聚焦金融服务业风险，从容应对“不计成本”的 DDoS 攻击

大家好，欢迎来到IT知识分享网。

历经多年演变，DDoS 攻击势头逐年升级，不仅频发于电商旺季节点，而且也曾重创 DynDNS 和 GitHub 等平台。

近期，Akamai 凭借自身全球网络流量监控和长期性 DDoS 防护经验，发现 DDoS 攻击目标已从大型企业，扩散至中小型企业。面对这一全球性安全“顽疾”，我们也发现金融服务业的新趋势——DDoS 攻击愈演愈烈。

2022 H1 金融服务业 DDoS 攻击

区别于勒索攻击犯罪分子对财务收益的追逐，DDoS 攻击者对金融服务业的作案动机，也源自大量敏感数据和客户个人身份信息的价值。针对金融服务业的混合基础架构，防范 DDoS 需具备更高的成熟度和事件响应水平。

近20年来，Akamai 倾注精力帮助客户研究、控制、管理和抵御 DDoS 攻击。通过深入分析全球金融服务业海量数据，我们在2022年前两个季度，共计检测/抵御了针对149个客户数据中心的564次 DDoS 攻击事件。监测数据显示，占比35%的 DNS 泛洪属于更为常见的攻击媒介。

2022年第1季度和第2季度，金融服务业发生的网络层 DDoS 攻击数量

多媒介攻击典型案例

谈及 DDoS 攻击从单媒介演变为多媒介趋势，2022年4月某金融服务业客户的经历，便是典型的多媒介攻击事件。初始阶段约600Mbps DNS 泛洪攻击，直奔客户数据中心；攻击受阻后，随机灵活转变为 HTTPS 泛洪攻击。

4月底至5月初，该多媒介攻击出现2次高峰，持续性与爆发性可见一斑

金融服务业 DDoS 攻击的“恐怖”之处，也在于攻击者的不计成本。Akamai 经分析发现，攻击者使用了一组高度分布式源 IP，来增强攻击的灵活度，即适时改变攻击策略来消弭防御者竖起的安全屏障。如转变、增加源 IP 分布，即便造成源 IP 无法复用而激增成本。

DDoS 缘何屡屡得逞

攻击者持续得手，必然遵循着一定的具体套路。聚焦本质，当下新形态 DDoS 攻击，主要表现出如下特征：

关于 DDoS 威胁升级的3大演变

● 非仿冒数据包侵入协议

攻击资源应用非仿冒数据包较难应对，来自完全有效的网络通信。受到攻击的常见协议是 HTTP、HTTPS、API 服务，以及 DNS 等其他应用协议。

● 多媒介攻击和烟幕攻击

多媒介 DDoS 攻击，耗尽网络资源的同时，也在以 TTP（攻击的策略、技术和程序）制造“烟幕”，转移注意力，掩盖真实目标。鉴于攻击的复杂性，通常难以检测和迅速抵御。

● 人为因素同样不容忽视

互联网用户行为模式的演化，也在一定程度增加了第7层 DDoS 攻击的隐蔽性。如 Twitter 上某些攻击目标和复杂的爬虫程序，已与人类行为趋同。

打开新思路，抵御新威胁

面对第7层 DDoS 和新型 TTP（攻击的策略、技术和程序）的出现，以往针对第3层 DDoS 攻击的自动化防御手段，将不足以有效应对。企业安全部门，亟需提升速率控制的精细化程度进行深度防护。网络层攻击蔓延，应用层攻击加剧的 DDoS 新趋势下，Akamai 建议您进行如下防御准备：

新步骤：DDoS 精细化防御

● 必备评估

对业务关键型应用程序及各自的攻击面进行全面评估

● 把控风险

以保持服务“始终可用”的思路，主动实施防御策略

● 保持抵御

确保速率控制、网络列表等控制措施，处于抵御模式

● 关键防护

将关键 DNS 区域添加至 Edge DNS，化解泛洪攻击

● 及时演练

保障运行手册信息时效，对事件响应计划做桌面演练

看似 DDoS 攻击不再流行，实则无时不刻都在进化升级。伴随2022年第4季度双11、黑五、圣诞季等重要营销节点的展开，多行业均需要高度重视潜伏于安全防线外的 DDoS 威胁，并主动应变、依据实际情况调整安全策略。

为了助力金融服务等行业抗击 DDoS 风险、稳保数字资产，Akamai 将利用涵盖 Prolexic, App & API Protector, Edge DNS 等智能技术的一体化 DDoS 防护解决方案，以及全球型实时性的流量监测优势，帮助客户的安全团队，维护 IT 稳定性与网络常态运转，严守数据信息安全。