0
  • 聊天消息
  • 系统消息
  • 评论与回复
登录后你可以
  • 下载海量资料
  • 学习在线课程
  • 观看技术视频
  • 写文章/发帖/加入社区
会员中心
创作中心

完善资料让更多小伙伴认识你,还能领取20积分哦,立即完善>

3天内不再提示

RSAC2023解读第7期 | 企业僵尸网络大机密

华为数据通信 来源:未知 2023-06-29 18:45 次阅读

wKgZomTn_j2AG3CwAAFC9YJtcKU731.png

wKgZomTn_j2ASXSuAAABJAUF5GU918.png  本期解读专家 wKgZomTn_j2ASXSuAAABJAUF5GU918.png

wKgZomTn_j2AfhWXAAKqozZcEmE982.png

wKgZomTn_j6ANyUlAAJc2LyNkMM520.png

全球IoT(Internet of Things,物联网)设备每年以百万级的速率快速增长,大量不安全的IoT设备成为僵尸网络的主要来源。僵尸网络广泛使用网络层CC攻击,将虚假源泛洪攻击技术与会话层攻击技术相结合,成为互联网中最难防御的攻击之一。

RSA大会互联设备网络物理安全板块中,诺基亚Deepfield创始人Dr. Craig Labovitz博士分享了关于企业僵尸网络大机密的议题。通过研究人员与全球互联网提供商合作过程中的分析结果,向大家展示了来自企业僵尸网络对网络安全的挑战。

DDoS攻击现状: 僵尸网络攻击成为主流攻击

Dr. Craig Labovitz博士在报告的开头指出,2022年Q2是DDoS攻击手法变更的分水岭,如图1-1所示。在此之前,DDoS攻击主要采用伪造源发起攻击的方式,攻击者利用网络中NTP/DNS服务器的不安全配置发起反射放大型DDoS攻击。然而,随着2022年Q2地缘政治爆发,DDoS攻击转向以僵尸网络攻击为主的混合攻击。僵尸网络攻击流量占比达到30%~50%,这些攻击可以绕过传统的抗DDoS攻击设备。

wKgZomTn_j6ACrsNAAC7v4sMwYQ145.png

图1-1僵尸网络攻击成为主流DDoS攻击

僵尸网络现状: 僵尸网络数量激增,攻击成本持续降低

报告指出,研究人员通过跟踪50万+的攻击源分析发现,企业中随处可见的IoT设备,如摄像头、NVR(Network Video Recorder,网络视频录像机)、DVR(Digital Video Recorder,数字视频录像机)、空气调节系统、POS机和医学影像系统等,虽然丰富了人们的工作和生活,但不安全的IoT设备却也成为了僵尸网络的主要来源。

这些IoT僵尸网络具有如下特征:

01攻击源增长迅速

根据IoT Analytics Research 2022报告中针对全球IoT市场预测,全球IoT设备每年以百万级的速率增长,大量不安全的IoT设备也随之增长,研究人员在分析过程中发现,全球活跃IoT僵尸规模为50万至100万。

02攻击源出口带宽受限

在过去20年的互联网历史中,接入互联网的下行带宽和上行带宽比例限制为90/10,单个僵尸网络发起的DDoS攻击流量也受限于此,70%的僵尸网络的出口带宽小于50Mbps。

03攻击成本持续降低

互联网中存在数以百计的提供DDoS攻击服务的网站,国际执法部门会定期关闭这些非法网站,以减少伪造源攻击和反射放大攻击对网络的影响。但是,100Gbps僵尸网络攻击成本从2018年的$1000降至$10-$20,攻击成本的骤降使得僵尸网络攻击更易获取,僵尸网络攻击对互联网中的威胁也越来越大。

僵尸网络探究: 企业僵尸对网络安全的挑战和威胁

报告中指出,研究人员通过分析黑客入侵IoT设备的过程发现,大量IoT设备存在管理员登录密码复杂度不高、安全补丁无更新等问题,使这些不安全IoT设备极易被入侵后成为IoT僵尸。通过对僵尸的攻击规模、地域和构成等分析发现:

僵尸网络具备足以扰乱全球互联网的超强容量

研究人员在分析过程中发现,在2022年至2023年的僵尸网络DDoS攻击事件中,僵尸网络攻击源规模小于5000,也出现过攻击源数量大于6万的大型僵尸网络。当前,监测到的活跃僵尸源规模为50万至100万,DDoS攻击峰值为1Tbps至2Tbps。如果这些僵尸网络同时被利用,可能会导致攻击规模高达50Tbps至100Tbps,足以扰乱全球互联网链路。

