新一波强大的 DDoS 攻击已经在整个威胁领域出现，网络安全供应商表示，以前的缓解措施变得越来越无效。

过去一年中，针对微软和谷歌等知名供应商的攻击代表着向应用层或第 7 层 DDoS 攻击的转变，但并不止于此。随着攻击者开始利用新攻击技术（利用互联网架构协议，例如 HTTP 和 DNS）发起极具破坏性的攻击，这种快速发展的威胁正在影响各种规模的企业。

新技术的采用、DDoS 即服务的增长、攻击媒介的扩大以及对更强大的僵尸网络的访问，仅在过去几个月内就导致破纪录的 DDoS 攻击。然而，供应商观察到过去几年的频率、速度和复杂性都有所上升。

上周，Akamai Technologies 发布了一篇名为《DDoS 攻击的无情演变》的博客。Akamai 产品经理 Craig Sparling 和 Max Gebhardt 强调 DDoS 威胁的发展速度。两人警告说，“以最小成本提供最大影响的攻击媒介将不可避免地越来越受欢迎”。

Sparling 和 Gebhardt 在博客中写道：“2010 年排名前五的媒介占所有攻击的 90%，而今天的前五名仅占所有攻击的 55%。这种转变不仅突显了现代 DDoS 工具包的日益复杂，而且还突显了安全团队抵御蓬勃发展的威胁库的巨大压力。”

本月早些时候针对微软的攻击突显了 DDoS 对企业构成的威胁，无论其规模和资源如何。这家科技巨头证实，Microsoft 365 和 Azure 等服务的广泛中断是由 DDoS 攻击引起，并将其归因于名为 “Storm-1359” 攻击者。该团伙也被称为 Anonymous Sudan，使用技术来规避以前的缓解策略，包括 Slowloris 和缓存绕过攻击。

今年 2 月，Cloudflare 透露，他们已经缓解了 “破纪录” 的每秒 7100 万个请求（rps）DDoS 攻击。这次攻击是一篇博客文章中强调的众多攻击之一，该文章显示该公司在一个周末 “检测并缓解了数十次超容量 DDoS 攻击”。大多数在 50 到 70 rps 之间达到峰值，但有一个脱颖而出。

Cloudflare 写道：“这是有记录以来报告的最大 HTTP DDoS 攻击，比 2022 年 6 月报告的 46M rps 记录高出 54% 以上。”

二月份的博客文章强调了过去几个月攻击的 “规模，复杂性和频率” 在增加。此外，Cloudflare 的 2022 年第四季度 DDoS 威胁报告确定，HTTP DDoS 攻击的数量同比增加了 79%。

2022 年的另一次重大 HTTP DDoS 攻击针对的是 Google Cloud Armor 客户，但没有成功。在去年 8 月的一篇博客文章中，谷歌证实他们已在 6 月 1 日阻止了第 7 层 DDoS 攻击，该攻击的峰值为 4600 万 rps。与 Cloudflare 一样，该供应商还观察到，过去几年 DDoS 攻击的频率有所增加，并且 “呈指数级增长”。

近年来，随着越来越多的企业将工作负载和应用程序转移到云端，威胁参与者通过瞄准扩大的攻击面来加快这一趋势。直到最近，大部分 DDoS 活动都得到了缓解，造成的中断最小。但专家表示，由于几个因素，威胁格局已经改变。

地缘政治目标推动 DDoS 攻击

除攻击面的增长之外，供应商还确定了一系列导致 DDoS 危险增加的因素。Akamai 的首席信息安全官 Steve Winterfeld 将其缩小到三个主要来源，包括更多系统受到感染成为僵尸网络军队的一部分，他说僵尸网络军队主要包括物联网和联网设备。

其次，他告诉 TechTarget Editorial，网络犯罪分子正在提供更多的 DDoS 工具和 IaaS，这降低了进行攻击所需的技能。第三，越来越多的民族国家威胁组织正在利用 DDoS 攻击来实现政治目标。

Winterfeld 称：“此外，攻击会跟随资金，因此他们对最关键的资产发起攻击，即网站和 API。随着我们过渡到更高的员工和客户在线参与度，这些保护措施比以往任何时候都更加重要。”

Radware 高级安全解决方案负责人 Eyal Arazi 认同，地缘政治动机在 DDoS 攻击的增加中发挥了重要作用。Radware 观察到 2021 年至 2022 年间 DDoS 攻击的数量增加 150%。网络安全供应商缓解了 2 月至 4 月期间发生的一次攻击，该攻击总共产生了 150 亿个请求。

他说，新一波强大的攻击可以追溯到 2022 年 2 月俄罗斯入侵乌克兰，特别是与 Killnet 和 NoName 等俄罗斯国家赞助的团体有关。在国家的支持下，包括 Anonymous Sudan 在内的组织拥有建立更大、更强大的僵尸网络的资源，现在这种攻击资源正在传播。

Arazi 说，针对以色列、印度、澳大利亚和其他国家发生了一波出于政治动机的 DDoS 攻击。Radware 的威胁情报发现黑客在 2 月中旬至 4 月中旬期间声称的 1800 多次 DDoS 攻击。

他提出的一个重大问题是，新攻击会伪装成合法流量，因为它们是用 HTTPS 加密，这使得缓解服务更难检测到恶意请求。

Arazi 称：“这些新攻击的最大变化之一是转向第 7 层 DDoS 攻击，特别是 HTTP / S DDoS 攻击。这种转变带来新的复杂性，使攻击者能够发起比以往任何时候都更具破坏性的攻击。这些攻击每秒的请求数很高，行为复杂，伪装成合法流量，解密后不会被注意到。”

DDoS 攻击在以破坏为目标的政治动机的网络犯罪分子中特别受欢迎。风险管理供应商 Vulcan Cyber 公司高级技术工程师 Mike Parkin 表示，鉴于目前的地缘政治局势，他对看到复杂且极具破坏性的攻击并不感到惊讶。Parkin 告诉 TechTarget Editorial ：“也就是说，网络犯罪分子有时仍然会使用 DDoS 并要求付款以将其关闭，而州级威胁可能会使用勒索软件来隐藏他们的动机。”

当前的缓解措施旨在防御批量攻击，但 Parkin 指出，威胁参与者已经从简单的洪水转向更复杂的技术。一种更高级的方法涉及攻击者使用 Web 服务器的行为来对付它。