博客

F5 分布式云服务抵御新兴的 L7 DDoS 攻击

Sudhir Patamsetti 缩略图
苏迪尔·帕塔姆塞蒂
2023 年 2 月 10 日发布

F5 于 2022 年推出了分布式云服务,为需要可作为服务使用的基于边缘的安全性的企业组织提供 Web应用和 API 保护。 在当今互联互通的世界中,网络威胁日益增多,企业必须做好准备,保护其关键基础设施免受新出现的攻击类型的侵害。 最常见的网络攻击类型之一是分布式拒绝服务 (DDoS) 攻击,它甚至可以摧毁最大的网站和在线服务。

最近,一个名为Killnet的著名亲俄黑客组织对一家大型欧洲组织发动了复杂的 L7 DDoS 攻击。 此次攻击的目的是通过大量流量压垮该公司的服务器,使用户难以访问该网站,攻击流量峰值达到 120K RPS。 然而,得益于F5 安全运营中心(SOC) 的努力以及 F5 分布式云服务的先进 DDoS 缓解功能,此次攻击正在被成功缓解,并且该网站在整个攻击期间仍保持正常运行。 此次攻击是该组织过去几周发起的多次 DDoS活动的一部分。

笔记: 这是一次持续了一周多的主动攻击活动,在撰写这篇博文时,我们正在成功缓解这些攻击。

此次特定的 DDoS 攻击源自全球多个地点。 上图中的灰点表示攻击来源,红色框表示F5全球网络接入点,应用程序的攻击流量在这些接入点被过滤,而合法流量则被允许。

Killnet 攻击的主要特征之一是其关注应用层 (L7)。 这些攻击特别难以检测和缓解,因为它们通常涉及模仿正常用户行为(使其难以与合法流量区分)、多种应用攻击媒介以及重组能力——包括循环遍历不同的源位置、IP 和其他攻击组件。

发起攻击的主要来源 IP。 攻击流量遍布全球多个分布式 IP 地址。
此攻击场景中造成大部分攻击流量的 TLS 指纹。

尽管攻击流量来源分布在 35 个不同的 IP 地址和 19 个国家/地区,但攻击流量仅来自 3 个不同的 TLS 指纹。 我们发现 72% 的攻击流量源自 1 个 TLS 指纹,如上图所示。 该指纹与Tofsee 恶意软件有关,感染 Tofsee 的系统被用作 DDoS 僵尸网络的一部分。

攻击者利用不同的地理位置,希望找到地理位置保护的漏洞。
攻击期间针对的是不同的 HTTP 方法和 URL 组合。

F5 SOC 正在采用多种策略来防御攻击,包括流量过滤、IP 智能和速率限制。 这使得团队能够识别和阻止恶意流量,同时允许合法流量继续到达网站。 成功缓解的另一个关键因素是团队使用实时威胁情报和 L7 DDoS 自动缓解功能,该功能可实时阻止此类攻击的各个元素,无需人工参与。 这些信息使团队能够领先于攻击者,并随着攻击在不同地域、不同 IP 地址和新攻击路径上演变时快速调整防御措施。

Killnet 和其他组织成功缓解了 L7 DDoS 攻击,代表着一种新常态——请在我们的F5 Labs 2023 年 DDoS 攻击趋势报告中查看更多 DDoS 攻击见解。 这次攻击回顾强调了建立多层安全基础设施和一支训练有素、随时准备提供实时支持的安全团队的重要性。 通过结合使用流量过滤、速率限制、基于云的 DDoS 清洗、实时威胁情报和完善的灾难恢复计划,组织可以保护自己免受针对其基础设施和应用的最复杂的 DDoS 攻击。

如果您遭遇破坏性攻击并需要紧急加入 F5 分布式云服务,请联系我们的紧急支持热线: (866)329-4253 或 +1 (206) 272-7969