針對金融服務機構的 DDoS 攻擊:大規模攻擊分析

F5 Labs 根據多個不同的數據源分析威脅和攻擊,其中一個數據源是 F5 安全運營中心 (SOC),負責向客戶提供 F5 Silverline DDoS 防護服務。

在2021年,SOC阻止了一起針對金融服務機構的大規模 DDoS 攻擊,攻擊流量峰值超過了 840 Gbps。 SOC 將數據分享給了 F5 Labs,為我們獲取有關大規模 DDoS 攻擊的洞察提供了依據。 對於此次大規模 DDoS 攻擊的特徵和來源,我們經過分析得出了以下數據:

  • 峰值流量為840 Gbps。
  • 來自 42 個不同國家/地區的用戶端遭到了此攻擊。
  • 攻擊者結合使用了SYN洪水攻擊、RST 洪水攻擊、UDP 反射攻擊和ICMP洪水攻擊等不同攻擊手段。
  • 用戶端平臺從嵌入式系統、Windows 機器到 Linux 伺服器不等。


速度快,火力大

2021 年 6 月 21 日星期一,協調世界時 (UTC) 淩晨 3 點 04 分,SOC 檢測到一場大規模 DDoS 攻擊正在向某金融服務機構襲來。 在攻擊過程中,合法流量速率保持在正常水準,約為 25 Mbps。 在高峰期,攻擊流量達到正常流量的 33,599 倍。

01八分鐘,兩個峰值

一開始,流量在經過兩分鐘的飆升后達到第一個峰值,約為 400 Gbps。 之後降至 125 Gbps,直到 UTC 3:07 左右,流量再次急劇上升,並於 UTC 淩晨 3:10 達到第二個峰值,840 Gbps。 一分半鐘后,流量回歸正常水準(圖 1)。

圖 1:DDoS 流量觀測圖。
不同的顏色表示不同的 Silverline 數據中心。

兩次峰值似乎是由於攻擊者攻擊公司功能變數名稱(而不是特定IP位址)造成的。 客戶使用具有兩個IP位址的 DNS 輪詢系統,每個IP位址都有90秒的TTL(Time To Live,存留時間)。 由於攻擊者的DNS 解析隨輪詢而變,兩個 IP 位址在短時間內同時受到了攻擊,進而出現了第二個峰值。

我們推測,這可能是因為攻擊者使用了多線程的工具,線程數量隨著 DNS 結果的變化而增加,但這個結論尚無法證明。

02 標準攻擊,數不勝數

攻擊流量的內容並沒有什麼特別之處。 攻擊者使用了 TCP 和 UDP 兩個向量,其中 TCP 向量包括SYN 和 RST 洪水攻擊。 UDP 向量主要為 DNS 請求反射攻擊。 此外,我們還觀察到一些ICMP流量,這些流量可能不是攻擊者生成的,而是其他流量的”產物”。

除了設法控制攻擊的數量之外,SOC 還使用了簡單的規避措施來保護客戶安全,包括在邊緣網路攔截UDP 及使用各種 TCP 洪水防護措施,有些措施純粹基於容量,有些則使用標準 SYN cookie 技術,還有一些是按客戶端跟蹤特定的用戶端流量。



客户端分析

全球多個 Silverline 資料中心都觀察到了攻擊流量。 這表明流量來自多個不同國家/地區的多個不同設備,並使用典型的互聯網路由到達目標。

在 Silverline 員工的説明下,F5 Labs 檢索了一小部分受攻擊 IP 位址的樣本,以進行深入調查。 雖然我們獲得的數據集很小(只有 282 個唯一 IP 位址),但它們揭示的資訊卻引人深思。 需要注意的是,這個小型數據樣本僅包含 Silverline 基礎架構的特定設備日誌中出現的 IP 位址。 我們的樣本很可能還不到受攻擊IP位址總數的0.1%。 我們沒有獲得 UDP 流量的相關數據,因為該流量已被攔截,並未達到收集此樣本的網路位置。

