网络攻击出现突变,规模空前绝后,方式千变万化,伤害一击毙命,企业防不胜防。在过去的六个月内,包含超级CC攻击问世期间,Myasiacloud前前后后经历了数次超级CC的攻击。经过成功防御后,Myasiacloud表示,现在不得不感慨攻击规模的增长之快,就像当初的DDoS攻击规模的成长速度一样,攻击流量从1G到10G,10G到50G,50G到300G,如今竟然已经可以记录峰值到T级别的攻击;而针对CC攻击,已经不能用之前的概念来定义这类型的攻击。CC攻击的发育过程,雷同于DDoS攻击,规模都是由小变大,流量都是由少变多。CC攻击最开始最大只有几百M或者几个G,后来攻击繁衍生态失控,使得攻击分子排列重组,以“少量多次”为核心战略,将多次微量的访问变成一支训练有素的流量军队,企图精确打击到每一个目标(网络应用层)。
时代迎来巨变,CC攻击衍生出超级CC攻击,在企业间树立威名,开篇提到的Myasiacloud便是它的座上宾。经过半年的轨迹探测和捕杀,在防御经验成熟的同时,超级CC攻击仍在继续壮大,并衍生为超新型攻击。如今,该攻击正以一种扭曲恐怖的趋势演化,它配得上一个新的名字——“MRW” ,即Mass Real Worm – Invalid Visit (巨量铁线虫入侵)的简写,对的没错就是你想象中的铁线虫。MRW攻击模仿铁线虫的寄生方式,微控入侵,无孔不入,而后在极短时间内迅速耗光带宽和CPU资源,直到源站完全崩溃才罢休。
MRW,变通一下概念,就是合法请求以大量而密集的模式进行网页访问的攻击。这样的攻击方式沿袭了超级CC,从连接数来看,100W连接数/秒到200W连接数/秒,300W连接数/秒到800W连接数/秒,现在更是丧心病狂扩展到了1100W连接数/秒。可见攻击规模已经迅速扩大,其能力领先于超级CC攻击,不仅如此,MRW攻击的出现,或将导致大厂的“当红攻击一哥”DDoS和“二三线明星”CC攻击跌落神坛!
分布式拒绝服务攻击(DDoS)由一个14岁的天才少年所创造,随后凭借时代的技术赋予更多实力。在2000年后大步流星迈进互联网行业,一经出道就引起圈内哗然,**短炮,新闻媒体,以及所到之处的服务器都被它的强悍实力所征服,以超量级的秒级攻击让企业瞬间失去察觉,“一刀流”的手法令圈中人望而生畏。迄今为止,DDoS攻击已经造访过Akamai、Cloudflare这样的大厂,在他们的见证下留下了自己的签到手印。它们的做派和风格也得到了许多人的追崇,粉丝们小到运用它攻破公安系统报复社会,大到直接窃取企业核心数据勒索钱财,并且以此为目的衍生了RDoS这样的勒索病毒,运用于邮件、平台、设备包括但不限于客户端。它可以是一个人,也可以是一支队伍。不过对于网安,也不是吃素的,几年的作战经验,DDoS的行动能力已经被掌握,不少企业可以灵活应对浩浩汤汤的攻击,不过对于市场而言,这仍然是一个不小的缺口,所以DDoS趁着自己还没有隐退,就铆足了劲证明自己的实力,直到现在,企业听到它不免为之忌惮……
CC攻击诞生于乱世,它与DDoS攻击对象有异,通过攻击网络应用层达到剑走偏锋的造势。他的行为也是比较含蓄的,利用多个合法和有效的请求,入侵网页,直至网页崩溃。但是由于手法过于拙劣,致使擅长捕杀大型网络攻击的网安和企业一经发现就饱餐一顿,因此CC攻击星途受限,造访不了大厂,只能到中小型企业或者性格温顺无害的网安“走穴”。时间一长,行踪暴露,自己贫穷的连接数,加之本身就比不上DDoS攻击,让CC攻击一直处于不温不火的状态。
对于这些攻击的防御,部分厂家已经驾轻熟路,包括但不限于Myasiacloud就是一个CC捕手。这些趋势促使CC“被发展”,它开始强化自己,增加连接数,增加攻击力,缩短攻击时间,自此超级CC就出现了。它以几百上千的连接数进行攻击,其规模可谓壮大,攻击流量也是前所未有。也就在CC攻击发现自己的突破口时,MRW攻击应运而生。如果将CC攻击分成标准和尊享豪华套餐的话,MRW攻击绝对算得上是“星耀”级别!
