解读 | 东欧局势正影响全球DDoS攻击态势

2022 年，欧洲地区政治局势急剧恶化，全球 DDoS 的攻击态势也随之发生改变。G·Core Labs 近期发表研究报告表明，全球 DDoS 攻击的攻击强度、发起频率以及攻击广度正在极速攀升，越来越多 DDos 攻击被广泛用于政治考量。

欧洲冲突带来的新趋势

东欧的局势影响了整个网络安全行业，尤其是在 DDoS 攻击和防护领域。目前，各国正在成为网络安全行业的积极参与者，网络攻击也开始变得复杂。

2022 年上半年，部分国家报告了对政府和金融机构的网络攻击事件：

• 2 月 15 日，乌克兰银行和政府遭受了历史上最严重的网络攻击，导致大量网站瘫痪，国防部网站和国家服务数字门户 Diia、Oschadbank 和 PrivatBank的 ATM 网络和移动应用程序受到严重影响。乌克兰政府表示，攻击者早已提前做好准备，目的是破坏乌克兰稳定局势并散播恐慌和混乱。
• 3月11日，中国官方机构新华社表示，已经追踪到美国、德国和荷兰的网络攻击，其中大部分攻击的目标是乌克兰、白俄罗斯和俄罗斯的资源。值得注意的是，尽管已经检测到了网络攻击的来源，但并没有将它们归因于任何特定国家，这些攻击可能是由在这些国家/地区获得 IP 地址的黑客精心策划。
• 4月8日，芬兰国防部网站遭到网络攻击，该部表示正在调查此事，目前，袭击背后的嫌疑人尚未披露。

DDoS攻击一般是自发组成，对客户来说，威力巨大、代价高昂的攻击并不少见，政府机构曾经在防范此类攻击时相对比较克制。目前，关于国家机构在这一领域行动的传言常常被官员证实，例如在 2022 年 2 月底，美国司法部长公开证实，FBI 进行了一次秘密行动，以消除俄罗斯的恶意软件，防止大规模 DDoS 攻击。

另外，乌克兰成立网络部队也有据可查，2022 年 2 月开始招聘人员，其主要任务是确保信息安全和保护关键基础设施，政府对该行业的积极干预很可能从根本上改变市场。

DDoS 攻击的复杂性、威力和持续时间是如何变化的？

最近几个月，国家和行业的主要 DDoS 攻击受害者名单发生了重大变化，攻击正变得更加复杂和多向性。这对 DDoS 攻击的威力、地域和持续时间产生了明显的影响。

几种不同类型的 DDoS 攻击

• Ransom DDoS 攻击：主要为了敲诈勒索，攻击者承诺在收到赎金后就会停止攻击；
• 应用层 DDoS 攻击：干扰甚至完全瘫痪业务应用的运行，给目标造成重大损失和声誉损失；
• 网络层 DDoS 攻击：占用网络带宽并破坏目标与合作伙伴和客户之间的沟通。

每种类型的攻击都利用了受害者基础设施中的各种漏洞，以往的网络攻击是基于一个特定载体，但现在更复杂的恶意活动所占份额越来越大，攻击者不再直接攻击受害者的服务器，而是瘫痪它的一个关键功能，沿着不同的载体进行联合攻击。

根据 Gcore 的数据显示，与 2021 年相比，今年复杂的多载体攻击数量增加了两倍。僵尸程序和僵尸网络已经成为 DDoS 攻击最常见的载体，HTTP 洪泛攻击也被大量使用。

Gcore Web Application DDoS Protection检测到的强大 HTTP 洪泛攻击实例

超短攻击次数和平均攻击力不断增加

近年来，超短 DDoS 攻击的数量一直在增长，据 Gcore 称，2022 年此类攻击的平均持续时间为 5-10 秒，最长的一次攻击持续了 24 小时，容量为 5Gbps。

2022 年第一季度至第二季度记录的攻击平均功率增加了一倍多，去年是 300Gbps，今年已经是 700Gbps。以往，这种攻击的主要目标是中小型公司，但今年越来越多的攻击开始针对政府机构。

政府机构正成为 DDoS 攻击的目标

2022 年初，出现了近年来最强大的一些攻击，其中大部分是针对政府机构。

• 1 月 15 日，朝鲜基础设施遭受网络攻击，导致该国完全停电 6 小时，交通瘫痪。
• 1 月 16 日，乌克兰政府网站受到网络攻击，包括教育部、外交部、国家紧急事务局、部长内阁、能源部等在内的政府网站陷入瘫痪。
• 2 月 15 日，乌克兰国防和武装力量部、PrivatBank和Oschadbank遭到攻击，许多乌克兰银行系统以及几个政府网站陷入瘫痪。
• 2 月 23 日，乌克兰外交部和国民议会遭到攻击，此次大规模攻击，导致几个政府网站暂时瘫痪。
• 3 月 10 日，乌克兰电信公司受到网络攻击，40分钟内，乌克兰国家电信运营商以及全国网络和重要通信渠道的运营都受到干扰。
• 3 月 11 日，Rostec 网站遭到黑客攻击，这家国家航空航天和国防公司表示，自 2 月以来，它一直受到 DDoS 攻击。
• 3 月 14 日，以色列政府网站受到攻击，内政部、国防部、卫生部、司法部和社会服务部以及总理办公室的网站遭到了破坏，此次攻击活动被称为有史以来以色列遭受的最强大的网络攻击。
• 3 月 16 日，乌克兰互联网服务提供商 Triolan 受到攻击，导致其乌克兰用户的互联网严重中断。
• 3 月 29 日，布拉德利机场网站受到攻击，不明身份的黑客对美国布拉德利国际机场的网站发起了攻击。
• 4 月8 日，芬兰国防部和外交部受到攻击，导致这些部门的内部网站出现故障，全天无法使用。

企业正在遭受严重的洪泛攻击

根据 Gcore 的数据显示，2022 年 Q1-Q2 最受攻击的业务领域主要是电子商务、金融技术和游戏开发，该公司还分享了有关强大的 TCP 和 UDP 洪泛攻击的信息。

4月14-15日，持续超过一天的 TCP Flood 攻击金融科技公司的流量结构

3 月 11 日，对游戏开发商的 UDP Flood 攻击信息

增加 DDoS 攻击防护手段

2020-2021年，随着网络游戏和娱乐行业内容消费的增加，DDoS 攻击变得更加频繁和复杂，报告建议：为了防御强大而复杂的 DDoS 攻击，企业和政府机构需要先进的安全系统。因为按照以往惯例，每年第三季度与第四季度将会是 DDoS 攻击的高发期，年末攻击通常比前半年高 30％ 左右。

参考文章：https://www.bleepingcomputer.com/news/security/ddos-attack-trends-in-2022-ultrashort-powerful-multivector-attacks/