1.DDoS攻击的规模
攻击者似乎延续了2013年使用容量耗尽攻击(volumetric attack)来拥塞目标链接的趋势。攻击产生的流量是惊人的,导致攻击目标出现网络拥塞问题,达到服务提供商的骨干网与对等网络基础设施中的瓶颈。2014年受访者报告的规模最大的DDoS攻击已达400Gbps流量,而其他受访者报告受到300Gbps、200Gbps及170Gpbs流量规模的攻击。值得注意的是,在两年前,流量规模超过100Gpbs的DDoS攻击已十分罕见。所有报告的大规模DdoS攻击均使用向NTP、DNS、SNMP、HTTP或HTTPS端口发送UDP流量的技术,表明攻击者可能应用反射/放大机制来生成流量。
2014年值得关注的是峰值流量超过100Gbps的DDoS攻击事件爆发式地增长?2013年,ATLAS记录了39起流量超过100Gbps阈值的DDoS攻击,而在2014年却监控到159起事件,超过4倍的增长。我们需要重点关注DDoS攻击的频率与规模的不断增长与生成攻击流量的多种反射/放大机制的持续使用。服务提供商需要加大对基础设施和处理流程的投入以应对流量超过100Gbps的攻击。否者,网络供应商可能面临由对等和骨干网络的容量拥塞所带来的间接损失。
2.DDoS攻击持续时间
2013年,ATLAS数据显示88%成的攻击事件持续时间不超过1小时。而该数字在2014年前3个季度持续增长-2014年1季度为90.1%,2014年2季度为90.6%,2014年3季度为91.2,却在2014年4季度跌回到 87.7%。鉴于攻击的短暂性和基础设施连续不断的故障对扩展服务造成的潜在影响,服务提供商必须快速响应已检测到的攻击事件。
3.DDoS攻击的类型
Arbor Networks将DDoS攻击主要分为三种类型:
容量耗尽攻击(Volumetric Attack):攻击者试图耗尽目标网络/服务内部的带宽、目标网络/服务与互联网之间的带宽;
TCP状态表耗尽攻击(TCP State-Exhaustion Attacks):攻击者试图耗尽如负载均衡、防火墙、IPS等基础设施组件和服务器本身的链接状态表。这些攻击可以轻轻松松击垮维护百万级链接的设备。