DDoS攻击手段发生重大转变 网络空间面临未知威胁

2023年第一季度，DDoS攻击手段出现重大转变。攻击开始攻陷破坏的虚拟专用服务器(VPS)，而非传统的受感染物联网设备。这标志着DDoS攻击力度出现质的飞跃，网络空间安全迎来新的挑战。网络空间测绘技术可以探测、采集、分析和处理网络空间数据，识别网络设备、服务和资源，绘制“网情地图”，为准确分析网络空间安全态势提供支撑。

面对传统的DDoS攻击力度的提升，网络空间测绘技术可以提供助盾1.攻击者通过控制大量僵尸网络主机，可以发动DDoS攻击。每一个僵尸网络主机都对应一个IP地址，攻击者可以通过这些IP地址向目标网站或服务器发起大量数据请求，造成流量洪峰，实现拒绝服务攻击。2.攻击者通常会伪造或随机生成这些IP地址，以掩盖自己的真实身份和位置。这使得僵尸网络攻击变得隐蔽和难以追查。要找到攻击源头，必须通过网络流量分析和网络空间测绘，准确定位每一个IP地址背后的真实网络设备。

3.IP地址也是网络空间测绘的关键数据。通过分析IP地址的归属、分布和活动特征，可以判断哪些IP地址存在异常，是否属于僵尸网络的一部分。这需要对全网IP地址进行广泛而持续的监测，构建IP地址活动判定基准，方能发现异常现象。4.攻击者会不断更换和更新僵尸网络中使用的IP地址，以逃避检测。这使得追踪僵尸网络变得异常困难。要想有效清除僵尸网络，必须找到其控制中心，切断攻击者与僵尸网络的联系。通过IP地址溯源，找到僵尸网络背后的“代理服务器”或“指挥控制中心”。但是近年来，攻击者开始使用更强大的云计算资源发动DDoS攻击，这使得每一个僵尸网络节点(IP地址)的攻击力度大大提高。要有效抵御这类攻击，必须采取更为强力的流量过滤手段，同时加强对云IP地址的监测，尽早发现异常。

根据互联网安全公司Cloudflare报告，新一代僵尸网络开始放弃构建大量薄弱物联网设备的策略，转而利用泄露的API凭据或已知漏洞控制VPS服务器。这使得黑客可以更轻松构建强度高达5000倍的僵尸网络。

Cloudflare数据显示，今年第一季度DDoS活动稳定，同比勒索DDoS攻击增加60%，占所有报告攻击的16%。VPS具有独立的操作系统和开放的网络环境，这使得DDoS攻击者可以发动更为强大和持久的攻击。 每一个VPS还对应一个独立的IP地址，这使得攻击起来变得更加匿名，更难以追查。

一旦DDoS攻击来自VPS，其带来的流量可以达到400Gbps以上，这将使很多防护系统瘫痪。面对新型网络威胁，我们必须采取技术手段和管理手段相结合的应对策略：第一，云服务商加强VPS的审核，避免VPS被用作攻击工具。第二，网络流量分析系统应引入针对VPS的检测机制。第三，我们应加强对VPS IP地址的监测，一旦发现可疑攻击，及时定位和清理。IP地址在网络空间中起到桥梁作用，是网络设备、流量、攻击等各种要素之间的纽带。全面分析IP地址活动特征，是启动网络空间测绘，确保网络安全的第一步。网络空间测绘全面的技术支持，可以帮助发现VPS IP地址背后的真实地理位置、网络设备和拓扑结构。

在本季度，Cloudflare 记录新的DDoS新兴趋势：1.基于SPSS（统计产品和服务解决方案）的 DDoS 攻击环比增加 1，565%。这是由于利用 Sentinel RMS 许可证管理器服务中的两个缺陷（CVE-2021-22731 和 CVE-2021-38153）发起反射 DDoS 攻击而引发的。2.DNS放大DDoS攻击环比增长958%，攻击者利用DNS基础设施缺陷产生大量流量。3.基于GRE（通用路由封装）的 DDoS 攻击每季度增加835%，攻击者滥用 GRE 协议向受害者的网络发送垃圾请求。网络环境变化超乎想象，我们必须时刻保持警惕。DDoS攻击力度的提高警示我们，必须行动起来，坚定不移，共同构筑网络安全的天幕。这需要各方的通力合作，也离不开网络空间测绘技术的助盾。我们必须与时俱进，才能守护住这个地球村。报告及数据来源：https://blog.cloudflare.com/ddos-threat-report-2023-q1/