F5 于 2022 年推出了分布式云服务,为需要可作为服务使用的基于边缘的安全性的企业组织提供 Web应用和 API 保护。 在当今互联互通的世界中,网络威胁日益增多,企业必须做好准备,保护其关键基础设施免受新出现的攻击类型的侵害。 最常见的网络攻击类型之一是分布式拒绝服务 (DDoS) 攻击,它甚至可以摧毁最大的网站和在线服务。
最近,一个名为Killnet的著名亲俄黑客组织对一家大型欧洲组织发动了复杂的 L7 DDoS 攻击。 此次攻击的目的是通过大量流量压垮该公司的服务器,使用户难以访问该网站,攻击流量峰值达到 120K RPS。 然而,得益于F5 安全运营中心(SOC) 的努力以及 F5 分布式云服务的先进 DDoS 缓解功能,此次攻击正在被成功缓解,并且该网站在整个攻击期间仍保持正常运行。 此次攻击是该组织过去几周发起的多次 DDoS活动的一部分。
笔记: 这是一次持续了一周多的主动攻击活动,在撰写这篇博文时,我们正在成功缓解这些攻击。
此次特定的 DDoS 攻击源自全球多个地点。 上图中的灰点表示攻击来源,红色框表示F5全球网络接入点,应用程序的攻击流量在这些接入点被过滤,而合法流量则被允许。
Killnet 攻击的主要特征之一是其关注应用层 (L7)。 这些攻击特别难以检测和缓解,因为它们通常涉及模仿正常用户行为(使其难以与合法流量区分)、多种应用攻击媒介以及重组能力——包括循环遍历不同的源位置、IP 和其他攻击组件。
尽管攻击流量来源分布在 35 个不同的 IP 地址和 19 个国家/地区,但攻击流量仅来自 3 个不同的 TLS 指纹。 我们发现 72% 的攻击流量源自 1 个 TLS 指纹,如上图所示。 该指纹与Tofsee 恶意软件有关,感染 Tofsee 的系统被用作 DDoS 僵尸网络的一部分。
F5 SOC 正在采用多种策略来防御攻击,包括流量过滤、IP 智能和速率限制。 这使得团队能够识别和阻止恶意流量,同时允许合法流量继续到达网站。 成功缓解的另一个关键因素是团队使用实时威胁情报和 L7 DDoS 自动缓解功能,该功能可实时阻止此类攻击的各个元素,无需人工参与。 这些信息使团队能够领先于攻击者,并随着攻击在不同地域、不同 IP 地址和新攻击路径上演变时快速调整防御措施。
Killnet 和其他组织成功缓解了 L7 DDoS 攻击,代表着一种新常态——请在我们的F5 Labs 2023 年 DDoS 攻击趋势报告中查看更多 DDoS 攻击见解。 这次攻击回顾强调了建立多层安全基础设施和一支训练有素、随时准备提供实时支持的安全团队的重要性。 通过结合使用流量过滤、速率限制、基于云的 DDoS 清洗、实时威胁情报和完善的灾难恢复计划,组织可以保护自己免受针对其基础设施和应用的最复杂的 DDoS 攻击。
如果您遭遇破坏性攻击并需要紧急加入 F5 分布式云服务,请联系我们的紧急支持热线: (866)329-4253 或 +1 (206) 272-7969