2020国内抗DDoS产品研究报告.pdf

超级产品力关于报告关于FreeBuf咨询起源于二十世纪九十年代，历经二十多年发展而经久不衰，DDoS攻击已经成为网络安全领域影响最为深远的威胁之一。伴随着人工智能、云计算、物联网等技术的发展，DDoS攻击技术也在随着新技术而不断演进，所形成的灰色产业链愈发成熟而顽固。2020年国内抗DDoS产品研究报告 通过现场走访、 资料整合及问卷调查的形式，对国内近百家企业的使用情况进行对比分析, 总结国内抗DDoS产品的基本现状, 并尝试对其发展趋势进行评估和预测, 为企业安全建设提供有效参考。FreeBuf 是斗象科技旗下国内领先的互联网安全新媒体 , 每日发布专业的安全资讯、 技术剖析 , 分享国内外安全资源与行业洞见 , 是深受安全从业者与爱好者关注的网络安全网站与社区。FreeBuf咨询集结了安全行业经验丰富的安全专家和分析师, 常年对信息安全技术、行业动态保持追踪 , 洞悉安全行业现状和趋势 , 呈现最专业的研究与咨询服务。编者: 张志鹏 鲍弘捷 施东奇 周雪静 姚媛超级产品力系列之 2020国内抗DDoS产品研究报告超级产品力系列之 2020国内抗DDoS产品研究报告目录P01第一章 前言 第二章 国内DDoS攻击现状2.3.1 无载体阶段 2.3.2 网络协议 2.3.3 蠕虫 2.3.4 僵尸网络 2.3.5 物联网设备2.4.1 本地设备清洗 2.4.2 运营商清洗 2.4.3 云清洗 2.4.4 新型防御技术 常见的DDoS攻击类型2.2 2019国内DDoS攻击流量情况2.1 DDoS攻击载体 2.3DDoS 关键防御思路2.4 P02P02-09P032.2.1 攻击类型 2.2.2 攻击方法分析 2.2.3 国内企业遭受的攻击类型P03P03P04P05P05P05P05P06P07P08P08P08P08P093.1 3.23.33.4第三章 国内企业抗DDoS现状调查 抗DDoS产品的主要使用场景DDoS防护产品选择企业部署抗D产品是否达到预期效果 企业对抗D产品期望改进的能力第四章 趋势和展望P10-12P10P11P12P12P13国内抗DDoS流行产品名录 P14-15P16-17P16-17P18P19P20P21P22P23领先层 绿盟科技 阿里云 中国电信云堤 腾讯 知道创宇 天融信 上海云盾起源于二十世纪九十年代，历经二十多年发展而经久不衰，分布式拒绝服务攻击（DDoS攻击）已经成为网络安全领域影响最为深远的威胁之一。伴随着人工智能、云计算、物联网等技术的发展，DDoS攻击技术也在随着新技术而不断演进，所形成的灰色产业链愈发成熟而顽固。2016 年 10 月，提供动态 DNS 服务的 Dyn DNS 遭到了大规模 DDoS 攻击，攻击主要影响其位于美国东区的服务。此次攻击导致许多使用 DynDNS 服务的网站一度瘫痪 ，其中包括 GitHub、Twitter、Airbnb、Reddit 等，Twitter 甚至出现了近 24 小时 0 访问的局面。2018年3月1日，GitHub遭受史上最大规模的DDoS攻击，峰值流量高达1.35Tbps，导致GitHub一度出现断线的情况。随后的几天，NETSCOUT Arbor再次确认了一起由 Memcache DDoS造成的高达1.7 Tbps的反射放大DDoS攻击。游戏行业一直是DDoS攻击的重灾区，2019年6月，知名游戏厂商育碧遭受一系列DDoS攻击，恰逢其发布彩虹六号：围攻游戏的扩展包Phantom Sight行动。许多玩家因此掉线，他们甚至在Reddit上发起加强DDoS防护的呼吁。