最大L7 DDoS殭屍網路動員，576萬IP攻擊政府機構

資安公司Qrator Labs在9月1日，偵測並成功緩解一場目前觀測到最大規模應用層L7 DDoS攻擊，目標為政府機構，參與來源累計達576萬個IP。這場攻擊採兩階段調度，先投入約280萬個IP，約1小時後再增加約300萬個IP，顯示其指揮與擴編能力成熟，能在短時間內提升壓力與覆蓋面。

這支殭屍網路在半年3度出手且持續擴張，受害面向由線上服務延伸至政府領域。研究人員指出，今年3月26日，殭屍網路首次現形，鎖定線上博弈業者，當時約有133萬個IP參與，5月16日，再度攻擊政府部門，規模已擴至約460萬個IP，9月1日第3次針對政府部門行動，這次累計動員576萬個唯一 IP。

9月這場應用層L7 DDoS攻擊的地理分布，惡意IP主要集中在巴西、越南、美國、印度與阿根廷。與前兩次相比，越南與印度的參與IP數成長幅度明顯，分別增加83％與202％，顯示該殭屍網路在不同區域的滲透速度不一，且可能同時動員住宅網路、資料中心與開放代理等多類型節點。

L7攻擊的破壞力並非以Tbps或封包數衡量，而是以每秒請求數與應用端資源消耗為主，當大量請求模仿真實使用者路徑並跨多個URI時，常見的快取與固定規則WAF容易失去效果，瓶頸會落在前端連線維持、TLS終結、應用執行緒與資料庫連線池。

Qrator Labs技術長Andrey Leskin表示，這類殭屍網路在未受保護或保護薄弱的環境中，能在短時間內產生每秒數千萬次請求，使伺服器於數分鐘內喪失可用性，也非所有供應商都有能力承受同時面向多客戶的大規模L7洪水攻擊。

這類應用層請求洪水只是DDoS攻擊的一種型態，近期在網路層同樣出現極端案例，9月初Cloudflare也曾公開自動攔截了一場高達11.5 Tbps的UDP洪水攻擊，封包速率一度達到5.1 Bpps。與L7攻擊相比，這類L3/L4層頻寬型洪水並非模仿真實使用者行為，而是透過龐大的流量量級壓垮網路與設備。