?本期解讀專家

全球IoT（Internet of Things，物聯網）設備每年以百萬級的速率快速增長，大量不安全的IoT設備成為僵尸網絡的主要來源。僵尸網絡廣泛使用網絡層CC攻擊，將虛假源泛洪攻擊技術與會話層攻擊技術相結合，成為互聯網中最難防御的攻擊之一。

在RSA大會互聯設備網絡物理安全板塊中，諾基亞Deepfield創始人Dr. Craig Labovitz博士分享了關于企業僵尸網絡大機密的議題。通過研究人員與全球互聯網提供商合作過程中的分析結果，向大家展示了來自企業僵尸網絡對網絡安全的挑戰。

DDoS攻擊現狀： 僵尸網絡攻擊成為主流攻擊

Dr. Craig Labovitz博士在報告的開頭指出，2022年Q2是DDoS攻擊手法變更的分水嶺，如圖1-1所示。在此之前，DDoS攻擊主要采用偽造源發起攻擊的方式，攻擊者利用網絡中NTP/DNS服務器的不安全配置發起反射放大型DDoS攻擊。然而，隨著2022年Q2地緣政治爆發，DDoS攻擊轉向以僵尸網絡攻擊為主的混合攻擊。僵尸網絡攻擊流量占比達到30%~50%，這些攻擊可以繞過傳統的抗DDoS攻擊設備。

圖1-1僵尸網絡攻擊成為主流DDoS攻擊

僵尸網絡現狀： 僵尸網絡數量激增，攻擊成本持續降低

報告指出，研究人員通過跟蹤50萬+的攻擊源分析發現，企業中隨處可見的IoT設備，如攝像頭、NVR（Network Video Recorder，網絡視頻錄像機）、DVR（Digital Video Recorder，數字視頻錄像機）、空氣調節系統、POS機和醫學影像系統等，雖然豐富了人們的工作和生活，但不安全的IoT設備卻也成為了僵尸網絡的主要來源。

這些IoT僵尸網絡具有如下特征：

01攻擊源增長迅速

根據IoT Analytics Research 2022報告中針對全球IoT市場預測，全球IoT設備每年以百萬級的速率增長，大量不安全的IoT設備也隨之增長，研究人員在分析過程中發現，全球活躍IoT僵尸規模為50萬至100萬。

02攻擊源出口帶寬受限

在過去20年的互聯網歷史中，接入互聯網的下行帶寬和上行帶寬比例限制為90/10，單個僵尸網絡發起的DDoS攻擊流量也受限于此，70%的僵尸網絡的出口帶寬小于50Mbps。

03攻擊成本持續降低

互聯網中存在數以百計的提供DDoS攻擊服務的網站，國際執法部門會定期關閉這些非法網站，以減少偽造源攻擊和反射放大攻擊對網絡的影響。但是，100Gbps僵尸網絡攻擊成本從2018年的$1000降至$10-$20，攻擊成本的驟降使得僵尸網絡攻擊更易獲取，僵尸網絡攻擊對互聯網中的威脅也越來越大。

僵尸網絡探究： 企業僵尸對網絡安全的挑戰和威脅

報告中指出，研究人員通過分析黑客入侵IoT設備的過程發現，大量IoT設備存在管理員登錄密碼復雜度不高、安全補丁無更新等問題，使這些不安全IoT設備極易被入侵后成為IoT僵尸。通過對僵尸的攻擊規模、地域和構成等分析發現：

僵尸網絡具備足以擾亂全球互聯網的超強容量

研究人員在分析過程中發現，在2022年至2023年的僵尸網絡DDoS攻擊事件中，僵尸網絡攻擊源規模小于5000，也出現過攻擊源數量大于6萬的大型僵尸網絡。當前，監測到的活躍僵尸源規模為50萬至100萬，DDoS攻擊峰值為1Tbps至2Tbps。如果這些僵尸網絡同時被利用，可能會導致攻擊規模高達50Tbps至100Tbps，足以擾亂全球互聯網鏈路。

