根据Cloudflare的网络流量分析,DDoS攻击者改变了他们的技术,随着时间攻击模式不停的变迁,3年前的直接DNS攻击、SSDP和Memcached放大攻击到SYN Flood洪水攻击都渐渐减少,最近多矢量放大攻击(Multivector Amplifications)频率以及流量都在上升中。
Cloudflare提到,在今年4月的时候,发生了一次巨大的SYN Flood洪水攻击,Cloudflare首席技术官John Graham-Cumming还在推特发出了流量图,攻击峰值达到了942Gbps。Cloudflare提到,这个事件有3个值得注意的点,第一,那次的攻击流量非常大,其放大以及反射攻击量达到Terabit等级,攻击者利用其他服务器反弹出流量产生极大的负载,而这与传统直接式攻击不同。
再来,那次的攻击是真正分布式的攻击,一般的SYN Flood洪水攻击流量来源来自少数的地理位置,但是这次的攻击来源遍布全球,并攻击了所有Cloudflare的数据中心。第三,Cloudflare表示,部分攻击流量似乎是欺骗攻击,虽然从分析上无法直接确定,但从Cloudflare最大的互联网交换中心的数据看到随机的欺骗IP。
除了4月的SYN Flood洪水攻击,虽然日常也会有一些攻击流量,但都在600到650Gbps之间,Cloudflare已将其视为正常运营的一部分,Cloudflare提到,值得注意的是多矢量放大攻击的流量正在上升,反观一度盛行的SSDP和Memcached放大攻击则逐渐消退。
虽然去年的SSDP的攻击不断增加,后来甚至有还有达到400Gbps的流量高峰,但是在2018年,已经很少看到巨大的流量出现,在过去30天里,还没有出现流量超过180Gbps的SSDP攻击。另外,主要使用UDP连接端口11211的Memcached攻击,在第一次出现在达到了260Gbps,并在一天后达到了Terabit,虽然一开始的攻击很猛烈,但是在ISP共同做出反应,处理了易受攻击的服务器,攻击力度已经被大大削弱。
而在两个月前,Cloudflare发现了一股新的攻击趋势逐渐形成,这个新兴攻击不使用SSDP或Memcached单一的放大类型,而是应用许多不同的放大类型,一次攻击所有的ISP,虽然这个技术并不新颖,但是规模却是前所未见的。Cloudflare举例了近期一个达到800Gbps的攻击,总共使用了7种协议,其中攻击流量第一名是Portmap的337Gbps,第二名为SSDP的177 Gbps,第三名为DNS的130Gbps,第四名为SNMP为115 Gbps。
Cloudflare表示,仍需要持续注意来自第3层和第4层的攻击,在3年前每天都会出现像是随机前缀攻击的直接DNS攻击,但至今已经很少看到攻击高峰出现,两年前开始SYNFlood洪水攻击开始流行,但在2016年里约奥运会后频率逐渐降低,而过去SSDP和Memcached放大为主要攻击威胁,但是现在多矢量放大攻击则正在崛起。