本文由Imperva台灣區代理商 亞利安科技提供,歡迎直接造訪亞利安科技官網,獲取更多產品新訊!https://www.ciphertech.com.tw/news/product/imperva_news/

2021 年 7 月 IMPERVA 擋下了今年最大的DDoS攻擊之一。這次攻擊持續了 40 分鐘,產生了每秒 1.02 TB (Tbps) 和每秒 1.55 億個封包 (Mpps) 的巨大流量。

IMPERVA 也在2020年同時期防禦了一次大型的第 7 層 DDoS 攻擊,與大多數的攻擊一樣,這次的攻擊目標是線上博弈網站。並在2020的年度報告中顯示,DDoS的攻擊手法隨著時間變得更複雜。在特殊的案例中,攻擊者還運用了與過往不同的攻擊手法,DDos 流量中同時包含了多種不同的攻擊方式,包括 UDP-flood、SYN-flood、大量 SYN 和 DNS 放大攻擊。

攻擊手法

攻擊者首先對 80 port 高速率的 SYN flood攻擊之外,從多個來源發起了 DNS 放大攻擊。第一波攻擊達到了每秒 192 Gbps 和每秒 3300 萬個封包。僅僅幾分鐘後,攻擊就達到了 1.02 Tbps 和 155 Mpps 的峰值,當時包括 SYN-flood、UDP-flood 和大量的SYN、DNS 放大攻擊在內的流量組合而成。

在此事件發生後幾天,IMPERVA 再次擋下了第二次大規模攻擊,其峰值達到 858Gbps 和每秒2.25億封包量(pps)。這次的攻擊時間更長,持續了兩個小時,且針對特定的網絡前綴(/24 C-Class address),攻擊涵蓋了整個 IP 網段範圍。

與之前的案件相似,由類似的混和攻擊模式組合而成,包括 UDP-flood、SYN-flood 和 DNS 放大攻擊。

攻擊分析

攻擊者結合了兩個獨立的向量,他們利用了 Large SYN 和 TCP。第一波攻擊在 90 秒帶有大量有效請求的 SYN-flood,使 RFC 無法識別,RFC 是描述 SYN 封包的文檔。SYN-flood 通過發送一連串的 TCP half-open 連接來消耗伺服器資源。

第二波攻擊針對 443 port 的 TCP ACK flooding,它通過使用大量 HTTPS 封包偽裝成客戶的合法流量,儘管客戶擁有多個 IP 範圍,但整個攻擊僅針對客戶主要服務 IP。這表明攻擊者事先進行了一定的研究和偵察,使他們能夠對最脆弱的目標IP並進行更複雜的攻擊。

攻擊者運用 SYN-flood 消耗伺服器的資源再結合大型 SYN 向量攻擊,這種攻擊非常強大,因為在不到 5 秒的時間內就達到了 674Gbps 和 148Mpps 的峰值,相對的也強調了在幾秒鐘內開始清洗流量的重要性。

這種特定攻擊的另一個值得關注之處在於,攻擊者使用類似於去年最大的攻擊案之一的工具,該工具會試圖通過模仿操作系統將攻擊封包偽裝為合法流量。但是,該工具的設計不夠好,它最終還是發送出錯誤格式的封包。

如何做到快速且全自動的流量清洗?

IMPERVA 全球 47 個清洗中心及 6 Tbps網絡頻寬支持下,對 DDoS 攻擊的防範是快速且完全自動化,清洗流量反應時間不到一秒。盡可能阻止不良流量進到客戶端,同時讓合法流量通過保持客戶服務不中斷,且具備每秒 650 億個攻擊封包處理量,每天阻止超過 350 萬個非法請求。

所有清洗中心都具有 IMPERVA 設計專用於清洗巨大 DDoS 流量的 Behemoths 硬體和動態流量偵測調度軟體,在不同清洗中心裡的 Behemoths 能夠相互 "溝通",因此在任何給定時間,每台 Behemoths 不僅知道進入該清洗中心的流量,還可以知道整個網絡中的流量情況。 IMPERVA 也使用全自動化流程,減輕這類大規模攻擊造成的影響。利用人工智能 (AI) 和機器學習,為每個範圍自動創建安全策略,這大大增強了 DDoS 保護,並且一切都以實時進行,因此無需耗費多餘的人力。

IMPERVA 為 DDoS 客戶提供 3 秒的 SLA 保證,以抵禦任何規模或持續時間的 DDoS 攻擊。此外,IMPERVA 的 SD-NOC 會自動劃分不同 清洗中心節點 (PoPs) 與 ISP 通道之間的攻擊流量,以優化所有可用的資源,從而提供最佳防禦措施,同時保護客戶的合法流量。


熱門新聞

Advertisement