2024年7月15日，以色列一家大型金融服務公司遭遇了一次極大規模的DDoS攻擊，這次高度復雜且高流量的攻擊持續了近24小時。據報道稱，就在同一天，以色列其他金融機構也遭遇了宕機和停機，可能同樣是由于類似攻擊和相同攻擊者所為。

延伸閱讀，點擊鏈接了解 Akamai API Security

在Akamai的幫助下，這家金融機構成功扛住了此次攻擊。Akamai將通過這篇文章分享自己觀察到的一些情報和心得體會。

攻擊分析

這次持續的大體量DDoS攻擊始于UTC時間2024年7月15日（星期一）早8:05（以色列當地時間早10:05），攻擊使用了包括UDP泛洪、UDP碎片、DNS反射和PSH+ACK在內的多種攻擊途徑。這次DDoS攻擊源于全球分布的僵尸網絡，這一點最近倒是越來越普遍了。

盡管Akamai也曾處理過峰值流量更高的攻擊，但這次針對Akamai客戶的攻擊同樣規模龐大：流量介于300到798Gbps之間。Akamai的DDoS網絡安全平臺Prolexic曾記錄過的最大DDoS攻擊流量為1.44 Tbps，雖然這次的攻擊未達到如此程度，但強度依然算很高了。簡單來說，這次攻擊是Akamai Prolexic有史以來緩解的第六大DDoS流量峰值。

更重要的是，這是一次持續的、有針對性的攻擊，幾乎持續了一整天。在最初的一次小規模試探性攻擊后，緊隨其后的是一個為期三小時的攻擊窗口，在此期間Prolexic緩解的攻擊流量總量高達389TB。在整個近24小時的攻擊持續期間，Akamai Prolexic大約阻止了419TB的流量（圖1）。

圖1：最初的小規模試探性攻擊之后是一次為期三小時的攻擊窗口

大多數DDoS攻擊的持續時間較短，通常僅幾分鐘。造成這種狀況的原因有三：首先，如果成功，即便短暫的攻擊也能長時間地癱瘓系統，并通過中斷目標公司的業務造成重大損害；其次，短時攻擊更難讓受害者的防御系統和安全工程師進行分析并做出應對；最后，短時攻擊使攻擊者更容易用更低成本調動大量計算資源，從而實施更有效的攻擊。然而，這次DDoS攻擊的主要攻擊窗口長達三小時（圖2）。

圖2：主要攻擊窗口期間的流量流動情況

攻擊資源通常來自感染了惡意軟件的計算機所組成的大規模僵尸網絡。攻擊者可以遠程控制這些計算機，并利用它們對指定的受害者發起統一攻擊。許多其他形式的網絡攻擊活動通常會無目的地隨機選擇一些系統或公司作為目標，但DDoS攻擊的不同之處在于，攻擊者會有意識地指定要攻擊的目標。

在這方面，7月15日的攻擊也不例外：它源于一個全球分布的僵尸網絡，目標是同時攻擊受害者的超過278個IP地址，借此組成一次重要的第3層和第4層橫向DDoS攻擊（圖3）。這次攻擊顯然是有目的的，似乎是以某個特定國家的多個金融機構為目標所發起的，一次有組織的攻擊浪潮的一部分。

此外，這次攻擊在總持續時間上也非常特別。持續時間長、強度高、攻擊向量多樣、規模大，同時具備這些特征的DDoS攻擊極為罕見。這需要大量資源，往往需要非常復雜的技術手段。

圖3：7月15日DDoS攻擊所針對的不同IP地址

新型DDoS造成嚴重威脅

在這次攻擊中，攻擊者顯然擁有大量資源，不僅具備發起DDoS所需的“火力”，還能花費大量時間來控制負責發起攻擊的機器大軍。更重要的是，在同一時段，相同的攻擊者可能還“捎帶手”發起了其他幾起攻擊。

因此該攻擊者及其龐大的DDoS能力必須引起大家重視——畢竟，我們不得不假設他們有能力且愿意對其他目標發起同樣強大（甚至更強）的攻擊，或對最近的受害者再次發起攻擊。以色列金融機構遭遇的攻擊已經超過一些網絡安全供應商和DDoS防護解決方案的防御能力。弱點到底在誰身上？攻擊者現在可能已經一清二楚了。

針對以色列目標發起的DDoS攻擊

根據Akamai內部的DDoS威脅情報，盡管2024年還沒結束，以色列的企業和機構就已經遭遇了有史以來數量最多的DDoS攻擊。本文所提及的金融機構自從2023年第4季度以來一直反復遭到DDoS攻擊。