僵尸网络出现地域性变化,主要以CPE和DVR为主

2023年,美国成为最大的僵尸网络发源地,其僵尸网络数量占比达到24%;韩国和中国台湾僵尸网络数量分别占比11%和10%,位列第二和第三。在这些僵尸网络中,CPE(Customer Premises Equipment,客户端设备)和DVR类型的IoT设备占据了半壁江山,分别占比36.2%和33.8%。而云主机僵尸网络占比3.5%,增幅最快。

僵尸网络是针对每个人的网络安全挑战

传统ISP(Internet Service Provider,互联网服务提供商)、CSP(Cloud Service Provider,云服务提供商)网络采用地理位置过滤、主动防御(如SYN Cookie、HTTP重定向等)以及DNS/NTP/LDAP流量限制等手段来抵御DDoS攻击。然而,僵尸网络发起的DDoS攻击可以轻易绕过这些防御手段,给ISP/CSP的网络安全带来严重的挑战。此外,来自ISP内部的僵尸网络攻击也是最大的威胁之一。

华为洞察: 抗DDoS技术需要适应新网络环境和业务需求

DDoS攻击依然是当前互联网最主要的攻击形式之一,攻击频次持续增长。在2018年之前,中国境内的DDoS攻击主要是由行业内恶意竞争引发的,但之后地缘政治因素导致的攻击更加普遍,针对关基企业尤其是金融企业的攻击频次逐年倍增。为了达到攻击效果,攻击技术持续演进,传统防御算法失效,因此抗DDoS技术不得不持续革新;同时,优秀的抗DDoS产品和方案必须不影响业务。互联网网络本身及互联网业务也在持续演进,这促使抗DDoS技术不断演进以适应新的网络环境和业务需求。总的来说,随着攻击趋势的变化,抗DDoS技术的趋势也随之发生了以下几点变化:

趋势1:攻击成本持续降低,促使超大规模攻击异常活跃,挑战防御成本;降成本成为抗DDoS技术第一要务,动态BGP Flowspec及硬件防御加速成为抗DDoS产品和方案降成本主要方向。

2022年,华为监测到超100Gbps攻击共发生104,922次,平均每天发生287次;T级攻击共计232次。仅中国境内攻击资源被利用,即可轻松发出超50Tbps攻击。

面对异常活跃的规模化DDoS攻击,运营商和ISP不得不寻求更低成本的防御方案。尤其是攻击流量大且对防御成本敏感的运营商市场,防御容量大、低成本的硬件抗DDoS产品已经成为集采入围的必要条件。一方面,运营商和ISP期望最大限度利用网络过滤能力,比如借助黑洞路由、静态甚至动态BGP Flowspec源头过滤大流量攻击;另一方面,业界领先的安全厂商通过硬件实现网络层攻击防御加速,有效降低防御成本。硬件+CPU的分层防御架构还可以最大限度节省CPU算力,过滤更加复杂的会话层和应用层攻击。

趋势2:大流量攻击采用“短平快”战术,挑战防御系统响应速度;为应对“短平快”攻击,防御系统需具备“零延迟”攻击响应能力和自动化能力。

大流量攻击可以在10秒内攻击流量峰值爬升至T级,挑战防御系统响应速度。其中,57.40%的攻击发生在网络层,40.49%的攻击发生在应用层,攻击持续时间不超过5分钟,挑战防御系统的自动化程度和安全运维团队的响应速度。

然而,由于企业普遍缺乏专业安全人员和策略调优能力,持续5分钟的攻击一旦形成攻击效果,业务恢复至少需要30分钟。日益加强的防御痛点促使企业更需要抗DDoS产品具备防御全流程自动化的能力。

为实现攻击“零延迟”响应,企业On-premise抗DDoS需要采用秒级甚至毫秒级响应的逐包检测来替代Flow检测,以便在检测到危及企业链路带宽的大流量攻击时,能够通过开放API和运营商云清洗秒级联动的能力来支持。同时,运营商也在探索新的检测技术,比如路由器的逐包检测,以加快攻击流量识别,规避Flow检测分钟级检测的弊端。

