2020年可以說(shuō)是DDoS這一“經(jīng)典”攻擊技術(shù)的復(fù)興之年。受全球新冠疫情的重大影響，DDoS攻擊的量級(jí)也在不斷加大，業(yè)內(nèi)遭受DDoS攻擊的頻率創(chuàng)下了新高。過(guò)去一年，DDoS攻擊的手法變得多樣化，超過(guò)50Gbps的攻擊數(shù)量也急劇增加。對(duì)于許多行業(yè)和企業(yè)來(lái)說(shuō)，抗D之路任重道遠(yuǎn)，還有更加嚴(yán)峻的安全形勢(shì)需要面對(duì)。

那么，2020年成為DDoS攻擊增幅最大的一年，原因何在?DDoS攻擊走勢(shì)與疫情防控形勢(shì)顯著相關(guān)，其關(guān)聯(lián)度體現(xiàn)在哪里?騰訊安全抵御DDoS攻擊的核心優(yōu)勢(shì)是什么?由騰訊安全聯(lián)合云+社區(qū)打造的「產(chǎn)業(yè)安全專家談」第二十七期邀請(qǐng)到騰訊安全DDoS防護(hù)技術(shù)總監(jiān)、研發(fā)負(fù)責(zé)人羅喜軍，深度解讀《2020年騰訊云DDoS威脅白皮書(shū)》的重點(diǎn)內(nèi)容，并分享騰訊安全在抗D路上的實(shí)戰(zhàn)經(jīng)驗(yàn)。

Q1:《白皮書(shū)》提到，2020年是DDoS攻擊增幅最大的一年，其背后原因是什么？

羅喜軍：我們可以從攻擊者視角來(lái)看這個(gè)問(wèn)題。首先，從意愿、動(dòng)機(jī)的角度來(lái)看，去年突發(fā)的新冠疫情，給人們的生活方式帶來(lái)了巨大的變化，很多活動(dòng)都從線下切換到了線上，同時(shí)帶來(lái)了互聯(lián)網(wǎng)服務(wù)的高速發(fā)展。業(yè)務(wù)高速發(fā)展，就會(huì)給黑產(chǎn)攻擊者帶來(lái)更多可乘之機(jī)，他們的獲利空間變大;第二，在于攻擊者的能力，即資源。近幾年IoT、5G等基礎(chǔ)設(shè)施在快速發(fā)展，與此同時(shí)，安全問(wèn)題也會(huì)伴隨產(chǎn)生，比如弱口令或者一些漏洞問(wèn)題，很容易引發(fā)黑客攻擊，使得設(shè)備淪為“肉雞”，導(dǎo)致DDoS攻擊;而且，現(xiàn)在DDoS攻擊還有一個(gè)趨勢(shì)，就是它的攻擊逐漸工具化，現(xiàn)在叫做攻擊的SaaS化服務(wù)，它能讓攻擊者的門檻變低。假設(shè)在網(wǎng)頁(yè)上注冊(cè)賬號(hào)，只要點(diǎn)一下鼠標(biāo)或者調(diào)用API接口就可以發(fā)起攻擊;此外，疫情也會(huì)使攻擊者的動(dòng)機(jī)變強(qiáng)。疫情刺激需求，需求帶來(lái)資源，資源又在一個(gè)持續(xù)的增長(zhǎng)過(guò)程中，而持續(xù)增長(zhǎng)的資源在動(dòng)機(jī)的強(qiáng)烈驅(qū)動(dòng)下，就能夠令攻擊者更好地利用資源。綜上，攻擊動(dòng)機(jī)跟攻擊資源這兩個(gè)因素使得20年的攻擊趨勢(shì)有了很大的增長(zhǎng)。