一样是打网络应用层,一样是攻击网页,一样是耗尽资源,MRW攻击出手就显得很大气。Myasiacloud有幸面临这种新型攻击,该攻击向企业展示了自己的五个卖点:
低频。合法和有效的访问请求,全程低频进行,巧妙躲避了警觉的网络安全系统的侦测。别问,问就是看不到!
巨量IP。时间为1s,连接数为1000w+,每个IP访问1~2次,每个IP重合度非常低,四种条件同时触发,瞄准你的网页。这样的规模就好像蝗灾,漫天而过的蝗虫,顷刻间绿原变荒地。你品你细品!
合法访问。这是MRW进入你网页的良民证,来去自如不在话下!
移动端设备系统分布均匀。MRW攻击凶起来,什么移动网页和APP都会被成为僵尸,iOS系统控制占四成,Android系统控制六成,其最常见的手段就是披上一层“马甲”卧底成正常APP,等待源的命令触发再实现量级攻击。更无论客户端了!
攻击源IP分布极散,但单一地区可以达数百万。还是拿蝗灾来打比方,你能控制一两只,但是你控制也避免不了这场灾难。它们攻击源IP极其分散,有可能这里遭受重大攻击,另外好几个网页也正在报警。
不少企业利用限速和IP添加黑名单的方法,在PC肉鸡时代曾是“一键止血”的防御方式。但以伪装成移动端内正常应用的马甲式APP方式发起的攻击,由于移动设备远活跃于PC设备,哪怕是一个小众的APP,即使单台肉鸡设备请求频率很低,聚合起来的总请求量也足以压垮目标网站,因此,攻击者可以轻易在不触发限速防御策略的情况下实现攻击。
由于攻击源多为大型出口IP,同一个源IP同时承载了大量攻击流量和少量正常用户流量,所以当传统的防御方法简单粗暴的将攻击IP拉黑,这些IP背后的大量正常访问请求也将无法实现。同时,新的肉鸡会在攻击过程中不断加入,在已经被消耗资源的网页还要面对新的肉鸡控制,可见添加黑名单的漏洞明显,在这种情况下不见得能有效挡住流量攻击。因此,传统防御策略的起点和终点都是一样的,不可否认这就是立体战争。
当海量移动设备成为新的攻击源,黑灰产可以轻松绕过上述防御逻辑。企业不应该再使用传统防御策略制敌,而应该采用更为纵深、智能的防护手段:
丰富攻击流量识别的维度,将每个请求实时的解析出多维度的检测单元;
防护策略的执行需要与多维度的识别相匹配,需要有精细、灵活、丰富的访问控制单元,让各个维度有机组合,层层过滤攻击流量;
机器智能替代人工排查,提升响应速度,降低业务中断时间。
黑灰产已经升级了攻击源,但企业针对这一改变所要做的安全防御工作量巨大,需要尽早行动起来做好准备。对于企业用户也可以选择购买Myasiacloud的DDoS防护产品,对大流量型DDoS攻击及应用层资源耗尽式DDoS攻击(CC)做专业、智能的防护。对于个人用户而言,为了保障设备安全和数据隐私安全,这里也建议,切勿从非正规渠道安装未经审核的APP,让自己的手机沦为肉鸡!
本文作者:HOT-Allen
本文为安全脉搏专栏作者发布,转载请注明:https://www.secpulse.com/archives/152729.html