2019年9月，暴雪公司魔兽世界经典怀旧服服务器上线不到一周，就遭到恶意DDoS攻击，持续约20-30分钟，导致大量玩家登录不上。2020年2月8日，一次大规模的DDoS攻击导致伊朗大部分的互联网接入口陷入瘫痪。据专家估计，该国的所有网络连接约有25%受到影响。从最开始的由个人计算机组成的僵尸网络到利用IoT设备发起反射攻击，DDoS攻击所能形成的规模大幅提升。而在2018年，利用 Memcache UDP 反射放大攻击的事件出现，DDoS攻击开始从 G 时代进入 T 时代（Gbps vs Tbps）。尽管如此规模的DDoS攻击仍占少数，但也提前给行业敲响了警钟。2020年国内抗DDoS产品研究报告 通过现场走访、 资料整合及问卷调查的形式，对国内近百家企业的使用情况进行对比分析, 总结国内抗DDoS产品的基本现状, 并尝试对其发展趋势进行评估和预测, 为企业安全建设提供有效参考。第一章 前言超级产品力系列之 2020国内抗DDoS产品研究报告 / P01从调研结果来看，超过8成的企业在近一年内都遭受过DDoS攻击，但总体来看频次并不算太高，57%的企业遭受攻击的频次低于10次，而也有2%的企业遭受DDoS攻击次数超过100次。尽管这两年反射放大型DDoS攻击屡次刷新峰值流量记录，但TB级规模的DDoS攻击依然比较少见。超过60%的企业所遭受的DDoS攻击峰值流量均低于100G，30%的企业遭受的DDoS攻击最高峰值流量在100-300G之间，达到500G以上的仅占3%。第二章 国内 DDoS 攻击现状2.1 2019国内DDoS攻击流量情况遭受DDoS攻击最高峰值流量近一年内遭受DDoS攻击频次0次17%31%28%13%9%2%1-5次5-10次10-50次50-100次100次以上0-50G34%31%20%10%6%3%50-100G100-200G200-300G300-500G500G以上超级产品力系列之 2020国内抗DDoS产品研究报告 / P02针对网络带宽资源的攻击网络带宽由计算机网络设备决定，而常见的路由器、交换机和服务器等设备对于数据的处理是有限的，一旦网络中的数据包超过了处理能力的极限，就会出现网络拥堵，从而导致网络响应缓慢等情况，消耗网络带宽的 DDoS 攻击主要根据这个原理。主要攻击方法： ICMP/IGMP 洪水攻击、UDP 洪水攻击、ACK 反射攻击、DNS 放大攻击、NTP 放大攻击、SNMP 放大攻击等。针对系统资源的攻击当计算机网络终端设备与服务器进行联系时，一般通过TCP、SSL等协议进行会话，而会话的建立、更新与保持都需要消耗系统资源。DDoS 攻击通过对连接的网络资源进行消耗和占用，达到阻止正常会话的建立并拒绝服务的目的。主要攻击方法：TCP 连接洪水攻击、SYN 洪水攻击、PSH+ACK洪水攻击、RST 洪水攻击、Sockstress 攻击。针对应用资源的攻击当设备与服务器成功建立会话后，客户端会请求所需的网络服务，而服务会继续消耗交换机、服务器的资源。DDoS攻击通过提交大量的消耗请求来实现攻击的目的。主要攻击方法：通过向 DNS 服务器发送大量的 DNS 请求和Web 服务请求来实现拒绝服务。在实际大流量的攻击中，通常并不是以某种单一数据类型来攻击，往往混杂了TCP和UDP流量，网络层和应用层攻击同时进行。为了更好地理解企业面临的DDoS攻击类型，可以根据攻击目标资源的不同将攻击分为针对网络带宽资源、系统资源、应用资源三种类型。2.2 常见的DDoS攻击类型2.2.1 攻击类型反射攻击反射攻击的本质是利用“质询-应答”式协议，将质询包的源地址通过原始套接字伪造设置为目标地址，则应答的“回包”都被发送至目标，如果回包体积比较大或协议支持递归效果，攻击流量会被放大，成为一种高性价比的流量型攻击。