面对企业普遍缺乏专业安全技能的现状,抗DDoS产品需具备全流程自动化的防御能力。首先,产品应支持开盒即用,简化运维。抗DDoS产品应内置专家策略模板,通过默认策略模板和逐包检测实现毫秒级启动防御,自动过滤99%攻击。其次,针对复杂攻击,抗DDoS产品应提供自动评估防御效果的功能。当检测到漏防或者误防时,抗DDoS产品应具备自动调优防御策略的能力,将攻防对抗时长由人工响应的10分钟以上缩短至30秒内。

趋势3:CC攻击的频次和复杂度不断攀升,挑战传统防御算法有效性;为应对日益复杂的CC攻击和互联网业务多样化的趋势,CC防御尤其是加密CC防御成为抗DDoS产品刚需,多维度行为分析和AI技术成为CC防御技术发展的新趋势。

随着运营商提供的清洗服务不断完善,能够过滤大流量网络层攻击,加上企业安全意识的提高,企业购买运营商的云清洗服务已成为共识,大大降低了大流量网络层攻击的威胁。

然而,随着IoT网络的快速发展,僵尸网络规模迅猛增长,攻击者为了提升攻击成功率,常常采用CC攻击手段,门户网站、APP和API成为CC攻击的主要目标。为了保障业务安全,许多企业采取了TLS加密,但这也导致加密CC攻击成为常态。为了有效躲避防御,CC攻击呈现出海量僵尸单源低速化的趋势,特别是针对金融行业的低速加密CC攻击频繁发生。随着百万级甚至千万级请求速率的CC攻击频发,负载均衡和WAF(Web Application Firewall,Web应用程序防火墙)性能瓶颈凸显,甚至危及企业网络链路带宽。这促使企业的CC防御需求发生变化,一方面,要求运营商的云清洗需具备阻拦大规模高速CC攻击的能力;另一方面,企业网络边界的抗DDoS产品需具备阻断低速CC攻击的能力,以保护负载均衡和WAF的可用性。

为精准识别机器人攻击,专业抗DDoS产品需具备多维度源访问行为分析的能力,以快速识别并阻断高速CC攻击;同时,还需具备AI能力,包括嵌入式AI及超大存储容量的离线AI。借助机器学习聚类分析算法,精细化识别低频CC攻击。

趋势4:针对网络基础设施的扫段攻击常态化,挑战传统防御架构有效性,抗DDoS产品和方案需新增网段防御层,用三层防御架构替代单一的主机防御架构。

扫段攻击是一种威胁网络基础设备的攻击,难以防御,被称为无法解决的网络故障。公有云、企业私有云、政务云均成为扫段攻击目标。目前,大多数抗DDoS产品仍采用单一的主机防御架构,低速扫段单IP流量低,无法触发阈值,漏检率高。此外,扫段攻击常与脉冲攻击相结合,32位主机引流速度慢,导致防御成功率不足30%。当扫段攻击危及企业网络带宽时,黑洞路由也会失效。

为解决日益频发的扫段攻击威胁,亟需On-premise抗DDoS产品具备扫段攻击检测和过滤的能力,同时具备联动运营商上游过滤大流量扫段攻击的能力。为了实现这一点,抗DDoS产品需要支持基于网段的流量统计、攻击检测、告警和引流,并支持基于网段的清洗。当检测到攻击流量危及网络链路带宽时,与运营商进行秒级联动,上游网络进行过滤。过滤方式包括通过动态BGP Flowspec在上游路由器过滤反射类扫段攻击和通过开放API联动运营商云清洗,以保护企业网络链路带宽。

华为抗DDoS解决方案: 有效应对复杂的僵尸网络攻击

如上节所提到的,华为在持续跟踪DDoS攻击现状与趋势分析中发现,近两年来IoT网络的快速发展促使僵尸网络规模迅猛增长,攻击者为了提升攻击成功率,主要采用CC攻击手段,针对门户网站、APP和API目标服务发起攻击。

在网络层CC攻击中,僵尸网络主要存在三种攻击模式:

01模拟上传,拥塞网络

攻击源发送报文Payload超1000字节的大报文ACK,模拟上传。攻击流量秒级加速,20秒内即可将攻击流量峰值拉升至T级,利用超大带宽流量快速拥塞网络,华为监测到的网络层CC攻击最大峰值带宽为912Gbps,而对应的攻击峰值包速率仅79Mpps。

