[亞利安科技]IMPERVA 防禦了2021年最大的 DDoS 攻擊之一

本文由Imperva台灣區代理商 亞利安科技提供，歡迎直接造訪亞利安科技官網，獲取更多產品新訊！https://www.ciphertech.com.tw/news/product/imperva_news/

2021 年 7 月 IMPERVA 擋下了今年最大的DDoS攻擊之一。這次攻擊持續了 40 分鐘，產生了每秒 1.02 TB (Tbps) 和每秒 1.55 億個封包 (Mpps) 的巨大流量。

IMPERVA 也在2020年同時期防禦了一次大型的第 7 層 DDoS 攻擊，與大多數的攻擊一樣，這次的攻擊目標是線上博弈網站。並在2020的年度報告中顯示，DDoS的攻擊手法隨著時間變得更複雜。在特殊的案例中，攻擊者還運用了與過往不同的攻擊手法，DDos 流量中同時包含了多種不同的攻擊方式，包括 UDP-flood、SYN-flood、大量 SYN 和 DNS 放大攻擊。

攻擊手法

攻擊者首先對 80 port 高速率的 SYN flood攻擊之外，從多個來源發起了 DNS 放大攻擊。第一波攻擊達到了每秒 192 Gbps 和每秒 3300 萬個封包。僅僅幾分鐘後，攻擊就達到了 1.02 Tbps 和 155 Mpps 的峰值，當時包括 SYN-flood、UDP-flood 和大量的SYN、DNS 放大攻擊在內的流量組合而成。

在此事件發生後幾天，IMPERVA 再次擋下了第二次大規模攻擊，其峰值達到 858Gbps 和每秒2.25億封包量(pps)。這次的攻擊時間更長，持續了兩個小時，且針對特定的網絡前綴(/24 C-Class address)，攻擊涵蓋了整個 IP 網段範圍。

與之前的案件相似，由類似的混和攻擊模式組合而成，包括 UDP-flood、SYN-flood 和 DNS 放大攻擊。

攻擊分析

攻擊者結合了兩個獨立的向量，他們利用了 Large SYN 和 TCP。第一波攻擊在 90 秒帶有大量有效請求的 SYN-flood，使 RFC 無法識別，RFC 是描述 SYN 封包的文檔。SYN-flood 通過發送一連串的 TCP half-open 連接來消耗伺服器資源。

第二波攻擊針對 443 port 的 TCP ACK flooding，它通過使用大量 HTTPS 封包偽裝成客戶的合法流量，儘管客戶擁有多個 IP 範圍，但整個攻擊僅針對客戶主要服務 IP。這表明攻擊者事先進行了一定的研究和偵察，使他們能夠對最脆弱的目標IP並進行更複雜的攻擊。

攻擊者運用 SYN-flood 消耗伺服器的資源再結合大型 SYN 向量攻擊，這種攻擊非常強大，因為在不到 5 秒的時間內就達到了 674Gbps 和 148Mpps 的峰值，相對的也強調了在幾秒鐘內開始清洗流量的重要性。

這種特定攻擊的另一個值得關注之處在於，攻擊者使用類似於去年最大的攻擊案之一的工具，該工具會試圖通過模仿操作系統將攻擊封包偽裝為合法流量。但是，該工具的設計不夠好，它最終還是發送出錯誤格式的封包。

如何做到快速且全自動的流量清洗？

IMPERVA 全球 47 個清洗中心及 6 Tbps網絡頻寬支持下，對 DDoS 攻擊的防範是快速且完全自動化，清洗流量反應時間不到一秒。盡可能阻止不良流量進到客戶端，同時讓合法流量通過保持客戶服務不中斷，且具備每秒 650 億個攻擊封包處理量，每天阻止超過 350 萬個非法請求。

所有清洗中心都具有 IMPERVA 設計專用於清洗巨大 DDoS 流量的 Behemoths 硬體和動態流量偵測調度軟體，在不同清洗中心裡的 Behemoths 能夠相互 "溝通"，因此在任何給定時間，每台 Behemoths 不僅知道進入該清洗中心的流量，還可以知道整個網絡中的流量情況。 IMPERVA 也使用全自動化流程，減輕這類大規模攻擊造成的影響。利用人工智能 (AI) 和機器學習，為每個範圍自動創建安全策略，這大大增強了 DDoS 保護，並且一切都以實時進行，因此無需耗費多餘的人力。

IMPERVA 為 DDoS 客戶提供 3 秒的 SLA 保證，以抵禦任何規模或持續時間的 DDoS 攻擊。此外，IMPERVA 的 SD-NOC 會自動劃分不同 清洗中心節點 (PoPs) 與 ISP 通道之間的攻擊流量，以優化所有可用的資源，從而提供最佳防禦措施，同時保護客戶的合法流量。