Q2: DDoS攻擊走勢(shì)與疫情防控形勢(shì)顯著相關(guān)，其關(guān)聯(lián)度體現(xiàn)在哪里？

羅喜軍：數(shù)據(jù)當(dāng)中體現(xiàn)的關(guān)聯(lián)度在于，疫情期間大家都宅在家里，線上業(yè)務(wù)爆發(fā)，這時(shí)對(duì)于黑產(chǎn)團(tuán)伙來(lái)說(shuō)，就是一個(gè)絕佳的攻擊機(jī)會(huì)，勢(shì)必比居家隔離前的時(shí)段獲利更大、效果更明顯。舉一個(gè)更簡(jiǎn)單的例子，游戲。在凌晨或半夜，很少有人去玩，所以此時(shí)對(duì)攻擊者來(lái)說(shuō)，他們是沒(méi)有太大動(dòng)力去作惡的，因?yàn)橛脩粼缴?，獲利越低;反之，在游戲高峰期，比如晚上七八點(diǎn)或者中午，此時(shí)在線用戶多，如果這時(shí)發(fā)起攻擊，會(huì)讓攻擊者獲取更大的利益，對(duì)用戶和游戲行業(yè)也都能造成更大的影響。

Q3: 游戲行業(yè)仍然是主要被攻擊行業(yè)。2020年游戲行業(yè)因DDoS攻擊造成的威脅有多大？國(guó)內(nèi)的游戲企業(yè)受到的影響是否嚴(yán)重?

羅喜軍：游戲行業(yè)一直都是DDoS威脅的一個(gè)重災(zāi)區(qū)，數(shù)據(jù)顯示，2020年游戲行業(yè)攻擊占比已達(dá)78%，較2019年上升28%。這個(gè)原因在于，受DDoS攻擊的區(qū)域跟與游戲行業(yè)的高度發(fā)展是比較契合的，放在全球范圍看也是一樣的，也就是說(shuō)，游戲行業(yè)對(duì)DDoS攻擊感受到的影響是最明顯的。舉例說(shuō)明，一個(gè)玩家在游戲過(guò)程中遭到攻擊，有可能簡(jiǎn)單卡頓一下，也有可能直接掉線，再重連就連不上了，此時(shí)玩家對(duì)產(chǎn)品的體驗(yàn)以及產(chǎn)品本身的口碑都會(huì)受到很大影響。而且，國(guó)內(nèi)的游戲企業(yè)在出海時(shí)也會(huì)遇到同樣的問(wèn)題，在海外可能會(huì)遇到更加惡劣的環(huán)境。一方面是海外黑產(chǎn)團(tuán)伙的能力有可能更強(qiáng)，另一方面是在海外想要采取溯源等措施也許會(huì)更加困難。因此，國(guó)內(nèi)的游戲在出海過(guò)程中受DDoS攻擊的影響會(huì)更大，比如近幾年很常見(jiàn)的敲詐勒索，以及一些不正當(dāng)?shù)母?jìng)爭(zhēng)，甚至是有些玩家在游戲中惡意牟取利益，都會(huì)影響游戲行業(yè)。目前對(duì)于黑產(chǎn)來(lái)說(shuō)，DDoS攻擊依然是他們的慣用手段。

Q4: 去年出現(xiàn)了新型的UDP反射攻擊，原因是什么？為什么這些新型的反射攻擊依然集中在游戲行業(yè)？

羅喜軍：其實(shí)UDP的反射攻擊是一個(gè)比較老的攻擊手法了，但去年我們還是看到UDP反射這里有一些新情況。去年7月有研究者發(fā)現(xiàn)，黑客通過(guò)幾種新的IoT設(shè)備，利用UDP反射手法發(fā)起攻擊，然后美國(guó)FBI就對(duì)這一威脅進(jìn)行了一次安全預(yù)警，通報(bào)給了美國(guó)企業(yè)，導(dǎo)致黑產(chǎn)了解到這一手法，那么它就會(huì)大范圍地使用這種手法，這也是7月份之后占比偏高的原因，映射出UDP攻擊手法的一些變化。為什么還是游戲?有幾個(gè)原因，第一，游戲要保證很好的用戶體驗(yàn)，需要保持低延時(shí)，所以在網(wǎng)絡(luò)協(xié)議開(kāi)發(fā)上面永遠(yuǎn)都會(huì)采用UDP協(xié)議，UDP反射正好也是用UDP協(xié)議，其實(shí)兩個(gè)場(chǎng)景下協(xié)議是相同的;第二，新的UDP反射手法與以往不同，以往的可能會(huì)有一個(gè)反射比，發(fā)十幾字節(jié)的小包之后產(chǎn)生幾百字節(jié)的攻擊包，形成流量放大。但是這幾種UDP手法，它的包長(zhǎng)不算特別大，它的包長(zhǎng)與正常游戲協(xié)議的行為包長(zhǎng)大小是差不多的，包括我們看到黑客使用的攻擊源也是這種，比如家里面的路由器或者一些其他的智能設(shè)備。從服務(wù)端來(lái)看，這些IP就是正常用戶的IP，因?yàn)榫褪菑募彝ゾW(wǎng)絡(luò)出來(lái)的。所以從防護(hù)端的角度來(lái)看，這幾個(gè)層面就導(dǎo)致我們很難防御這樣的一些情況，或者說(shuō)它對(duì)于防御系統(tǒng)的挑戰(zhàn)會(huì)變大。因?yàn)楣粽咭蚕矚g以假亂真的效果，所以就會(huì)變本加厲，一旦發(fā)現(xiàn)他突破這個(gè)點(diǎn)，就會(huì)大肆使用這種東西。

