就在上个月，国际新闻报道了有史以来最大的DDoS攻击之一。这次袭击的目标是一家大型欧洲银行，它产生了8.09亿数据包/秒(Mpps)。这是以 PPS
为中心的攻击的新行业记录，其规模是之前攻击的两倍多。A10 Networks 最近发布了其2020年第2季度：DDoS武器状态报告，基于其跟踪的大约 1000 万个仅有源地址，该报告更揭示了 DDoS 攻击的严重性、分布式性质以及企业在成功防御时可以借鉴的主要趋势和观察。

　　一、DDoS 僵尸网络代理

　　在黑客世界，IoT (物联网)设备和 DDoS 攻击完美匹配。智能手表、路由器和摄像机等 IoT
设备现在通常受到恶意软件的感染，并受恶意参与者的控制，用以发起灵活的 DDoS
攻击。DDoS防护研究人员积累了在这些攻击中反复使用的主机的知识，扫描那些显示受恶意软件感染的特征，在 DDoS 攻击下，这些特征值得谨慎对待。

　　二、恶意软件扩散

　　由于 IoT 设备容易受到攻击，这主要是由于设备缺乏必要的内置安全性来应对威胁，这使得威胁参与者有机会通过远程代码执行 (RCE)
漏洞集合和设备供应商的默认用户名和密码列表来攻击这些设备，以不断增加 DDoS
攻击的规模和强度。相关DDoS武器情报系统每小时可在互联网上检测数十万个事件，从而深入了解顶级物联网漏洞和攻击能力。

　　其中一个关键报告发现突出显示了在基于 IoT
的不同攻击和漏洞之后，数千个恶意软件二进制文件被丢弃到系统中。在攻击中最常见的恶意软件家族中，有以下：Gafgyt 家族、Dark Nexus 家族和
Mirai 家族。这些恶意软件的相关二进制名称分别是 arm7 、Cloud.x86、mmmh.x86。

　　深入挖掘我们本季度看到的二元特征和行为，"arm7"，我们发现攻击类型有多种形式，包括但不限于 TCP 洪水、HTTP 洪水和 UDP
洪水。为了减轻这些攻击，需要通过了解和反向设计攻击工具包来建立对这些 DDoS 武器的牢固理解。

　　三、放大攻击

　　当涉及到大规模 DDoS 攻击时，放大反射是最有效的。例如，当攻击者向 Internet 公开的服务器发送大量具有欺骗受害者的 IP
地址的小请求时。服务器对不知情的受害者做出放大的回应。这些特定服务器之所以成为目标，是因为它们应处理未经身份验证的请求，并且正在运行具有放大功能的应用程序或协议。

　　最常见的攻击类型可以使用数百万个公开的 DNS、NTP、SSDP、SNMP 和基于 CLDAP UDP
的服务。这些攻击导致了破纪录的批量攻击，例如最近 2020 年第 1 季度基于 CLDAP的 AWS 攻击，该攻击的峰值为 2.3 Tbps，比之前的记录保持者
2018 年基于 1.35 Tbps Memcached 的 GitHub 攻击高出 70%。虽然 CLDAP 没有进入在第二季度的放大攻击武器的前 5
名，但是相关系统记录到 15651 个潜在的 CLDAP 武器。这使得它成为本季度最高放大攻击武器的一小部分，即 Portmap，其中每个 CLDAP
武器。AWS 攻击表明，即使这种小比例攻击面也具有生成非常大规模的 DDoS 攻击的潜力，防止这些攻击的仅有方法就是主动跟踪 DDoS 武器和潜在漏洞。

　　四、DDoS攻击防护

　　每个季度，国际 DDoS
攻击研究的发现都指向一件事：需要提高安全性。如果你面向香港、亚太区级海外用户群，建议启用香港高防服务器、香港高防IP或美国高防服务器。香港高防服务器、高防IP和美国高防服务器基于智能攻击检测和清洗系统，整合先进的
DDoS 武器情报，结合实时威胁检测和自动签名提取，能够抵御大规模的多向媒介 DDoS 攻击，无论攻击来自何处。通过创建基于 DDoS 僵尸网络 IP
地址和通常用于 DDoS 攻击的可用易受攻击服务器的当前和准确源的黑名单，从而能够对 DDoS 防御采取主动方法。DDoS
攻击不会消失，现在是企业将攻击者的成熟度与更强的防御相匹配的时候，尤其是在物联网和 5G 等新技术继续获得进一步势头的时候。