反射型攻击利用的协议目前包括NTP、Chargen、SSDP、DNS、RPC portmap等等。流量放大攻击以DRDoS中常见的SSDP协议为例，攻击者将Search type设置为ALL，搜索所有可用的设备和服务，这种递归效果产生的放大倍数是非常大的，攻击者只需要以较小的伪造源地址的查询流量就可以制造出几十甚至上百倍的应答流量发送至目标。泛洪攻击泛洪攻击一般出现在消耗网络带宽资源和系统资源的阶段。譬如Syn-Flood作为典型的消耗系统资源的洪水攻击，攻击利用TCP的三次握手机制，攻击端使用伪造的IP地址向被攻击端发出请求，而被攻击端发出的响应报文将永远发送不到目的地，因此被攻击端在等待关闭连接的过程中消耗了资源，当这种连接成千上万，主机资源将被耗尽，从而达到攻击的目的。随着 DDoS 攻击技术的发展，还出现了一些新型的攻击方式。比如 link-ooding attack，该攻击方法不直接攻击目标而是以堵塞目标网络的上一级链路为目的。对于使用了 ip anycast 的企业网络来说，常规的 DDoS 攻击流量会被“分摊”到不同地址的基础设施，这样能有效缓解大流量攻击，所以攻击者发明了一种新方法，攻击至目标网络 traceroute 的倒数第二跳，即上联路由，致使链路拥塞。2.2.2 攻击方法分析超级产品力系列之 2020国内抗DDoS产品研究报告 / P03以上所提及的主要是针对网络层流量型DDoS攻击类型，其明显特征就是峰值流量高，尤其是反射放大型DDoS攻击。在应用层，最典型的为CC攻击和HTTP慢速攻击。这两种攻击的攻击特点和流量型DDoS攻击最大的区别是并不需要大流量即可达到攻击效果。在部分极端情况下，流量特征并没有明显的变化，业务就已经瘫痪了。在FreeBuf咨询调研过程中，对企业所遭受的大流量DDoS攻击的热门类型进行了分析。其中，UDPFlood类占比超过30%，居于首位；NTP反射放大攻击、ACKFlood以及SYN_Flood几种类型也占据较高比重。2.2.3 国内企业遭受的攻击类型遭受过DDoS类型有哪些UDP_FloodSYN_FloodNTP反射放大攻击Memcached反射放大攻击SSDP反射放大攻击CLDA反射放大攻击RST_FloodDNS反射放大攻击ACK_Flood其他0102030407.25%30.43%8.7%15.94%2.9%4.35%4.35%10.14%13.04%慢速攻击与泛洪攻击相悖的是慢速攻击方式。以Sockstress为例，主要是利用建立TCP/IP三次握手连接来实现拒绝服务攻击。Sockstress并非通过耗尽服务器的TCP连接数来让正常用户的正常请求无法响应，而是直接耗尽服务端的内存、CPU等资源让受害者宕机，属于非对称的资源消耗攻击，危害性极大。其他用于发动慢速攻击的流行工具如：Rudy和Slowloris。超级产品力系列之 2020国内抗DDoS产品研究报告 / P04早在20世纪90年代，DDoS攻击者通过手动部署拒绝服务，后来逐渐演变为控制由多个肉鸡或服务器组成的僵尸网络，再到利用服务器协议漏洞的自动攻击。可以说，DDoS发展至今在其复杂性和攻击载体上都发生了巨大的变化。2.3 DDoS攻击载体20世纪90年代左右，一些活动组织开始使用互联网作为虚拟抗议（sit-ins）的一种方式，通过搞瘫网站作为其抗议的体现。早期的DDoS是攻击者手动部署完成的。主要是手动访问并反复重新加载目标网站的方式最终完成对网站的DDoS攻击，基本没有依赖特定的载体。