02模拟下载,躲避攻击检测

攻击源发送无Payload的ACK报文,模拟下载,华为监测到的网络层CC攻击最大峰值包速率为139Mpps,对应的攻击峰值带宽仅89Gbps。

03模拟交互,躲避攻击检测

攻击源发送Payload内容和长度变化的ACK报文,模拟客户端和服务器交互。

华为观察发现,在2021年至2022年期间,僵尸网络发起的网络层CC攻击为提升攻击躲避能力,演进出两种攻击变种:

  • 变种1:裹挟完整HTTPS交互的网络层CC攻击,通过诱发服务器快速重传,挤占Outbound带宽

  • 变种2:伪造TCP Keep-Alive长时间保持TCP会话资源,以耗尽服务器会话资源。

CC攻击的不断演进对防御技术的有效性提出新的挑战,促使企业的CC防御需求发生变化。针对当前僵尸网络攻击对互联网络带来安全威胁,华为推出新一代抗DDoS解决方案,如图1-2所示。

wKgZomTn_j6APka2AAQ7cWS-4Bk866.png

图1-2华为抗DDoS解决方案

华为抗DDoS解决方案主要具备如下的防御优势:

01

卓越性能:为应对常态化大流量攻击对防御成本的挑战,华为抗DDoS产品通过网络层攻击防御硬件加速和业务转发加速(NP加速,Network Processor),降低防御成本,单台设备防御性能最高2.4Tbps/1800Mpps,一台顶六台。

02

毫秒响应:为应对大流量攻击呈现秒级加速及“短平快”趋势,华为抗DDoS产品实现防御零延迟,瞬间阻断脉冲攻击、大流量攻击,业务零影响。

03

精准防御:华为抗DDoS产品采用智能7层“滤板”+多维度机器防御手段,快速阻断网络层、应用层100+攻击,支持传统的百万级规模的僵尸网络IP信誉、攻击特征库、策略模板在线升级,支持防御引擎敏捷发布,快速应对0-Day DDoS攻击。

04

智能驾驶:为解决客户缺乏专业安全技能的现状,华为抗DDoS产品实现防御自动驾驶,系统默认专家策略模板可毫秒级启动防御,自动过滤99%攻击,基于多维度的流量快照和业务流量基线比对实现防御效果自动评估,对复杂攻击场景下漏防和误防自动进行防御策略自动调优,将攻防对抗时长缩短至30秒内。

结束语

DDoS攻击因其简单、低成本、难以防御的特点,已成为网络安全领域不可忽视的挑战之一。近两年,僵尸网络攻击异军突起,直接挑战传统防御技术的有效性。华为抗DDoS解决方案可帮助企业构建坚不可摧的安全防线,助力企业打好DDoS反击战。


声明:本文内容及配图由入驻作者撰写或者入驻合作网站授权转载。文章观点仅代表作者本人,不代表电子发烧友网立场。文章及其配图仅供工程师学习之用,如有内容侵权或者其他违规问题,请联系本站处理。 举报投诉
  • 华为
    +关注

    关注

    216

    文章

    34411

    浏览量

    251513

原文标题:RSAC2023解读第7期 | 企业僵尸网络大机密

文章出处:【微信号:Huawei_Fixed,微信公众号:华为数据通信】欢迎添加关注!文章转载请注明出处。

收藏 人收藏

    评论

    相关推荐

    传音控股入选2023新型实体企业TOP100

    2023“新型实体企业TOP100”成果发布暨典型企业分享交流会在北京举办。大会上,中国企业评价协会发布了《2023新型实体
    的头像 发表于 09-29 16:21 580次阅读

    立讯精密上榜《2023新型实体企业TOP100》

    中国企业评价协会主办的2023“新型实体企业TOP100”成果发布暨典型企业分享交流会上,发布了《2023年度新型实体
    的头像 发表于 09-29 09:51 317次阅读

    数据智能系列讲座3—交流式学习:神经网络的精细与或逻辑与人类认知的对齐

    鹭岛论坛数据智能系列讲座3「交流式学习:神经网络的精细与或逻辑与人类认知的对齐」(25日)20:00精彩开播期待与您云相聚,共襄学术盛宴!|直播信息报告题目交流式学习:神经网络的精
    的头像 发表于 09-25 08:06 221次阅读
    数据智能系列讲座<b class='flag-5'>第</b>3<b class='flag-5'>期</b>—交流式学习:神经<b class='flag-5'>网络</b>的精细与或逻辑与人类认知的对齐