僵尸網絡出現地域性變化，主要以CPE和DVR為主

2023年，美國成為最大的僵尸網絡發源地，其僵尸網絡數量占比達到24%；韓國和中國臺灣僵尸網絡數量分別占比11%和10%，位列第二和第三。在這些僵尸網絡中，CPE（Customer Premises Equipment，客戶端設備）和DVR類型的IoT設備占據了半壁江山，分別占比36.2%和33.8%。而云主機僵尸網絡占比3.5%，增幅最快。

僵尸網絡是針對每個人的網絡安全挑戰

傳統ISP（Internet Service Provider，互聯網服務提供商）、CSP（Cloud Service Provider，云服務提供商）網絡采用地理位置過濾、主動防御（如SYN Cookie、HTTP重定向等）以及DNS/NTP/LDAP流量限制等手段來抵御DDoS攻擊。然而，僵尸網絡發起的DDoS攻擊可以輕易繞過這些防御手段，給ISP/CSP的網絡安全帶來嚴重的挑戰。此外，來自ISP內部的僵尸網絡攻擊也是最大的威脅之一。

華為洞察： 抗DDoS技術需要適應新網絡環境和業務需求

DDoS攻擊依然是當前互聯網最主要的攻擊形式之一，攻擊頻次持續增長。在2018年之前，中國境內的DDoS攻擊主要是由行業內惡意競爭引發的，但之后地緣政治因素導致的攻擊更加普遍，針對關基企業尤其是金融企業的攻擊頻次逐年倍增。為了達到攻擊效果，攻擊技術持續演進，傳統防御算法失效，因此抗DDoS技術不得不持續革新；同時，優秀的抗DDoS產品和方案必須不影響業務。互聯網網絡本身及互聯網業務也在持續演進，這促使抗DDoS技術不斷演進以適應新的網絡環境和業務需求。總的來說，隨著攻擊趨勢的變化，抗DDoS技術的趨勢也隨之發生了以下幾點變化：

趨勢1：攻擊成本持續降低，促使超大規模攻擊異常活躍，挑戰防御成本；降成本成為抗DDoS技術第一要務，動態BGP Flowspec及硬件防御加速成為抗DDoS產品和方案降成本主要方向。

2022年，華為監測到超100Gbps攻擊共發生104,922次，平均每天發生287次；T級攻擊共計232次。僅中國境內攻擊資源被利用，即可輕松發出超50Tbps攻擊。

面對異常活躍的規模化DDoS攻擊，運營商和ISP不得不尋求更低成本的防御方案。尤其是攻擊流量大且對防御成本敏感的運營商市場，防御容量大、低成本的硬件抗DDoS產品已經成為集采入圍的必要條件。一方面，運營商和ISP期望最大限度利用網絡過濾能力，比如借助黑洞路由、靜態甚至動態BGP Flowspec源頭過濾大流量攻擊；另一方面，業界領先的安全廠商通過硬件實現網絡層攻擊防御加速，有效降低防御成本。硬件+CPU的分層防御架構還可以最大限度節省CPU算力，過濾更加復雜的會話層和應用層攻擊。

趨勢2：大流量攻擊采用“短平快”戰術，挑戰防御系統響應速度；為應對“短平快”攻擊，防御系統需具備“零延遲”攻擊響應能力和自動化能力。

大流量攻擊可以在10秒內攻擊流量峰值爬升至T級，挑戰防御系統響應速度。其中，57.40%的攻擊發生在網絡層，40.49%的攻擊發生在應用層，攻擊持續時間不超過5分鐘，挑戰防御系統的自動化程度和安全運維團隊的響應速度。

然而，由于企業普遍缺乏專業安全人員和策略調優能力，持續5分鐘的攻擊一旦形成攻擊效果，業務恢復至少需要30分鐘。日益加強的防御痛點促使企業更需要抗DDoS產品具備防御全流程自動化的能力。

