如何才能有效地缓解海量真实源DDoS攻击

2020年3月12日，华为未然实验室重磅发布《2019年全球DDoS攻击现状与趋势分析报告》。

报告显示，随着万物互联的5G时代到来，越来越多的终端设备接入到互联网，这些海量的IoT设备已经成为了DDoS攻击的重要攻击源。其数量大、性能优、带宽高和实时在线的特点，给现有的防护设备带来巨大的压力。与此同时，黑客为有效躲避DDoS防御设备检测，攻击的拟人化程度也越来越高，给现有的防护机制带来巨大的挑战。威胁情报作为防御设备、系统和分析人员的安全检测和分析能力的汇集，为缓解越来越严峻的DDoS攻击提供了新的防护思路，特别是难以简单通过限制源访问速率的方式进行缓解的海量真实源DDoS攻击。

华为未然实验室致力于为华为产品提供轻量化、易移植、上下文丰富的安全服务，主要包括：基础安全数据服务、安全威胁检测服务、深度安全分析服务，分别对应情报数据、情报信息和情报知识。

图 1 威胁情报整体框架

其中：

情报数据主要为安全检测和分析提供基础支撑数据，包括恶意样本、PDNS、IP资产探测、IP指纹、IP地址位置、URL分类、URL检测等数据。

情报信息则主要提供安全检测和标签服务，包括URL、Domain、Hash和IP的信誉值和标签，以及针对特定安全检测系统的检测指标，如YARA、Snort和SIGMA等。

情报知识则是基于威胁知识图谱构建和提供安全分析能力，包括TTPs、攻击工具、攻击指标、攻击组织和人员、应对措施等信息。

在应对DDoS真实源攻击时，各个层次的威胁情报可以在不同维度进行攻击缓解。

下面，我们将从基础情报数据、检测情报信息和深度情报知识三个层面，通过实例来描述威胁情报缓解DDoS真实源攻击的思路和过程。

1.1基础情报数据

下面从IP基础标签信息、IP资产信息和IP地域信息三个基础情报数据出发，描述识别异常DDoS攻击IP的过程。

IP地址基础标签信息

威胁情报的基础情报数据可以提供IP地址基础标签信息，这些标签信息表征了IP的属性归类，如STATIONGW、IDC、DNS服务器、Proxy服务器、各大公司网络爬虫、网吧信息等。在DDoS防御和处置过程中，针对特定的场景，IP地址的基础属性信息可以用于真实源攻击IP的筛选和过滤。如图2所示的场景：

图 2 冒充Baidu网络爬虫的攻击流量

攻击者冒充Baidu的网络爬虫对客户服务器进行攻击，可以通过设置网络爬虫白名单，对白名单以外的、冒充网络爬虫的流量访问都可以进行屏蔽，进而达到缓解攻击的目的。

同样，PC游戏服务器也是DDoS攻击的目标，而网吧既是PC游戏的重要访问来源，也是黑客入侵的重灾区。一个网吧往往只有少数的独立公网IP，因此在PC游戏服务器遭受来自网吧的DDoS攻击时，流量中既有攻击流量，也有正常用户流量。如果贸然将网吧IP拉黑，会导致网吧中其他正常用户也会受影响。基础情报数据中记录了网吧IP的信息，这些IP在PC游戏业务场景下，可以作为白名单进行使用。

IP资产信息

另一种DDoS攻击缓解的方法是对来访IP地址的设备类型进行探测和分析。对高风险、业务场景不匹配的IP地址，进行适时阻断。例如，在某次针对手机网银APP实施DDoS攻击的响应处置中，对地理位置和访问频率可疑的源IP地址进行扫描探测和分析，发现这些IP地址中有不少是MikroTik路由器，如图3所示。基于业务场景判断，这些IP地址不属于合法的访问源；另外，此前有大量MikroTik路由器受漏洞CVE-2018-14847影响被攻陷成为肉鸡。因此，当再次发生针对手机银行APP的DDoS攻击时，可以根据“MikroTik路由器”的标签信息对来访IP地址进行拉黑和阻断处理。

图 3 来自MikroTik路由器的IP

IP地址地域信息

某些业务的地域性特点明显，可在防护压力较大时，对于特定地域以外的IP地址采取访问限制等操作。如，某地银行客户主要位于江浙地区，在遭受较严重的DDoS攻击时，可对于其地域外的IP地址适时拉黑和阻断。

1.2检测情报信息

对于攻击者而言，可使用的DDoS攻击资源是有限的，需要攻陷主机才可以使其成为攻击资源。因此，攻击资源复用是常态。例如，某个IP地址经常发起DDoS攻击，则其风险较大。可以从已识别的攻击行为、攻击时间、与其他威胁情报信息的关联等维度，综合计算该IP地址的风险值。对于风险值较高的IP地址，可以适时拉黑和阻断。

另外，可以配合IP地址的设备类型、地域、客户业务类型等特点进行定制化处理，提高DDoS防御设备的IP威胁情报的阻断效率，保证防护效果，同时维持较低的误报率。部署结构如图4所示。

图 4 华为DDoS防御威胁情报库部署

1.3深度情报知识

知己知彼，方能百战不殆。深度情报知识则从样本培植和预警、僵尸网络家族追踪两方面，介绍对DDoS攻击的深度分析过程。深度学习和分析DDoS攻击的实施过程和攻击规模等信息的特点，在应对DDoS攻击时才能更好地进行部署和防御。

样本培植和预警

通过对从多个来源收集到的样本信息进行筛选和分析，选择特定僵尸网络家族或攻击团伙的样本进行样本培植，并对样本的回连C2和指令进行分析和破解。可提前获得该攻击团伙的攻击目标信息，进而提供对被攻击目标的攻击预警，督促企业在攻击未发生前就提前有针对性地加固防御策略，提升防御效果。

图 5 样本培植系统

对僵尸网络家族和攻击团伙的追踪

通过综合分析蜜罐、样本培植以及应急响应处置收集到的僵尸网络样本信息，关联基础情报数据和检测情报信息，可以观察到僵尸网络家族的活跃情况和变化趋势。结合特定场景的数据信息，如网络特定流量追踪等，还可以判断僵尸网络家族和攻击团伙控制的肉鸡规模情况。对Gafgyt样本追踪如下图所示，可以明显看到Gafgyt样本的三个家族。

图 6 对捕获到的Gafgyt样本进行关联分析

随着5G时代的到来，万物互联，接入互联网的IoT终端设备数量呈指数级增长，DDoS防护压力将会越来越大。DDoS攻防对抗的本质是资源和成本的对抗，DDoS攻击本质上就是集全网僵尸网络的力量攻击一个点。因此，DDoS防御系统的过滤算法必须高效，而威胁情报本身就是提升DDoS防御系统过滤效率最有效的技术之一。

而从整个安全响应闭环的角度，威胁情报的本质是防御设备、系统和分析人员的安全检测和分析能力的汇集，结合威胁情报共享机制，安全检测和响应方案可以同时做到低成本和高效率。后续在应对更加严峻的DDoS攻击时，除了同步提升DDoS防御设备的检测和处置性能外，相信威胁情报也可以为缓解DDoS真实源攻击提供有效支持。
责任编辑；zl