Q5: 在安全情報(bào)的披露上面，要披露到什么程度會(huì)比較合適？

羅喜軍：這個(gè)問(wèn)題更多的是站在防護(hù)者視角，或者說(shuō)以正向的視角去披露。因?yàn)槲覀儾荒芘蹲鰤氖碌氖址?，而是要告訴大家，做壞事的手法我們是掌握的，抑或是在防護(hù)的過(guò)程中，也能同時(shí)解決安全問(wèn)題。但是作為防守端，并不代表我們可以去濫用安全情報(bào)的披露手法，而是在于對(duì)情況的掌控。對(duì)于整個(gè)大盤來(lái)說(shuō)，包括攻防兩端，我們都能掌握威脅情報(bào)，也正是體現(xiàn)了我們的專業(yè)能力。

Q6: TCP反射攻擊威脅持續(xù)擴(kuò)大，原因是什么？

羅喜軍：TCP反射是近兩三年才出現(xiàn)的一個(gè)新手法，它在前一兩年更多的是利用網(wǎng)上開(kāi)源的Web服務(wù)，例如依靠通用的CDN來(lái)進(jìn)行反射。從去年開(kāi)始，辦公形勢(shì)發(fā)生變化，通用的CDN已經(jīng)不能滿足攻擊需求了，于是就開(kāi)始利用DNS設(shè)備，包括其他智能設(shè)備來(lái)發(fā)起。這個(gè)跟UDP反射會(huì)有一些差別，UDP反射更多是希望反射發(fā)起流量放大，達(dá)到四兩撥千斤的效果;而TCP反射沒(méi)有明顯的放大比，沒(méi)法放大流量，但是可以讓包量或者PPS達(dá)到很大的程度。包量或者PPS參數(shù)對(duì)于網(wǎng)絡(luò)設(shè)備或防護(hù)設(shè)備的性能體驗(yàn)挑戰(zhàn)是比較大的，這也是TCP反射攻擊的威脅比UDP反射更難解決的原因所在，它所造成的PPS包量吞吐量會(huì)比較大，這對(duì)于我們?cè)O(shè)備的性能來(lái)說(shuō)是很大的考驗(yàn)。另外，TCP反射使用的是一個(gè)正常的通信協(xié)議棧，它還是以假亂真，正常的協(xié)議棧很難去區(qū)別對(duì)待，到底是正常用戶?還是一個(gè)攻擊者?這一利用點(diǎn)會(huì)給我們的防護(hù)體系和防護(hù)策略帶來(lái)更高的挑戰(zhàn)。所以不法黑客更加愿意利用從簡(jiǎn)到難的方式，慢慢用UDP反射，再到TCP反射，一步步加強(qiáng)，一步步試圖突破。

