对于DDoS攻击，一般来说都能从中观察到一定程度的“持续性”。

以往，借助一些“在线服务”，攻击者通常很容易就能发起DDoS攻击，而通过加密货币支付的手段也使其很容易保持匿名性。因此攻击者只需要付出很少量的精力和金钱，就能尝试着发起DDoS攻击，同时攻击者自身的安全和私密也能够得到充分保障。虽然攻击者可以轻松地发起攻击并尝试不同攻击途径（如攻击向量、端点、规模变化），但只要遇到有效防范措施，一般也会就此偃旗息鼓。

但是根据Akamai的观察，在2020年秋季和2021年春季之间发生的一些DDoS攻击和勒索事件中，情况有了新的变化，这也使得DDoS攻击成为了一种纯粹的“数字游戏”。

下文将从一名Akamai客户遭遇的DDoS攻击出发，向大家分析此次攻击的特点。

这种攻击几乎涉及所有行业。攻击者会对大量目标发起攻击以证明自己的能力，并借此勒索受害者支付赎金作为“保护费”。而如果有哪些公司成功阻拦了这些攻击，攻击者往往会“放过”此类公司，并转为挑“更软的柿子”来捏。

一、“Once in a blue moon”攻击事件

我们在现阶段时不时依然会看到一些比较极端的持续性DDoS攻击。这种情况是从2021年7月底开始陆续出现的。这些DDoS攻击之所以引起了Akamai的特别关注，主要原因在于：首先，这些攻击体现出极强的确定性；其次，往往会以横跨受害者多个子网的多个IP地址为目标。

在10天的时段内，Akamai观察到攻击者针对各类端点，混合使用多种DDoS策略和技术的组合，对目标发起了一批又一批的攻击行为。显然，攻击者有着极大的动机，并且具备充足的带宽。好在几乎所有这些攻击都被Akamai Prolexic的零秒SLA顺利缓解了。就算未能缓解的攻击最终也被Akamai SOCC妥善进行了处理。

据观察，为了顺利找到目标弱点并成功发起攻击，攻击者曾轮换着使用多个IP地址并采用了多种攻击途径。这一系列攻击有一半针对了TCP栈，另一半则针对UDP栈，总共涉及的攻击向量高达11种之多！

毫无疑问，攻击者似乎掌握了能发起DDoS攻击的“大杀器”。在为期30分钟的时间跨度内，Akamai就观察到超过200Gbps的攻击流量，这些流量主要针对六个目标IP地址。而受到最多攻击的一个IP地址更是承受了超过600Gbps的流量！

攻击者在一分钟内就将攻击带宽从0增加到了数百Gbps，并且更换使用了多种攻击向量和端点。这种情况下，自身具备自动或者主动缓解控制措施的云端DDoS防御能力就会成为最有效的应对措施。

二、深入探寻该攻击活动的相关数据

根据Akamai的统计和事后分析，本次攻击的相关情况如下：

持续时间10天

攻击目标IP数量12个

攻击事件总数156次

涉及的攻击向量总数14个

流量峰值600.9Gbps

Mpps峰值53.1

平均每次攻击时长13.8分钟

最长单次攻击时长80分钟

缓解效果95.3%的攻击被Akamai零秒SLA主动成功地缓解

三、结论

Akamai的很多客户每天（甚至每小时）都在遭受攻击，但也有些客户几乎从没成为攻击目标。而上文中介绍的这家被攻击的客户则介于这两种情况之间，平均每月会遭遇六次DDoS攻击。

而上述攻击攻击的持续性表现进一步凸显了针对有较高动机的DDoS攻击者，我们更加需要妥善防护的重要性。这种攻击者不仅能通过大规模攻击为自己造势，并且能够非常灵活地调整其战术、技术和过程。此类攻击也使得拥有娴熟技能的安全响应人员的地位变得更为重要，只有这样才能快速缓解企业所面临的各类“零日”攻击。

此外，DDoS攻击的泛滥也证明了攻击者的漏洞库和工具库还在不断增长，且于此相关工具相较以往也越来越容易获取，功能也更强大，同时发起攻击的门槛也变得越来越低，这些都是信息安全从业者需要注意并密切关注的。