為實現攻擊“零延遲”響應，企業On-premise抗DDoS需要采用秒級甚至毫秒級響應的逐包檢測來替代Flow檢測，以便在檢測到危及企業鏈路帶寬的大流量攻擊時，能夠通過開放API和運營商云清洗秒級聯動的能力來支持。同時，運營商也在探索新的檢測技術，比如路由器的逐包檢測，以加快攻擊流量識別，規避Flow檢測分鐘級檢測的弊端。

面對企業普遍缺乏專業安全技能的現狀，抗DDoS產品需具備全流程自動化的防御能力。首先，產品應支持開盒即用，簡化運維。抗DDoS產品應內置專家策略模板，通過默認策略模板和逐包檢測實現毫秒級啟動防御，自動過濾99%攻擊。其次，針對復雜攻擊，抗DDoS產品應提供自動評估防御效果的功能。當檢測到漏防或者誤防時，抗DDoS產品應具備自動調優防御策略的能力，將攻防對抗時長由人工響應的10分鐘以上縮短至30秒內。

趨勢3：CC攻擊的頻次和復雜度不斷攀升，挑戰傳統防御算法有效性；為應對日益復雜的CC攻擊和互聯網業務多樣化的趨勢，CC防御尤其是加密CC防御成為抗DDoS產品剛需，多維度行為分析和AI技術成為CC防御技術發展的新趨勢。

隨著運營商提供的清洗服務不斷完善，能夠過濾大流量網絡層攻擊，加上企業安全意識的提高，企業購買運營商的云清洗服務已成為共識，大大降低了大流量網絡層攻擊的威脅。

然而，隨著IoT網絡的快速發展，僵尸網絡規模迅猛增長，攻擊者為了提升攻擊成功率，常常采用CC攻擊手段，門戶網站、APP和API成為CC攻擊的主要目標。為了保障業務安全，許多企業采取了TLS加密，但這也導致加密CC攻擊成為常態。為了有效躲避防御，CC攻擊呈現出海量僵尸單源低速化的趨勢，特別是針對金融行業的低速加密CC攻擊頻繁發生。隨著百萬級甚至千萬級請求速率的CC攻擊頻發，負載均衡和WAF（Web Application Firewall，Web應用程序防火墻）性能瓶頸凸顯，甚至危及企業網絡鏈路帶寬。這促使企業的CC防御需求發生變化，一方面，要求運營商的云清洗需具備阻攔大規模高速CC攻擊的能力；另一方面，企業網絡邊界的抗DDoS產品需具備阻斷低速CC攻擊的能力，以保護負載均衡和WAF的可用性。

為精準識別機器人攻擊，專業抗DDoS產品需具備多維度源訪問行為分析的能力，以快速識別并阻斷高速CC攻擊；同時，還需具備AI能力，包括嵌入式AI及超大存儲容量的離線AI。借助機器學習聚類分析算法，精細化識別低頻CC攻擊。

趨勢4：針對網絡基礎設施的掃段攻擊常態化，挑戰傳統防御架構有效性，抗DDoS產品和方案需新增網段防御層，用三層防御架構替代單一的主機防御架構。

掃段攻擊是一種威脅網絡基礎設備的攻擊，難以防御，被稱為無法解決的網絡故障。公有云、企業私有云、政務云均成為掃段攻擊目標。目前，大多數抗DDoS產品仍采用單一的主機防御架構，低速掃段單IP流量低，無法觸發閾值，漏檢率高。此外，掃段攻擊常與脈沖攻擊相結合，32位主機引流速度慢，導致防御成功率不足30%。當掃段攻擊危及企業網絡帶寬時，黑洞路由也會失效。

為解決日益頻發的掃段攻擊威脅，亟需On-premise抗DDoS產品具備掃段攻擊檢測和過濾的能力，同時具備聯動運營商上游過濾大流量掃段攻擊的能力。為了實現這一點，抗DDoS產品需要支持基于網段的流量統計、攻擊檢測、告警和引流，并支持基于網段的清洗。當檢測到攻擊流量危及網絡鏈路帶寬時，與運營商進行秒級聯動，上游網絡進行過濾。過濾方式包括通過動態BGP Flowspec在上游路由器過濾反射類掃段攻擊和通過開放API聯動運營商云清洗，以保護企業網絡鏈路帶寬。

