亞馬遜稱其AWS Shield 服務(wù)在今年2月中旬成功攔截了2.3 Tbps的DDOS攻擊，這是史上最大規(guī)模的DDOS 攻擊，上次最大規(guī)模的DDOS攻擊記錄是2018年3月的1.7 Tbps。

AWS Shield近日發(fā)布了2020年1季度的威脅圖譜報(bào)告，報(bào)告詳述了AWS Shield保護(hù)服務(wù)檢測和攔截到的web威脅和攻擊活。AWS Shield 是種托管式DDoS防護(hù)服務(wù)，提供持續(xù)檢測和內(nèi)聯(lián)緩解功能,能夠縮短應(yīng)用程序的停機(jī)時(shí)間和延遲，有效的保護(hù)AWS上應(yīng)用程序的云安全。

2020年1季度DDOS攻擊分析

2020年1季度研究人員發(fā)現(xiàn)了一個(gè)新的UDP反射向量——CLDAP反射。CLDAP (Connection-less Lightweight Directory Access Protocol，無連接的輕量級目錄訪問協(xié)議) 是一種老版本的LDAP協(xié)議，用于連接、檢索和修改互聯(lián)網(wǎng)上共享的目錄。該協(xié)議自2016年開始被濫用于DDoS 攻擊活動(dòng)中，CLDAP 服務(wù)器可以將DDoS 攻擊的流量放大56到70倍，因此被黑客廣泛應(yīng)用于提供DDoS-for-hire 服務(wù)。

下圖是2020年1季度AWS 檢測到的最大的網(wǎng)絡(luò)流量攻擊事件，其中99%的事件流量為43 Gbps。

AWS發(fā)現(xiàn)的第二個(gè)最常見的DDOS 攻擊向量是SYN 洪泛。該向量允許攻擊者在攻擊的過程中生成大量的流量。SYN 洪泛很容易被欺騙，也就是說通過攔截源IP 地址基本不可能實(shí)現(xiàn)。而且，SYN 洪泛包都很小，因此很難攔截。此外，每個(gè)SYN 包都可以被應(yīng)用翻譯成新的連接。SYN洪泛從字節(jié)來看比UDP 反射攻擊要小，但是從包上來看，比UDP 反射攻擊的量大。

下圖是AWS 2020年1季度最大的網(wǎng)絡(luò)流量攻擊事件的包數(shù)量：

TCP反射是2020年1季度DDOS攻擊的另一個(gè)攻擊向量。TCP反射與SYN洪泛類似，區(qū)別在于使用偽造的SYN包發(fā)送給合法的Internet服務(wù)。在TCP反射攻擊中，偽造的SYN包會(huì)產(chǎn)生許多的SYN/ACK 包。

最大規(guī)模DDOS攻擊記錄

2.3 Tbps是目前規(guī)模最大的DDOS攻擊的流量。之前最大的DDoS 攻擊記錄是2018年3月攻擊Netscout的1.7 Tbps，在此之前是2018年2月攻擊GitHub的1.3 Tbps。針對Netscout和GitHub 的DDoS攻擊濫用了暴露在互聯(lián)網(wǎng)的Memcached服務(wù)器來首先更大的帶寬。2018年，Memcached是一個(gè)新的DDoS 攻擊向量，許多黑客組織和DDoS-for-hire 服務(wù)都濫用了超過10萬的Memcached 服務(wù)器來發(fā)起攻擊。

目前，大多數(shù)的DDoS 攻擊的峰值在500 Gbps左右，所以AWS攔截到的2.3 Tbps 攻擊對整個(gè)行業(yè)來說都非常震驚。比如，Link 11的2020年1季度威脅報(bào)告中稱，檢測到的最大的DDoS 攻擊是406 Gbps。Cloudflare檢測到的最大的DDoS 攻擊是550 Gbps。Akamai 報(bào)道稱在2020年6月檢測到了一個(gè)1.44 Tbps的DDoS攻擊。

完整報(bào)告參見：https://aws-shield-tlr.s3.amazonaws.com/2020-Q1_AWS_Shield_TLR.pdf