我們將從基礎(chǔ)情報(bào)數(shù)據(jù)、檢測情報(bào)信息和深度情報(bào)知識(shí)三個(gè)層面，通過實(shí)例來描述威脅情報(bào)緩解DDoS真實(shí)源攻擊的思路和過程。

1.1基礎(chǔ)情報(bào)數(shù)據(jù)

下面從IP基礎(chǔ)標(biāo)簽信息、IP資產(chǎn)信息和IP地域信息三個(gè)基礎(chǔ)情報(bào)數(shù)據(jù)出發(fā)，描述識(shí)別異常DDoS攻擊IP的過程。

IP地址基礎(chǔ)標(biāo)簽信息

威脅情報(bào)的基礎(chǔ)情報(bào)數(shù)據(jù)可以提供IP地址基礎(chǔ)標(biāo)簽信息，這些標(biāo)簽信息表征了IP的屬性歸類，如STATIONGW、IDC、DNS服務(wù)器、Proxy服務(wù)器、各大公司網(wǎng)絡(luò)爬蟲、網(wǎng)吧信息等。在DDoS防御和處置過程中，針對(duì)特定的場景，IP地址的基礎(chǔ)屬性信息可以用于真實(shí)源攻擊IP的篩選和過濾。如圖2所示的場景：

圖 2 冒充Baidu網(wǎng)絡(luò)爬蟲的攻擊流量

攻擊者冒充Baidu的網(wǎng)絡(luò)爬蟲對(duì)客戶服務(wù)器進(jìn)行攻擊，可以通過設(shè)置網(wǎng)絡(luò)爬蟲白名單，對(duì)白名單以外的、冒充網(wǎng)絡(luò)爬蟲的流量訪問都可以進(jìn)行屏蔽，進(jìn)而達(dá)到緩解攻擊的目的。

同樣，PC游戲服務(wù)器也是DDoS攻擊的目標(biāo)，而網(wǎng)吧既是PC游戲的重要訪問來源，也是黑客入侵的重災(zāi)區(qū)。一個(gè)網(wǎng)吧往往只有少數(shù)的獨(dú)立公網(wǎng)IP，因此在PC游戲服務(wù)器遭受來自網(wǎng)吧的DDoS攻擊時(shí)，流量中既有攻擊流量，也有正常用戶流量。如果貿(mào)然將網(wǎng)吧IP拉黑，會(huì)導(dǎo)致網(wǎng)吧中其他正常用戶也會(huì)受影響。基礎(chǔ)情報(bào)數(shù)據(jù)中記錄了網(wǎng)吧IP的信息，這些IP在PC游戲業(yè)務(wù)場景下，可以作為白名單進(jìn)行使用。

IP資產(chǎn)信息

另一種DDoS攻擊緩解的方法是對(duì)來訪IP地址的設(shè)備類型進(jìn)行探測和分析。對(duì)高風(fēng)險(xiǎn)、業(yè)務(wù)場景不匹配的IP地址，進(jìn)行適時(shí)阻斷。例如，在某次針對(duì)手機(jī)網(wǎng)銀APP實(shí)施DDoS攻擊的響應(yīng)處置中，對(duì)地理位置和訪問頻率可疑的源IP地址進(jìn)行掃描探測和分析，發(fā)現(xiàn)這些IP地址中有不少是MikroTik路由器，如圖3所示。基于業(yè)務(wù)場景判斷，這些IP地址不屬于合法的訪問源；另外，此前有大量MikroTik路由器受漏洞CVE-2018-14847影響被攻陷成為肉雞。因此，當(dāng)再次發(fā)生針對(duì)手機(jī)銀行APP的DDoS攻擊時(shí)，可以根據(jù)“MikroTik路由器”的標(biāo)簽信息對(duì)來訪IP地址進(jìn)行拉黑和阻斷處理。

圖 3 來自MikroTik路由器的IP

IP地址地域信息

某些業(yè)務(wù)的地域性特點(diǎn)明顯，可在防護(hù)壓力較大時(shí)，對(duì)于特定地域以外的IP地址采取訪問限制等操作。如，某地銀行客戶主要位于江浙地區(qū)，在遭受較嚴(yán)重的DDoS攻擊時(shí)，可對(duì)于其地域外的IP地址適時(shí)拉黑和阻斷。

