黄网在线观看免_先锋影音欧美在线_97zyz超碰最新总站_国产中文无码日韩

從2016年開始，NETSCOUT ASERT觀察到對手針對整個CIDR塊而不是單個IP地址發(fā)起DDoS攻擊，這種現(xiàn)象被稱為地毯式轟炸DDoS攻擊（也稱之為掃段攻擊）。地毯式轟炸是一個軍事用語，指像在地板上鋪地毯一樣地使用大量的無制導(dǎo)炸彈覆蓋轟炸某一地域，殺傷和摧毀該地域的人員、裝備。在DDoS攻擊領(lǐng)域，地毯式轟炸這種目標(biāo)方法旨在使防御者檢測和分類入站的DDoS攻擊更具挑戰(zhàn)性，因為大多數(shù)DDoS防御系統(tǒng)僅依賴于為特定主機(jī)設(shè)置的每秒包數(shù)（pps）和/或每秒比特數(shù)（bps）閾值來檢測入站DDoS攻擊流量。而地毯式轟炸DDoS攻擊通過將攻擊流量分散到一個或多個更大的子網(wǎng)或超級網(wǎng)絡(luò)，攻擊者希望避免觸發(fā)DDoS攻擊警報，使防御者了解他們受到攻擊的能力復(fù)雜化，并使他們更難以緩解這些攻擊，以及混淆攻擊的預(yù)期目標(biāo)。迄今為止觀察到的幾乎所有地毯式轟炸攻擊都使用了眾所周知的反射/放大DDoS攻擊載體，如DNS、NTP和TCP反射/放大。

利用TCP反射/放大的地毯式轟炸攻擊已被用于針對無線和有線寬帶接入網(wǎng)絡(luò)，缺乏高級DDoS防御系統(tǒng)的防御者可能會發(fā)現(xiàn)，很難將入站的攻擊流量與出站的Web瀏覽和其他普通用戶活動的合法響應(yīng)區(qū)分開來。最初，這些攻擊只針對少數(shù)幾個國家，但迅速擴(kuò)展到世界其他地區(qū)。

分析

為了識別地毯式DDoS攻擊，NETSCOUT的ASERT團(tuán)隊不僅分析來自ATLAS Visibility程序的DDoS攻擊警報，還分析了專門配置的DDoS反射/蜜罐，這為我們提供了對攻擊動態(tài)的詳細(xì)了解。這種對全球地毯式攻擊的可見性使我們能夠在產(chǎn)品特性和增強方面做出明智的決定，以對抗這種技術(shù)。此外，我們使用收集到的數(shù)據(jù)來詳細(xì)了解攻擊的特征，我們將在下面進(jìn)行分析描述。

地毯式轟炸攻擊的規(guī)模

DDoS攻擊者用來攻擊目標(biāo)的最常見的方法是對他們選擇的單個IP地址發(fā)送他們可以啟動的最大攻擊。幾十年來，這一直是主要的選擇，導(dǎo)致大多數(shù)DDoS解決方案通過基于主機(jī)的監(jiān)控來解決這個問題，但這不足以檢測和緩解大多數(shù)的地毯式攻擊。如果攻擊者要對單個主機(jī)發(fā)起100 Gbps的攻擊，世界上幾乎每個服務(wù)提供商都可能在流量到達(dá)目標(biāo)之前檢測到并緩解流量。然而，如果同一個攻擊者決定使用地毯式轟炸技術(shù)，他們?nèi)匀豢梢园l(fā)動100 Gbps的攻擊，但同時針對的是1000臺主機(jī)，這將導(dǎo)致每臺主機(jī)接收到12.5 Mbps的流量，避免了DDoS檢測系統(tǒng)中幾乎所有的帶寬閾值，但導(dǎo)致網(wǎng)絡(luò)上的整體流量相同。雖然攻擊者想要摧毀的特定主機(jī)可能不會遭受到整個流量洪流，但由于地毯式DDoS 使整個CIDR塊飽和，整個網(wǎng)絡(luò)可能會遭受降級或中斷。