    物联网僵尸网络的历史

    自从物联网 (IoT) 出现以来,我们与技术交互方式、跨设备的自动化以及前所未有的连接方式都发生了革命性的变化,但这项创新也给我们带来了各种安全挑战,其中之一就是物联网僵尸网络。在本文中,我们将讨论物联网僵尸
    的头像 发表于 09-06 09:36 728次阅读

    2章 ANSYS分析基本过程--7章 通用后处理器

    2章  ANSYS分析基本过程--7章 通用后处理器
    发表于 08-31 09:31 0次下载

    电装中国荣膺“2023年度杰出责任企业”殊荣

    2024年7月26日,由《南方周末》主办的第十六届“中国企业社会责任年会”在广州圆满落幕。电装中国集团(以下简称“电装中国”)凭借在华发展的社会责任实践和可持续发展成果,荣膺“2023年度杰出责任
    的头像 发表于 07-30 09:12 409次阅读

    开源芯片系列讲座21:RISC-V IP创新为本土带来独特价值

    鹭岛论坛开源芯片系列讲座21「RISC-VIP创新为本土带来独特价值」明晚(7月3号)20:00精彩开播期待与您云相聚,共襄学术盛宴!|直播信息报告简介当前,IP标准化与SoC集成的方法论已经
    的头像 发表于 07-03 08:37 281次阅读
    开源芯片系列讲座<b class='flag-5'>第</b>21<b class='flag-5'>期</b>:RISC-V IP创新为本土带来独特价值

    6家磁材企业2023年报速递!

    软磁企业率先全面发布!2023年业绩有哪些亮点和挑战? 随着四月进入尾声,2023财报进入密集发布。《磁性元件与电源》记者选取了涉及软磁业务的6家上市
    的头像 发表于 05-29 15:14 388次阅读

    2024年全球与中国7nm智能座舱芯片行业总体规模、主要企业国内外市场占有率及排名

    占有率(按销量,2021-2024) 2.1.2 20237nm智能座舱芯片主要企业在国际市场排名(按销量) 2.1.3 近三年全球市场主要企业7
    发表于 03-16 14:52

    芯驿电子荣获松江区新桥镇2023年度“优秀企业奖”

    3月7日,松江区新桥镇举行 2023 年度新桥镇优秀企业推介会暨 2024 年度重点项目集中签约仪式。
    的头像 发表于 03-11 17:15 591次阅读

    中国工程师被指盗窃Google机密还转给中国企业 正面临起诉

    据媒体报道,曾在Google任职的中国人丁林葳被指盗窃了Google TPU、GPU等相关技术机密,还转给中国企业,目前正面临起诉。
    的头像 发表于 03-11 14:17 808次阅读
    中国工程师被指盗窃Google<b class='flag-5'>机密</b>还转给中国<b class='flag-5'>企业</b> 正面临起诉

    OpenHarmony社区运营报告(2023年12月)

    ”)—— 6 (武汉站)于华中科技大学梧桐语问学中心明德报告厅圆满举办。本次技术论坛从“终端操作系统十大技术挑战”出发,将主题聚焦在“大模型时代的系统软件”,从学术界和工业界交叉融合的维度,讨论 AI
    发表于 01-10 15:44

    华秋2023年度大事记~~

    2023年复杂多变的外部环境下,华秋紧随时代步伐,以为企业减负、高质量发展为核心目标,助力企业“增效降本”。这一年,华秋投入大量研发资源,聚焦产品质量提升、提升数字化能力,赋能硬件创新。同时
    发表于 01-05 10:59

    华秋2023年度总结 | 聚焦发展,勇往直前

    2023年复杂多变的外部环境下,华秋紧随时代步伐,以为企业减负、高质量发展为核心目标,助力企业“增效降本”。这一年,华秋投入大量研发资源,聚焦产品质量提升、提升数字化能力,赋能硬件创新。同时
    发表于 01-05 10:57

    新年惊喜!盖楼有奖~一起来见证华秋2023年度高光时刻吧

    :华秋2023大事件活动,逾期视为自动放弃奖品~ 在2023年复杂多变的外部环境下,华秋紧随时代步伐,以为企业减负、高质量发展为核心目标,助力企业“增效降本”。这一年,华秋投入大量研
    发表于 01-04 16:33