1.2檢測情報(bào)信息

對(duì)于攻擊者而言，可使用的DDoS攻擊資源是有限的，需要攻陷主機(jī)才可以使其成為攻擊資源。因此，攻擊資源復(fù)用是常態(tài)。例如，某個(gè)IP地址經(jīng)常發(fā)起DDoS攻擊，則其風(fēng)險(xiǎn)較大。可以從已識(shí)別的攻擊行為、攻擊時(shí)間、與其他威脅情報(bào)信息的關(guān)聯(lián)等維度，綜合計(jì)算該IP地址的風(fēng)險(xiǎn)值。對(duì)于風(fēng)險(xiǎn)值較高的IP地址，可以適時(shí)拉黑和阻斷。

另外，可以配合IP地址的設(shè)備類型、地域、客戶業(yè)務(wù)類型等特點(diǎn)進(jìn)行定制化處理，提高DDoS防御設(shè)備的IP威脅情報(bào)的阻斷效率，保證防護(hù)效果，同時(shí)維持較低的誤報(bào)率。部署結(jié)構(gòu)如圖4所示。

圖 4 華為DDoS防御威脅情報(bào)庫部署

1.3深度情報(bào)知識(shí)

知己知彼，方能百戰(zhàn)不殆。深度情報(bào)知識(shí)則從樣本培植和預(yù)警、僵尸網(wǎng)絡(luò)家族追蹤兩方面，介紹對(duì)DDoS攻擊的深度分析過程。深度學(xué)習(xí)和分析DDoS攻擊的實(shí)施過程和攻擊規(guī)模等信息的特點(diǎn)，在應(yīng)對(duì)DDoS攻擊時(shí)才能更好地進(jìn)行部署和防御。

樣本培植和預(yù)警

通過對(duì)從多個(gè)來源收集到的樣本信息進(jìn)行篩選和分析，選擇特定僵尸網(wǎng)絡(luò)家族或攻擊團(tuán)伙的樣本進(jìn)行樣本培植，并對(duì)樣本的回連C2和指令進(jìn)行分析和破解。可提前獲得該攻擊團(tuán)伙的攻擊目標(biāo)信息，進(jìn)而提供對(duì)被攻擊目標(biāo)的攻擊預(yù)警，督促企業(yè)在攻擊未發(fā)生前就提前有針對(duì)性地加固防御策略，提升防御效果。

圖 5 樣本培植系統(tǒng)

對(duì)僵尸網(wǎng)絡(luò)家族和攻擊團(tuán)伙的追蹤

通過綜合分析蜜罐、樣本培植以及應(yīng)急響應(yīng)處置收集到的僵尸網(wǎng)絡(luò)樣本信息，關(guān)聯(lián)基礎(chǔ)情報(bào)數(shù)據(jù)和檢測情報(bào)信息，可以觀察到僵尸網(wǎng)絡(luò)家族的活躍情況和變化趨勢(shì)。結(jié)合特定場景的數(shù)據(jù)信息，如網(wǎng)絡(luò)特定流量追蹤等，還可以判斷僵尸網(wǎng)絡(luò)家族和攻擊團(tuán)伙控制的肉雞規(guī)模情況。對(duì)Gafgyt樣本追蹤如下圖所示，可以明顯看到Gafgyt樣本的三個(gè)家族。

圖 6 對(duì)捕獲到的Gafgyt樣本進(jìn)行關(guān)聯(lián)分析

隨著5G時(shí)代的到來，萬物互聯(lián)，接入互聯(lián)網(wǎng)的IoT終端設(shè)備數(shù)量呈指數(shù)級(jí)增長，DDoS防護(hù)壓力將會(huì)越來越大。DDoS攻防對(duì)抗的本質(zhì)是資源和成本的對(duì)抗，DDoS攻擊本質(zhì)上就是集全網(wǎng)僵尸網(wǎng)絡(luò)的力量攻擊一個(gè)點(diǎn)。因此，DDoS防御系統(tǒng)的過濾算法必須高效，而威脅情報(bào)本身就是提升DDoS防御系統(tǒng)過濾效率最有效的技術(shù)之一。

而從整個(gè)安全響應(yīng)閉環(huán)的角度，威脅情報(bào)的本質(zhì)是防御設(shè)備、系統(tǒng)和分析人員的安全檢測和分析能力的匯集，結(jié)合威脅情報(bào)共享機(jī)制，安全檢測和響應(yīng)方案可以同時(shí)做到低成本和高效率。后續(xù)在應(yīng)對(duì)更加嚴(yán)峻的DDoS攻擊時(shí)，除了同步提升DDoS防御設(shè)備的檢測和處置性能外，相信威脅情報(bào)也可以為緩解DDoS真實(shí)源攻擊提供有效支持。
責(zé)任編輯；zl