安全公司Qrator Labs在9月1日,侦测并成功缓解一场目前观测到最大规模应用层L7 DDoS攻击,目标为政府机构,参与来源累积达576万个IP。这场攻击采两阶段调度,先投入约280万个IP,约1小时后再增加约300万个IP,显示其指挥与扩编能力成熟,能在短时间内提升压力与覆盖面。
该僵尸网络在半年3度出手且持续扩张,受害面向由线上服务延伸至政府领域。研究人员指出,今年3月26日,僵尸网络首次现形,锁定线上博弈企业,当时约有133万个IP参与,5月16日,再度攻击政府部门,规模已扩至约460万个IP,9月1日第3次针对政府部门行动,这次累积动员576万个唯一IP。
9月这场应用层L7 DDoS攻击的地理分布,恶意IP主要集中在巴西、越南、美国、印度与阿根廷。与前两次相比,越南与印度的参与IP数增长幅度明显,分别增加83%与202%,显示该僵尸网络在不同区域的渗透速度不一,且可能同时动员住宅网络、数据中心与开放代理等多类型节点。
L7攻击的破坏力并非以Tbps或封包数衡量,而是以每秒请求数与应用端资源消耗为主,当大量请求模模拟实用户路径并跨多个URI时,常见的缓存与固定规则WAF容易失去效果,瓶颈会落在前端连接维持、TLS终结、应用线程与数据库连接池。
Qrator Labs首席技术官Andrey Leskin表示,这类僵尸网络在未受保护或保护薄弱的环境中,能在短时间内产生每秒数千万次请求,使服务器于数分钟内丧失可用性,也非所有供应商都有能力承受同时面向多客户的大规模L7洪水攻击。
这类应用层请求洪水只是DDoS攻击的一种形态,近期在网络层同样出现极端案例,9月初Cloudflare也曾公开自动拦截了一场高达11.5 Tbps的UDP洪水攻击,封包速率一度达到5.1 Bpps。与L7攻击相比,这类L3/L4层带宽型洪水并非模模拟实用户行为,而是通过庞大的流量量级压垮网络与设备。