在過去90天里，這位客戶共遭受了27次重大DDoS攻擊，每次都被Akamai Prolexic成功緩解。在7月15日這次創紀錄的DDoS攻擊之前，該客戶遭受的最大攻擊規模為330Gbps。

誰最可能承受攻擊風險？

盡管此次針對以色列金融機構的DDoS攻擊表明這些攻擊與地區沖突有關，但我們也無法預測如果攻擊者決定重新激活僵尸網絡并發起新一輪攻擊，誰更有可能成為新的受害者。但可以假設攻擊者仍然擁有和7月15日的攻擊相同程度的資源，甚至攻擊者在那之后還進一步擴展了自己的僵尸網絡，并提高了攻擊效率。

DDoS攻擊是通過全球互聯網發起的，因此我們還必須假設該攻擊者有能力對世界上任何地區的企業和機構發起異常強大的攻擊。無論這次攻擊的確切動機是什么，該攻擊者很可能會選擇中東以外的目標，并且這些目標可能并不僅限于金融行業。

在之前的相關研究中，Akamai的研究人員就已經觀察到：自2019年初以來，EMEA（歐洲、中東和非洲）地區的DDoS攻擊事件數量一直在上升，且峰值越來越高。研究人員分析了EMEA地區的DDoS數據，發現該地區的DDoS攻擊事件數量增長程度比其他任何地區更顯著，增速甚至超過目前整體數量全球領先的北美地區（圖4）。

圖4：EMEA地區的DDoS攻擊事件數量增速比其他地區（包括北美）更顯著

誰最可能受到攻擊的嚴重影響？

從技術角度來看，Akamai認為：如果僅使用某些基于設備的、不具備云端后備容量的本地DDoS防御系統，這樣的企業會面臨更高風險，很大概率可能無法抵御在7月15日觀察到的這種類型的攻擊。因為這類解決方案在處理攻擊流量的能力上可能存在限制，同時還要允許合法的網絡流量順利通過。

同樣，如果僅依賴托管商/服務提供商所提供的DDoS保護機制，這樣的企業也更有可能在遇到這種性質的攻擊后遭受嚴重影響。多租戶環境中的共享DDoS防御資源，這種機制通常意味著無法為單個客戶提供足夠的防御能力。

如何最大限度降低風險

Akamai建議全球企業重新審視自己的DDoS安全態勢，加強防御系統，以抵御類似7月15日這種攻擊的威脅。

事實上，成功抵御了7月15日攻擊的Akamai客戶，他們就曾重新評估過自己的DDoS防御措施，并決定轉為使用Akamai的Prolexic平臺，這一系列決策的根本原因恰恰是擔心自己先前的解決方案無法應對大規模攻擊。他們的前瞻性決定取得了回報，因為他們是此次攻擊浪潮中唯一沒有遭受持續宕機的主要金融機構之一。

六個步驟應對風險

1. 評估風險以及有的DDoS緩解服務：與DDoS防御技術供應商聯手進行全面、主動的風險評估，特別是需要考慮，對于像本文所介紹的這種極為強力且持續的攻擊，現有防御機制是否足夠。
2. 檢查關鍵子網和IP地址空間，確保具備緩解控制措施。
3. 部署DDoS安全控制措施，采取始終開啟的緩解態勢，以此作為第一道防線，避免真正遭遇攻擊后才緊急采取事后應對措施并減輕事件響應人員的負擔。
4. 通過基于邊緣的網絡云防火墻擴展安全態勢，在基本的DDoS防護之外獲得更全面的保護。在現有防火墻之前（作為額外的補充）配置邊緣網絡防火墻，這是一種強大、易于部署和使用的工具，可以快速、集中地在全球范圍內阻止不希望進入網絡或網絡內某些目標的流量。Akamai Prolexic就在DDoS防御能力中提供了網絡云防火墻，我們認為這是一項關鍵的防御能力。
5. 保護DNS基礎設施免受針對DNS的DDoS攻擊。確保部署了強大的權威DNS解決方案，如Akamai Edge DNS（無論主模式或從模式均可）。如果有本地或混合DNS基礎設施，請使用DNS代理解決方案（如Akamai Shield NS53），它可以實施動態安全控制，保護網絡免受DNS資源耗盡（NXDOMAIN）洪水攻擊。
6. 制定事件響應計劃和危機響應團隊：主動制定全面的事件響應計劃，明確在發生DDoS攻擊時所需采取的步驟。該計劃應包括角色和職責、溝通渠道以及預定義的緩解策略。另外別忘了定期更新工作手冊和緊急聯系人信息。

如果你的企業在正在遭受攻擊，或需要在Akamai的幫助下預防未來的安全風險，請立即我們。

—————————————————————————————————————————————————

如您所在的企業也想要進一步保護API安全，

點擊鏈接了解Akamai的解決方案