F5 Silverline 缓解创纪录的 DDoS 攻击
概述
恶意攻击的规模和复杂性不断增加,威胁着摧毁和破坏全球企业的内部资源。 通常,这些攻击将大容量流量与隐秘、低速、慢速、针对应用程序的攻击技术相结合,由自动僵尸网络或人工工具提供支持。
随着这些攻击的频率和中断成本不断上升,全面、分层的防御对于减轻这些攻击的重要性现在变得至关重要。 全球各地的企业都需要先进的基于云的缓解措施,并配备技术资源、基础设施和先进的防御工具,才能赢得这场不断演变的战斗。
DDoS 攻击持续升级
从 F5 Labs 的“2020 年 DDoS 攻击趋势”文章中可以清楚地看出,发起大规模、大容量分布式拒绝服务 (DDoS) 攻击所需的能力正在以前所未有的速度继续变化。 多年来,F5 Silverline 见证了 DDoS 攻击规模的稳步上升,多次攻击记录峰值达到约 500 千兆位每秒 (Gbps)。 自2020年初以来,大规模袭击的频率有所增加。 2021 年 6 月,攻击缓解量创下了新纪录,达到 840 Gbps。
根据 F5 Silverline 收集的数据,2021 年,恶意行为者每次 DDoS 攻击平均利用 2.7 个攻击媒介。 主要 DDoS 攻击媒介包括:
- TCP/SYN 洪水攻击
- UDP DNS 反射
- UDP 洪水攻击
- IP/UDP 碎片
- CHARgen 反射
鉴于发起大规模、多向量 DDoS 攻击的难度正在迅速增加,2021 年 6 月的记录并没有持续多久。 2021 年 7 月,F5 Silverline 成功缓解了多次攻击。 总体而言,这些攻击的峰值约为每秒 1.2 太比特 (Tbps)。 这些 DDoS 攻击中最大的一次峰值约为 1.15 Tbps,如下图所示:
实时 DDoS 防护
当今的 DDoS 攻击迅速扩大到无法预见的规模,并且没有任何预警。 因此,快速响应、沟通和对客户的详细了解(尽量减少误报结果)对于缓解这些事件至关重要。
此次破纪录的 1.15 Tbps 攻击主要通过 UDP Flood 生成,以实现容量影响,并同时针对客户 /24 C 类子网中的每个 IP。 F5 Silverline 安全运营中心团队立即对该情况展开调查,并向每个 DST 主机的 F5 Silverline 专有流量行动器、收集器和检测机制发出警报。 这些通知和警报几乎实时地被标记到 F5 Silverline 的 24x7 安全运营中心。
在这次特定攻击中,恶意攻击流量在不到一分钟的时间内从 0 增至 800 Gbps,同时袭击了大约 250 个目标。 F5 Silverline 安全运营中心采取的对策主要是在与客户快速建立通信并得到客户确认其不希望在某些主机/端口上使用 UDP 后,阻止 proto UDP 和相关端口范围。
F5 Silverline 事件响应基于每个客户的实时事件程序 (RTIP)。 F5 Silverline 不断调整和优化客户对其关键资产的防御态势。 这包括应用安全(L7 DDoS、WAF、IPI)和基础设施(L3/L4 容量 DDoS)防御层。
在成功缓解此次攻击后,F5 Silverline 使用 BGP Flowspec 在 F5 Silverline 全球分布的 IP Anycast 网络内进一步上游应用了额外的对策。
“F5 Silverline 不断调整和优化我们客户对其关键资产的防御态势。”
承运人关系的重要性
F5 Silverline 在 F5 Silverline 全球分布的 DDoS 缓解云中使用至少五家一级运营商来确保可扩展性、冗余性、性能和安全性。
F5 Silverline 的优势在于其与运营商的关系以及其安全运营中心的专业知识,该中心利用 F5 专有和混合的最佳 DDoS 缓解工具集。 这些措施共同提供了阻止互联网上有史以来最大规模、最复杂的 DDoS 攻击的能力和机制。
结论: 强势防守才是最佳进攻
随着 DDoS 攻击的规模和复杂性不断增长,全球各地的组织需要多层保护来阻止这些攻击进入企业网络。 F5 Silverline 托管安全服务可以检测并缓解最大规模的 DDoS 攻击,为任何地方的每个应用程序部署安全服务,无需对 IT 基础设施和支持进行前期投资。