華為抗DDoS解決方案： 有效應對復雜的僵尸網絡攻擊

如上節所提到的，華為在持續跟蹤DDoS攻擊現狀與趨勢分析中發現，近兩年來IoT網絡的快速發展促使僵尸網絡規模迅猛增長，攻擊者為了提升攻擊成功率，主要采用CC攻擊手段，針對門戶網站、APP和API目標服務發起攻擊。

在網絡層CC攻擊中，僵尸網絡主要存在三種攻擊模式：

01模擬上傳，擁塞網絡

攻擊源發送報文Payload超1000字節的大報文ACK，模擬上傳。攻擊流量秒級加速，20秒內即可將攻擊流量峰值拉升至T級，利用超大帶寬流量快速擁塞網絡，華為監測到的網絡層CC攻擊最大峰值帶寬為912Gbps，而對應的攻擊峰值包速率僅79Mpps。

02模擬下載，躲避攻擊檢測

攻擊源發送無Payload的ACK報文，模擬下載，華為監測到的網絡層CC攻擊最大峰值包速率為139Mpps，對應的攻擊峰值帶寬僅89Gbps。

03模擬交互，躲避攻擊檢測

攻擊源發送Payload內容和長度變化的ACK報文，模擬客戶端和服務器交互。

華為觀察發現，在2021年至2022年期間，僵尸網絡發起的網絡層CC攻擊為提升攻擊躲避能力，演進出兩種攻擊變種：

• 變種1：裹挾完整HTTPS交互的網絡層CC攻擊，通過誘發服務器快速重傳，擠占Outbound帶寬

• 變種2：偽造TCP Keep-Alive長時間保持TCP會話資源，以耗盡服務器會話資源。

CC攻擊的不斷演進對防御技術的有效性提出新的挑戰，促使企業的CC防御需求發生變化。針對當前僵尸網絡攻擊對互聯網絡帶來安全威脅，華為推出新一代抗DDoS解決方案，如圖1-2所示。

圖1-2華為抗DDoS解決方案

華為抗DDoS解決方案主要具備如下的防御優勢：

01

卓越性能：為應對常態化大流量攻擊對防御成本的挑戰，華為抗DDoS產品通過網絡層攻擊防御硬件加速和業務轉發加速（NP加速，Network Processor），降低防御成本，單臺設備防御性能最高2.4Tbps/1800Mpps，一臺頂六臺。

02

毫秒響應：為應對大流量攻擊呈現秒級加速及“短平快”趨勢，華為抗DDoS產品實現防御零延遲，瞬間阻斷脈沖攻擊、大流量攻擊，業務零影響。

03

精準防御：華為抗DDoS產品采用智能7層“濾板”+多維度機器防御手段，快速阻斷網絡層、應用層100+攻擊，支持傳統的百萬級規模的僵尸網絡IP信譽、攻擊特征庫、策略模板在線升級，支持防御引擎敏捷發布，快速應對0-Day DDoS攻擊。

04

智能駕駛：為解決客戶缺乏專業安全技能的現狀，華為抗DDoS產品實現防御自動駕駛，系統默認專家策略模板可毫秒級啟動防御，自動過濾99%攻擊，基于多維度的流量快照和業務流量基線比對實現防御效果自動評估，對復雜攻擊場景下漏防和誤防自動進行防御策略自動調優，將攻防對抗時長縮短至30秒內。

結束語

DDoS攻擊因其簡單、低成本、難以防御的特點，已成為網絡安全領域不可忽視的挑戰之一。近兩年，僵尸網絡攻擊異軍突起，直接挑戰傳統防御技術的有效性。華為抗DDoS解決方案可幫助企業構建堅不可摧的安全防線，助力企業打好DDoS反擊戰。