地毯式轟炸攻擊的持續(xù)時間

這些攻擊大多是相對短暫的，其中高達(dá)90%的攻擊會持續(xù)一分鐘。出于避免攻擊被檢測到的愿望，以及用于啟動它們的DDoS租用服務(wù)的經(jīng)濟(jì)性，都可能導(dǎo)致短時間攻擊的流行。大多數(shù)Booter/Stresser服務(wù)允許以合理的價格（有時是免費的）對單個主機(jī)進(jìn)行攻擊，然而，沒有多少能夠在不支付額外費用的情況下同時瞄準(zhǔn)多個目標(biāo)IP。因此，許多持續(xù)時間較長的攻擊可能是由更老練、更持久的攻擊者實施的，而不是投機(jī)取巧的玩家試圖讓對手離線。當(dāng)然，也有例外，我們看到一次攻擊持續(xù)長達(dá)24小時。

地毯式轟炸的攻擊頻率和目標(biāo)

NETSCOUT的反射/放大蜜罐平均每天看到6000次地毯式DDoS攻擊，這意味著自2023年7月以來超過40萬次地毯式轟炸攻擊，這是一個保守的數(shù)字，因為我們在本分析中只考慮了非TCP反射/放大地毯式轟炸攻擊。此外，我們的ATLAS系統(tǒng)平均每天對大約740次高帶寬地毯式轟炸攻擊進(jìn)行分類（如圖1）。雖然這與我們的反射/放大蜜罐觀察結(jié)果相比似乎很小，但請注意，ATLAS系統(tǒng)主要分析的是服務(wù)提供商網(wǎng)絡(luò)中生成的警報，其中帶寬閾值可能僅在單個主機(jī)接收到多Gbps的特定類型的反射/放大DDoS攻擊流量后才會觸發(fā)。

圖1：ATLAS觀測到的地毯式轟炸攻擊數(shù)量

在每次地毯式攻擊中，我們看到平均數(shù)百臺主機(jī)被攻擊，但我們也看到在一次攻擊中多達(dá)8000個IPv4地址被攻擊。我們經(jīng)常在全球范圍內(nèi)觀察到地毯式轟炸，反射/放大攻擊在Tbps范圍內(nèi)。經(jīng)過與客戶的對話和對同行報告的分析，ASERT達(dá)成了共識：2023年地毯式轟炸襲擊的數(shù)量大幅增加，每年的增幅從30%到50%不等。

地毯式DDoS攻擊是一個全球性的問題，影響到許多不同的國家，有一些突出的目標(biāo)。從2023年下半年到2024年，美國、巴西、香港和中國大陸最常成為地毯式轟炸的目標(biāo)。（如圖2和圖3）

圖2：由NETSCOUT蜜罐觀察到的不同時段地毯式轟炸攻擊目標(biāo)

圖3：由ATLAS系統(tǒng)觀察到的的不同時段地毯式轟炸攻擊目標(biāo)

結(jié)論

地毯式DDoS攻擊帶來了DDoS檢測和緩解的范式轉(zhuǎn)變。這種攻擊的目標(biāo)方法跨越了全球的目標(biāo)，并運行了不同的載體范圍，使它們成為一個非常危險的威脅，需要特別注意作為威脅來消除。NETSCOUT Sightline/TMS DDoS防御解決方案的最新創(chuàng)新使服務(wù)提供商能夠應(yīng)用新的檢測機(jī)制來檢測日益增長的地毯式轟炸攻擊。像AED這樣的始終在線的解決方案提供了實時的數(shù)據(jù)包級別的保護(hù)，以防止這些攻擊。地毯式轟炸無處不在，我們必須確保有足夠的保護(hù)措施來應(yīng)對這些飽和網(wǎng)絡(luò)帶寬的分布式攻擊。