吳明宜一家使用者產生內容平台近日遭到一種分散式阻斷服務(Distributed Denial of Service, DDoS)攻擊,在短短 5 小時內收到高達 24.5 億次惡意請求。
網頁機器人安全廠商 DataDome 在成功阻擋這波攻擊後進行分析,揭露新型態的攻擊手法。攻擊者並未採用傳統以巨大流量癱瘓目標伺服器的暴力式作法,而是將流量高度分散至龐大的殭屍網路架構。
該殭屍網路橫跨 16402 個自主系統 (Autonomous System, AS),涵蓋 120 萬個不重複 IP 位址,成為 DataDome 至今觀察過最複雜的 DDoS 基礎架構之一。此外,攻擊行動使用極度零碎且分散的基礎架構,顯示背後需要高度協同與專用資源支援。
研究人員指出,多數 DDoS 攻擊通常會在短時間內以極大流量癱瘓目標主機,但這次攻擊在 5 小時期間的尖峰流量僅達每秒 20.5 萬次請求 (Requests Per Second, RPS),平均流量約每秒 13.6 萬次請求。更特別的是,每個來源 IP 位址平均每 9 秒才發出一次請求,遠低於多數安全方案的流量上限,因此沒有任何單一來源 IP 觸發業界常見的限速 (Rate Limit) 防護機制。
攻擊者同時利用週期性高低起伏的流量波形夾雜停頓。研究人員認為,此舉可讓攻擊者有時間切換 IP 位址、更換代理服務與調整攻擊工具,顯示這並非單純自動化攻擊,而是有人員即時操作並持續微調攻擊策略。
此外,整波攻擊流量分布相當平均,單一來源最高僅占總流量 3% 。攻擊者還刻意混雜來自主流雲端平台,包括 Cloudflare 、 AWS 與 Google Cloud 等流量,以及私有網路節點,以進一步隱藏真實身分,也讓防護機制更難全面封鎖惡意流量。
由於攻擊者偏好透過高度分散的架構傳輸流量,而非依賴單一節點,因此防禦方若只觀察流量高峰,將難以掌握整體攻擊樣貌。安全業者表示,必須結合伺服器端指紋、威脅情報與深度行為分析,才能有效辨識這類攻擊。此外,研究團隊也從攻擊者使用的自動化工具中發現,單一 Session 內的訊號會持續變動,進一步確認這些流量屬於合成流量。
來源:gbhackers