Q7：《白皮書(shū)》顯示，應(yīng)用層攻擊呈現(xiàn)海量化趨勢(shì)，這個(gè)點(diǎn)指的是什么？

羅喜軍：去年我們捕獲到一例接近300萬(wàn)QPS的加密流量攻擊，之前捕獲的最大規(guī)模也就幾萬(wàn)，這其實(shí)是一個(gè)幾十倍的增長(zhǎng)。我們發(fā)現(xiàn)加密流量的威脅突然間變大，應(yīng)用層的威脅也隨之突增，然后再增。還有一個(gè)有趣的點(diǎn)，這些攻擊源使用的都是秒撥IP，即秒撥代理IP，它是說(shuō)在業(yè)務(wù)安全領(lǐng)域，欺詐、黃牛、薅羊毛的場(chǎng)景可能會(huì)比較多地用到秒撥IP，因?yàn)樗煌Ｇ袚Q，必須繞過(guò)我們的風(fēng)控策略。我們發(fā)現(xiàn)秒撥IP已經(jīng)應(yīng)用于傳統(tǒng)的安全對(duì)抗領(lǐng)域，如果還是以IP的角度去做攔截防護(hù)，就會(huì)有很多弊端，因?yàn)槊霌躀P的特性就是不停地變，如果再用舊方法對(duì)抗它，就會(huì)發(fā)現(xiàn)我們永遠(yuǎn)落后于攻擊者，永遠(yuǎn)都是在被別人打了一波之后再去分析。

Q8：XOR.DDoS僵尸網(wǎng)絡(luò)最為活躍，原因有哪些？

羅喜軍：XOR僵尸網(wǎng)絡(luò)是比較經(jīng)典的一個(gè)僵尸網(wǎng)絡(luò)，已經(jīng)10多年了，這個(gè)僵尸網(wǎng)絡(luò)感染Linux服務(wù)器，通過(guò)密碼爆破或者弱口令的方式去感染，感染之后在上面種植木馬后門，里面會(huì)種植一個(gè)DDoS攻擊工具，這個(gè)攻擊工具會(huì)被類似的“肉雞”加入到壞人的僵尸網(wǎng)絡(luò)，去發(fā)起對(duì)外攻擊。這個(gè)攻擊手法是最經(jīng)典的手法，其實(shí)就是SYNFLOOD，而且是SYN大包攻擊，一般單個(gè)網(wǎng)絡(luò)的規(guī)模應(yīng)該是在100~300G左右，去年下半年由于IoT這種設(shè)備的發(fā)展，所以活躍度在下半年也會(huì)變大。去年12月份，我們?cè)谝粋€(gè)開(kāi)源的軟件供應(yīng)鏈里面發(fā)現(xiàn)有僵尸網(wǎng)絡(luò)通過(guò)投毒的方式進(jìn)行傳播，這相對(duì)來(lái)說(shuō)還是比較大的、新的趨勢(shì)。以往的傳播可能還是通過(guò)黑客去黑新“肉雞”，控制“肉雞”，然后上傳木馬、后門，上傳工具，發(fā)起攻擊，但當(dāng)時(shí)我們發(fā)現(xiàn)軟件園的安全監(jiān)控里面，它通過(guò)偽造某一個(gè)軟件供應(yīng)鏈里的一個(gè)軟件，在里面捆綁一個(gè)后門，一旦在用開(kāi)源軟件搭建自己的業(yè)務(wù)體系時(shí)，發(fā)現(xiàn)這個(gè)軟件是被投毒的，那機(jī)器可能也就被種上了這樣的木馬。

Q9：與往年相比，騰訊2020年抗D最重點(diǎn)的技術(shù)提升方向是哪些？效果如何？

羅喜軍：第一，降本增效。我們不斷地去研發(fā)高性能的防護(hù)設(shè)備和方案，去降低在設(shè)備上的投入成本。比如以往可能更多的是單臺(tái)設(shè)備，能防御10G的流量，到去年我們已經(jīng)開(kāi)始邁入到百G甚至400G的區(qū)段，這樣投入成本就會(huì)下降，運(yùn)維、運(yùn)營(yíng)效率也會(huì)隨之提高。第二，加盟提效。通過(guò)跟一些合作伙伴共同建立安全能力，把安全能力開(kāi)放給客戶。然后就是在算法層面的持續(xù)升級(jí)，我們以往的對(duì)抗形式可能還是比較傳統(tǒng)，比如寫(xiě)規(guī)則、寫(xiě)特征，但是在攻擊手法復(fù)雜化或者強(qiáng)對(duì)抗的背景下，這樣的方法就會(huì)越來(lái)越局限，所以我們也是在不停地利用大數(shù)據(jù)或者機(jī)器學(xué)習(xí)算法，去提升策略的可配置性或靈活性，希望能夠更加智能、自動(dòng)化地去處理一些高級(jí)別的攻擊手法。至于效果如何，就是產(chǎn)品的付費(fèi)成本可能會(huì)下降，或者說(shuō)相同成本上，能買到更多的高防能力，這是一個(gè)，因?yàn)槌杀臼强蛻糁攸c(diǎn)考量的因素;第二，因?yàn)榘踩シ烙肋h(yuǎn)是一個(gè)持續(xù)對(duì)抗的過(guò)程，而且技術(shù)的升級(jí)在于對(duì)抗效率的提升，比如以往出現(xiàn)一個(gè)攻擊手法，可能要花上三五天才能幫客戶解決，現(xiàn)在只要一天甚至半天，或者只需要調(diào)一個(gè)配置，就能解決這個(gè)問(wèn)題，效率會(huì)大幅提升，客戶的受影響時(shí)間也會(huì)大大縮減。

