新型“脉冲波”DDoS攻击来袭：锁定多目标+大流量攻击

2017 年 8 月 19 日 E安全 E安全编辑部

E安全8月20日讯，据Imperva Incapsula 8月16日报告指出，新型“脉冲波”DDoS攻击同时锁定多个目标发起猛攻。黑客利用传统DDoS缓解措施中的弱点发起新型DDoS攻击，旨在增强攻击强度。攻击者利用此类攻击可让目标网络长时间瘫痪，与此同时还能攻击多个目标。

新型“脉冲波”DDoS攻击来袭：锁定多目标+大流量攻击-E安全

专家指出，这类攻击可能会使传统DDoS缓解措施毫无用武之地。Imperva安全研究人员表示，极端“脉冲波”DDoS攻击持续数天，峰值高达350 Gbps。

“脉冲波”DDoS攻击特点

Imperva在分析报告中指出，脉冲波攻击包含一系列短脉冲，如发条般的接连发生。Imperva今年第二季度缓解的DDoS攻击中，脉冲波攻击是最“凶猛”的攻击之一。

研究人员认为，脉冲波攻击出自高级黑客之手，利用“设备优先，云其次”混合缓解方案中的弱点提升攻击强度，并拓宽范围。

传统的DDoS攻击的流量通常会逐步攀升，然而“脉冲波”攻击则包含“高度重复”的短脉冲攻击（由每十分钟一次或多次脉冲构成）。这类新型攻击持续时间超过一小时，乃至数天。单脉冲的规模及强度足以致网络堵塞。

研究人员还指出，“脉冲波”攻击最大的特点是不存在流量逐渐攀升一说，而是将所有攻击资源一次性汇入，仅需数秒就能达到峰值，并在持续过程中保持峰值居高不下。

“脉冲波”DDoS攻击出自高级黑客之手

无论攻击背后的幕后黑手是谁，能在数秒内调动300Gbps的峰值，其技能必然娴熟高超。此外，脉冲波的重现足以凸显黑客对攻击资源的掌控程度。

至于黑客发动此类攻击的动机和初衷，尚不清楚。

设备优先的DDoS攻击缓解方案

“脉冲波”攻击利用了“设备优先”的混合缓解方案的弱点---当强大的攻击流量一涌而入时，设备通常招架不住，无力应付。

“设备优先云其次”顾名思义就是让内部设备身居DDoS攻击防御第一线，并将云作为按需之备份选项。

大多数DDoS攻击都是缓慢攀升至峰值，让“设备优先”混合缓解方案有数分钟时间激活云并进行流量故障转移。然而，脉冲波DDoS攻击的突然爆发会阻塞网络流量，切断网络与外部的通信，这不仅会导致拒绝服务，还会阻止缓解设备激活云平台。而在脉冲持续的过程中，整个网络完全陷入瘫痪，然而当网络恢复时，另一次脉冲再度来袭，如此重复，令人烦不胜烦。

此外，通信中断会导致设备无法提供必要的信息创建攻击签名。即使最终恢复了云，仍需在启动过滤过程之前重新取样。

“脉冲波”DDoS攻击或将继续

研究人员指出，脉冲波DDoS攻击的出现说明DDoS攻击形势发生了巨大变化。Imperva研究人员预测，此类攻击将会继续、且更具持久性，还会通过僵尸网络扩大波及范围。