熟练的“猎手”使用新的脉冲波 DDoS 攻击来打击多个目标

在一种新型 DDoS 攻击中，熟练的恶意攻击者使用脉冲波 DDoS 攻击来利用设备优先的混合缓解解决方案中的弱点并锁定多个目标。

我们在 2017 年第二季度缓解了一些最凶猛的 DDoS 攻击，其中包括一系列以发条式连续发生的短暂爆发，脉冲波攻击是一些最凶猛的 DDoS 攻击。在最极端的情况下，它们一次持续数天并扩展到高达每秒 350 吉比特 (Gbps)。

没有逐渐增加到高峰流量首先引起了 Incapsula 的注意，因为它只用了几秒钟就达到了高峰。攻击的模式是“高度重复的”，包括“每 10 分钟一个或多个脉冲”。攻击是持久的，持续至少一个小时，但“通常一次持续几个小时甚至几天”。

该公司“以前从未见过如此迅速、如此大规模的攻击，然后又如此精确地重复。” 攻击者能够“在几秒钟内调动一个 300Gbps 的僵尸网络。这一点，再加上脉冲重复出现的准确持久性，描绘了一幅非常熟练的坏人的图景，他们表现出对攻击资源的高度控制。”

脉冲波 DDoS 攻击的工作原理以及谁容易受到攻击

Incapusla 表示，“脉冲波 DDoS 事件很可能是由熟练的不良行为者分配攻击资源以同时发起多次攻击造成的。” 每个脉冲之间的时间很可能“被用来对不同的目标进行二次攻击。借助有效的 DDoSing，可能会同时发起更多攻击——进一步提高资源利用率和攻击者的底线。”

设备优先的混合缓解解决方案容易受到脉冲波攻击。事实上，Incapsula 表示，对于由混合解决方案防御的网络而言，这些攻击是“最坏的情况”。

大多数 DDoS 攻击缓慢上升，使“设备优先混合缓解”解决方案需要几分钟的时间来完成云激活和流量故障转移。然而，脉冲波DDoS 攻击的第一个突发会立即切断所有同步并阻塞网络管道。流量高峰后，设备和云无法通信；设备无法向云发出信号以开始转移流量。“对于脉冲持续时间，整个网络完全关闭。当它恢复时，另一个脉冲又将它关闭，令人作呕。

缺乏通信也意味着设备无法提供创建攻击签名所需的信息。

脉冲波 DDoS 背后的熟练攻击者

Incapsula 认为，出于多种原因，“老练的坏演员”是脉搏波攻击的幕后推手。他们“精通技术”，足以理解缓解解决方案，并提出“利用设备弱点的特制攻击”。他们的火力也很有说服力。“非放大、多 100 Gbps 的攻击需要成熟且强大的僵尸网络。” 最后，“脉冲波攻击的发条式重复性——以及它们在几秒钟内达到峰值流量的能力——突出了犯罪者对其攻击资源的控制水平。”

在过去的几个月里，Incapsula 看到了针对游戏和金融科技公司等高价值目标的脉冲波 DDoS 攻击。不幸的是，其他不良行为者会抓住拆分攻击流量和锁定多个目标的好处，然后受到启发模仿攻击；预计目标范围将扩大。

值得注意的是，销售基于云的应用程序交付服务和 DDoS 保护的 Incapsula 建议放弃设备优先的缓解解决方案。您可以在Incapsula 的白皮书中更深入地了解脉搏波攻击。