Q10：騰訊安全為客戶提供了什么樣的增量能力和解決方案？

羅喜軍：我們之前推出了一個(gè)方案叫做“AI防護(hù)”，以前沒(méi)有它的時(shí)候，當(dāng)一個(gè)攻擊手法變化時(shí)，通常的模式是，客戶業(yè)務(wù)受損時(shí)，安全團(tuán)隊(duì)通過(guò)分析來(lái)調(diào)整和更新策略，這樣一來(lái)可能會(huì)耗上幾小時(shí)甚至更久;而在推出“AI智能防護(hù)”這種高級(jí)功能之后，客戶只需要在頁(yè)面上點(diǎn)一下，就可以自動(dòng)分析攻擊手法的變化，自動(dòng)識(shí)別和調(diào)整策略，可能只要幾分鐘時(shí)間，大量業(yè)務(wù)就能恢復(fù)，這是一個(gè)點(diǎn)。

Q11：在黑灰產(chǎn)的攻擊手段不斷升級(jí)時(shí)，作為防守方，我們要如何跑在前面？

羅喜軍：第一，我們的威脅情報(bào)能力要求我們要把很多事情做到事前，不要被動(dòng)挨打，而是主動(dòng)去控盤，所以我們對(duì)于業(yè)界的威脅變化會(huì)有一個(gè)及時(shí)的捕獲、感知;第二，對(duì)于騰訊自有的業(yè)務(wù)來(lái)說(shuō)，尤其是自有的游戲業(yè)務(wù)，其實(shí)也會(huì)存在這樣大的威脅，包括騰訊云的客戶。比如a客戶發(fā)現(xiàn)了一些問(wèn)題，能夠及時(shí)感知到，我們就能把這個(gè)問(wèn)題放到整個(gè)大盤上去考慮;如果b客戶也發(fā)現(xiàn)問(wèn)題，就不會(huì)很被動(dòng)地處理，這就體現(xiàn)了我們的威脅情報(bào)能力;另外一點(diǎn)是后端的技術(shù)能力。當(dāng)一個(gè)新的問(wèn)題出現(xiàn)后，技術(shù)迭代能很快解決問(wèn)題并適應(yīng)這一狀況。其實(shí)我們所有后臺(tái)系統(tǒng)都是自研的，自研帶來(lái)的一個(gè)好處是可控性好，定制化的效率也會(huì)很高。當(dāng)有需求或者遇到攻擊之后，能夠很快實(shí)現(xiàn)迭代升級(jí)，這也依賴于后臺(tái)的技術(shù)模型，畢竟要支持這么快的迭代效果。

Q12：抵御DDoS領(lǐng)域最需要的核心能力是什么，我們的核心優(yōu)勢(shì)又是什么？

羅喜軍：第一，我們具備多年的技術(shù)沉淀和積累。因?yàn)榘踩袑I(yè)門檻，可能這里不存在捷徑;另一個(gè)層面，騰訊擁有許多業(yè)務(wù)，具備海量、全新的互聯(lián)網(wǎng)業(yè)務(wù)模型，還包括騰訊云用戶的實(shí)戰(zhàn)結(jié)論，這里指的是放到實(shí)戰(zhàn)當(dāng)中，跟壞人去肉搏之后，才能知道應(yīng)該怎么打，這是我們?cè)诩夹g(shù)上的一些優(yōu)勢(shì);第二，資源優(yōu)勢(shì)。因?yàn)镈DoS很大程度還是在于資源的配套，像騰訊安全的產(chǎn)品擁有的后端資源儲(chǔ)備，比如帶寬資源儲(chǔ)備，BGP網(wǎng)絡(luò)的儲(chǔ)備等，我們各個(gè)業(yè)務(wù)的形態(tài)都能為用戶提供很高的防護(hù)帶寬和能力，這是資源優(yōu)勢(shì);第三，安全服務(wù)。比如客戶出現(xiàn)問(wèn)題需要解決時(shí)，我們能夠快速支持和響應(yīng)，幫助客戶正向處理問(wèn)題。

