DDoS扫段攻击什么意思？扫段攻击如何处理？

概述
随着互联网的快速发展，DDoS攻击已经演变成全球性的网络安全威胁，从早期的SYNFlood攻击，到近年来兴起的各种新型反射放大攻击，DDoS攻击愈演愈烈，无论是受控主机还是攻击对象，都日益呈现出大规模化和多样化的态势。
防御技术的不断完善，攻击技术则不断进化。当前在各种防御平台、方案启用防护后，传统的DDoS攻击已经较难给目标网络造成持续性的破坏。于是近年来兴起了一种新的DDoS攻击方式，扫段攻击。扫段攻击顾名思义是对一大段IP同时或顺序地实施DDoS攻击，同时攻击的情况下每个目标IP所受攻击流量较小，全部加一起则很大；顺序攻击时，每个IP遭受攻击流量很大，但持续的时间很短，短则3秒，长的超过30秒。也可以说扫段攻击是一系列关联的DDoS攻击事件的组合，但是攻击者会对攻击目标、攻击时长，攻击频度进行不断的变化，这给传统的DDoS监测和防御提出新的挑战。
当前黑客使用扫段攻击主要是针对ISP服务提供商，此类攻击态势在近期持续存在。
 
攻击回顾
1）攻击案例
2020年1月29日凌晨，防火墙系统监测到某机房突然出现大量短时间的DDoS攻击事件，系统研判自动修正这一系列攻击事件是一次扫段攻击。安全专家跟踪分析发现，当天共发生16次扫段攻击，攻击者共计攻击了128个C段的12967个IP。
攻击首日，持续时间最长的一次扫段攻击超过了一个小时；攻击者在这次攻击中，不断变换攻击IP，每次会抽取同一C段的15个IP地址同时发动DDoS攻击，攻击类型均为SYNFlood与多种UDP反射混合。
定位扫段攻击后，通过BGP宣告被攻击IP所在的C段整体切换到另一低优线路发布路由，同时加大该线路的基础带宽，在防御的过程中，清洗与黑洞组合使用，尽可能保障业务服务正常。
 
2）攻击态势
这一波扫段攻击持续了较长时间，2月14日发生的扫段攻击次数最多，下图展示了扫段攻击的趋势：

图1 扫段攻击趋势
一次扫段攻击按传统监测统计则是一系列DDoS攻击事件的组合，其中包含大量的短时小流量攻击。我们拆分为单IP受攻击的事件进行统计分析后发现，扫段攻击次数对比传统攻击次数惊人的接近1：1000。下图展示单IP遭受的DDoS攻击态势：

图2 单一IP攻击事件趋势
 
3）攻击时长
经过统计，攻击者每次发起的扫段攻击持续时长大部分在60分钟以内，占比达到了89.7%，下图展示了扫段攻击时长分布：

图3 扫段攻击时长分布
我们提取了扫段攻击中单IP遭受DDoS攻击的攻击时长，统计分析后发现，攻击时长集中在3秒、5秒和10秒，总占比达到93.9%。

图4 单IP攻击时长分布
 
4）流量类型
本次攻击中，攻击者主要使用混合攻击的方式进行攻击，攻击类型主要为SYNFlood与多种UDP反射，反射攻击中NTP反射、SSDP反射、DNS反射和Memcached反射为主要攻击方式，占比接近50%。

图5 流量类型分布
 
技术分析
1）攻击行为
为了分析攻击者实施扫段攻击的行为方式，我们抽取了多次的攻击数据发现，攻击者很规律的使用两种攻击方式进行攻击。在攻击最频繁的14日，攻击者每次发动扫段攻击，均针对多个IP段的多个IP地址同时发起DDoS攻击，统计发现，最多的一次攻击同时针对4个IP段的443个IP地址，攻击者每次针对15个IP持续攻击5秒，攻击IP没有任何规律，完全随机，间隔2-3秒后再次发动攻击，循环攻击，直至结束。下图展示了这一攻击行为：

图6 同时攻击
我们在统计分析时也发现攻击者针对C段IP地址顺序发动攻击，每次攻击15个IP地址，持续攻击10秒，随后在间隔5秒左右，再次发动攻击，攻击IP为同IP段内递增的IP地址。规模最大的一次攻击，攻击者打满了整个C段的IP，下图展示了攻击者顺序进行攻击的行为（抽取了60个IP地址）。

图7 顺序攻击
 
2）攻击手法
我们对参与这次攻击的反射源地域分布进行统计发现，参与攻击的反射源总计高达3914654个，其中美国和中国的反射源最多。

图8 反射源TOP10
在分析活跃反射源时发现， 74%为NTP放大器，NTP反射之所以被黑客频繁利用，一方面是由于互联网上存在开放着数量庞大的NTP服务器，另一方面是NTP反射的放大效果显著，科学计算的放大倍数高达602.38倍。

图9 活跃反射源分布
攻击者重复使用的反射源占94%，安全专家推测，此次攻击来自于同一攻击团伙，攻击者倾向于反复利用固定的反射资源发动攻击。我们进一步分析了攻击者发动DNS反射与SSDP反射的攻击手法。
在DNS反射攻击中，攻击者使用ANY查询固定的域名:

图10 DNS反射响应包
在SSDP反射攻击中，攻击者使用多播查询请求”upnp：rootdevice（查询根设备）”来发动攻击:

图11 SSDP反射固定的查询请求
 
3）风险分析
兵法曰：兵无常势，水无常形。能因故变化而取胜者，谓之神。DDoS安全攻防对抗也是如此，攻击者会不断寻找防护方的弱点，防护方也需要不断研究黑客思维，探索应对黑客的方法。
扫段攻击的防御相比传统DDoS攻击缓解有较大难度的提升，目前黑客使用扫段攻击主要还是针对ISP服务提供商，对抗攻击的方法相对充分。如果黑客利用这种方式针对防护能力较弱的个人、企业等发动攻击，将极大威胁整体业务的可用性，甚至波及的范围更广，身处一线防护的同行们必须提高警惕。
 
防御建议
扫段攻击与传统DDoS相比，能够给目标服务器带来持续性的破坏,而且组织有效防御将更加复杂，因而扫段攻击越来越受到黑客青睐。建议参考以下方式提升防护能力。
A 利用上游防火墙ACL过滤功能，拦截对应攻击报文；
B 禁用不必要的UDP服务和端口，减少威胁暴露面；
C 提前接入DDoS云防护产品，有效挫败攻击阴谋；
 
感谢您的阅读，服务器大本营-技术文章内容集合站，助您成为更专业的服务器管理员！

来源：程序园用户自行投稿发布，如果侵权，请联系站长删除
免责声明：如果侵犯了您的权益，请联系站长，我们会及时删除侵权内容，谢谢合作！