從這 282 個 IP 位址顯示的連接數來看,數據還是非常有限的。 在攻擊期間,我們觀察到1,304個TCP連接和680個ICMP連接。

01 既統一 又分散

總流量排名前十位的國家/地區是美國、中國大陸、韓國、德國、荷蘭、中國臺灣、日本、英國、中國香港和澳大利亞,占我們所觀察到的流量的80.6%(圖 2)。 這些國家/地區都擁有穩健的現代互聯網連接。

圖 2:十大來源國家/地區(按總流量)。

我們觀察到的其餘 19.4% 的流量更加分散。 有些流量來自西歐和東歐的幾個國家/地區,有些流量來自波札那、哈薩克、伊朗、伊拉克、納米比亞和盧安達等不太常見的國家/地區(見圖 3)。

圖 3:其他來源國家/地區(按總流量)。

我們觀察到,每個國家/地區的唯一IP位址數量也存在類似的模式,幾乎還是這十個國家/地區佔受攻擊IP位址的77.3%(圖4),其餘22.7%同樣來自其他不同國家/地區(圖 5)。

圖 4:唯一 IP 位址數量排名前十的國家/地區。
圖 5:唯一 IP 位址的其他來源國家/地區。

我們研究並分析了特定IP位址的網段擁有者,發現大多數受攻擊的IP位址都屬於”MICROSOFT-CORP-MSN-AS_BLOCK”擁有的網段,該網段共包含47個IP位址 (16.6%)。 網段擁有者總計超過102個,其中63個擁有者只擁有一個IP位址。

客戶端IP位址研究結果

我們研究了多個受攻擊的IP位址。 雖然不少IP位址已經下線或缺乏資訊,但我們仍然能夠從中窺探一二。 在這些可以挖出更多數據的IP位址中,有8個被識別為Linux,2個為Windows 7或8,1個為Windows Server 2008 實例,35個為”MikroTik RouterOS 6.44.1″。

雖然這些樣本不夠全面甚至不夠準確,但我們可以據此推測,攻擊者利用了MikroTik RouterOS中的某些特定漏洞。 此處的MikroTik RouterOS版本存在幾個公開可用的漏洞,稍有不慎便會引發入侵。但是,攻擊者也極有可能只使用身份驗證暴力破解開放埠,或組合使用兩者來入侵這些設備。



結語

在這個具體的真實案例中,攻擊者使用了已知的標準技術來實施大規模 DDoS 攻擊,淺層原因是這些技術仍然好用。 受攻擊的IP位址來自世界各地的設備,它們可能是一個主要由用戶端電腦、路由器軟體和偶爾的伺服器組成的殭屍網路。

為此,我們得出結論,對於這個殭屍網路的召集人來說,互聯網是”扁平化”的,也就是說,他們並不在乎攻擊的是什麼設備或設備是什麼功能,甚至也不在乎整個互聯網基礎架構的狀態。 所謂「廣撒網,多捕魚」,他們只看規模,不看設備特性或位置。

這種方法可以產生每秒近 1TB 的協同攻擊,所有人都不應小覷。 攻擊規模和頻率正在不斷上升(請參閱 2020 年 DDoS 攻擊趨勢),並且未來可能會繼續上升。



建議

F5 Labs 建議至少使用以下技術來應對 DDoS 攻擊。

1跟蹤流量值,建立基線。

2設置異常流量告警(例如大量的 TCP RST)。

3評估目前可以應對常見 DDoS 攻擊向量的防護措施。

4考慮使用第三方服務來擴大頻寬容量和提高防護能力。


關於作者

Malcolm Heath
F5 Labs資深威脅研究員

Malcolm Heath 是 F5 Labs 的資深威脅研究員,曾任職多家公司,從事有關事件回應、程式管理、滲透測試、代碼審核、漏洞研究以及漏洞利用程式開發的工作。 在加入 F5 Labs 之前,他是 F5 SIRT 的進階安全工程師。