Q13：未來(lái)有哪些行業(yè)可能會(huì)成為DDoS攻擊的高發(fā)領(lǐng)域，如果這些行業(yè)需要提前部署、提前應(yīng)對(duì)的話，應(yīng)該通過(guò)哪些方面來(lái)建立自身的行業(yè)體系？

羅喜軍：理論上看，所有互聯(lián)網(wǎng)業(yè)務(wù)都會(huì)存在DDoS攻擊的可能，因?yàn)樗幌袷锹┒椿蛘呷肭郑┒锤肭质钦f(shuō)自身存在弱點(diǎn)，壞人才有機(jī)會(huì)進(jìn)來(lái);但DDoS是說(shuō)，只要在網(wǎng)上就存在這種可能，因?yàn)榫W(wǎng)絡(luò)可達(dá)就會(huì)存在這個(gè)問(wèn)題，而且DDoS的攻擊效果是最明顯的，就是讓用戶斷網(wǎng)，同時(shí)給業(yè)務(wù)造成負(fù)面影響。未來(lái)，在一些新興行業(yè)當(dāng)中，可能會(huì)存在這種安全風(fēng)險(xiǎn)。比如在線教育，網(wǎng)絡(luò)斷了，學(xué)生就沒(méi)法上網(wǎng)課;或者是在線醫(yī)療，這是真正與生命緊密相連的，所以會(huì)有很大的風(fēng)險(xiǎn)存在。對(duì)于此類行業(yè)的客戶或企業(yè)主來(lái)說(shuō)，我們的建議是：第一，企業(yè)自身要具備抗攻擊能力。如同普通人得感冒，或許不是全靠吃藥來(lái)解決問(wèn)題，而是身體首先要具備一定的抵抗力。同理，業(yè)務(wù)首先要在程序、代碼開(kāi)發(fā)、架構(gòu)等方面具備一定的抗攻擊能力;第二，對(duì)于架構(gòu)層面來(lái)說(shuō)，當(dāng)真正出現(xiàn)問(wèn)題時(shí)，要有快速的調(diào)度或熱備切換，這是容災(zāi)的問(wèn)題，也可以叫做快速恢復(fù)業(yè)務(wù)的能力;第三，專業(yè)的人干專業(yè)的事，當(dāng)真正影響到企業(yè)的生存發(fā)展時(shí)，還是要找專業(yè)的安全服務(wù)團(tuán)隊(duì)來(lái)解決這個(gè)問(wèn)題。

（免責(zé)聲明：本網(wǎng)站內(nèi)容主要來(lái)自原創(chuàng)、合作伙伴供稿和第三方自媒體作者投稿，凡在本網(wǎng)站出現(xiàn)的信息，均僅供參考。本網(wǎng)站將盡力確保所提供信息的準(zhǔn)確性及可靠性，但不保證有關(guān)資料的準(zhǔn)確性及可靠性，讀者在使用前請(qǐng)進(jìn)一步核實(shí)，并對(duì)任何自主決定的行為負(fù)責(zé)。本網(wǎng)站對(duì)有關(guān)資料所引致的錯(cuò)誤、不確或遺漏，概不負(fù)任何法律責(zé)任。
任何單位或個(gè)人認(rèn)為本網(wǎng)站中的網(wǎng)頁(yè)或鏈接內(nèi)容可能涉嫌侵犯其知識(shí)產(chǎn)權(quán)或存在不實(shí)內(nèi)容時(shí)，應(yīng)及時(shí)向本網(wǎng)站提出書(shū)面權(quán)利通知或不實(shí)情況說(shuō)明，并提供身份證明、權(quán)屬證明及詳細(xì)侵權(quán)或不實(shí)情況證明。本網(wǎng)站在收到上述法律文件后，將會(huì)依法盡快聯(lián)系相關(guān)文章源頭核實(shí)，溝通刪除相關(guān)內(nèi)容或斷開(kāi)相關(guān)鏈接。 ）