2018年2月28日，代码托管网站GitHub遭遇了超大规模的DDoS攻击，在此次活动中，黑客利用Memcached协议，发送大量带有被害者 IP 地址的 UDP 数据包给放大器主机，然后放大器主机对伪造的IP地址源做出回应，从而形成 DRDoS 反射，导致服务中断100分钟。易受攻击的网络协议成为新阶段下的DDoS攻击载体。攻击者利用存在配置错误的服务，例如DNS、网络时间协议、TFTP协议（即简单文件传输协议）能够实现强度惊人的DDoS放大攻击。2.3.1 无载体阶段2.3.2 网络协议蠕虫作为一种可以自我复制的代码，通常无需人为干预就能传播。在入侵并完全控制一台计算机之后，将当前机器作为宿主进而扫描并感染其他计算机。20002010年是电脑蠕虫的鼎盛时期,诸如Code Red、Nimda以及Blaster等恶意程序，都在感染网络方面取得了重大成功。2.3.3 蠕虫2003年之后，随着蠕虫技术的不断成熟，攻击者利用蠕虫递归式的传播能力，控制越来越多的计算机。由多个肉鸡或受感染的服务器组成了僵尸网络，成为DDoS攻击的主力，并在现阶段依然发挥不容小觑的威胁能力。僵尸网络的发展前期是由攻击者主动制作并扩散恶意软件以感染设备，攻击时间取决于攻击者的工作时间，同时需要较高的技术水平和长时间的僵尸资源积累才能完成。后来，新兴的BaaS（Botnet as a Service，僵尸网络即服务）模式的僵尸网络开始提供租赁服务，平台用户只需要付款就可以即时获得一批佣兵式的攻击资源，在短时间内发起大规模攻击。甚至可以根据用户所需的规模、配置等参数的不同提供定制化的服务。BaaS模式降低了攻击的成本和门槛，提升了短时攻击的效率，并且一定程度上推动了由僵尸网络发起的DDoS 攻击事件的增长。根据绿盟科技的数据，2019 年度由僵尸网络发起的DDoS 攻击事件达 40 万起，相较上一年度的 8332 起攻击事件有了巨大的增幅。在2019年的僵尸网络分布情况方面，有53%来自中国大陆，相比于2018年，下降了近20%。僵尸网络的控制端在逐渐向大陆以外的地区进行转移。2.3.4 僵尸网络超级产品力系列之 2020国内抗DDoS产品研究报告 / P05而我国受到僵尸网络发起的DDoS攻击的目标中，私服和电子商务网站出现比例最高，也有个别政府、教育网站。此外，DDoS服务商网站也出现在攻击目标里。CnC 国家及地区分析中国美国中国香港荷兰德国俄罗斯英国意大利法国韩国新加坡加拿大单位(%)0 10 20 30 40 50 60超级产品力系列之 2020国内抗DDoS产品研究报告 / P06GafgytMiraiBillGates天罚DoooNitolSdbotYoyoTsunamiMaydayDrive单位(%)0 10 20 30 40 5040.288%8.497%21.958%7.466%9.136%7.347%0.013%5.145%0.144%0.003%0.001%2016年以后，物联网设备逐渐发展为主要的DDoS攻击载体。2018年，参与DDoS攻击的物联网设备总量超过23万，恶意软件利用的漏洞涵盖多种物联网设备。2019年，物联网设备规模性增长的背景下，部分传统的Windows平台家族僵尸网络快速向物联网平台演进，开源Mirai导致物联网僵尸网络变种快速增加，再次推动物联网僵尸网络的扩张。在2019年的DDoS家族排名中，仅物联网僵尸网络Gafgyt和Mirai就累计占比超过60%,并且提供了超过 60% 以上的 DDoS 攻击事件。2.3.5 物联网设备超级产品力系列之 2020国内抗DDoS产品研究报告 / P07