云服务或成为DDOS攻击的最大源头

现如今，云服务提供商（CSP）正不断为互联网的成长提供强力支持。据思科统计，预计到2021年，73％的云业务都将依托于CSP，从2016年到2021年的综合平均年增长率为27.5％。

但不幸的是，CSP很容易受到账户接管（ATO）攻击以及因云服务免费帐户滥用而形成的僵尸网路的影响。Akamai公司平均每天发现30起DDoS攻击，其中DDoS流量的主要源头就是CSP提供的云服务。

CSP之所以会被攻击者盯上，和如今云服务日益火热的原因——灵活性高，容量大，价格低廉。虽然攻击者也能购买庞大的云服务用于攻击，但他们貌似更喜欢通过免费试用或劫持合法帐户来避免付费。

深入

Akamai公司的客户，潜在客户和第三方安全分析师经常会询问CSP在如今DDoS攻击中的影响。为了解决他们的问题，我们开始寻找一种衡量指标来展示CSP和DDoS的关系。

1. 获取每次攻击中前3分钟内观测到的top源IP，以及在攻击前10分钟时3分钟内的top源IP。

2. 从上一步的数据中，我们总结每组中每个源IP涉及的总字节数，取差值，并通过IP的AS（自治系统）把其归于CSP或非CSP源。

通过执行以上两项操作，我们可以删除正常的CSP流量，仅测量被用于攻击的CSP流量。

CSP涉及大量DDoS流​​量

CSP的自治系统（指在一个或多个实体管辖下的所有IP网络和路由器的全体）只占Akamai每个月观测总数的少部分。但是，虽然我们没有观测很多和CSP有关的，不过它们在网络中占据了极大的流量，而且这些流量会涉及大量DDOS攻击。

在下图中，左侧图片中的对比表示ASN号的中CSP的占比（ASN为自治系统编号）数量的占比，右侧的图片表示涉及CSP的流量在DDoS攻击之前和期间所观测到的对比。

潜在的流量

值得注意的是，基于反射的DDoS攻击（DNS反射，NTP反射，CLDAP反射等等）仍然受到攻击者的重要手段，但在我们的研究中，我们只是测量来自CSP的IP的攻击。从CSP发起的反射攻击（这样攻击源IP很可能不属于CSP）并没有考虑，一旦统计，相信涉及的CSP的数据肯定会大涨。

电子游戏产业是重灾区

针对使用了Akamai的BGP服务的客户收到的攻击调查，游戏产业更有可能产生源自CSP的攻击流量。例如，设计游戏业务的客户在攻击期间看到CSP源流量激增。如下图所示，攻击前观察到的来自CSP的ASN流量非常小，但在攻击期间显著上涨。

使用云服务并不一定就安全

使用了CPS提供的服务的客户也面临较大的DDoS威胁。很多云服务提供商和DDoS防御服务，如Akamai Routed Prolexic服务，并没有能显著保护客户。

如果没有主动监控，警报和专家威胁研究人员来分析和处理攻击通知，这些客户的业务就会被极大的影响，有时甚至没有任何机制可以主动防御甚至通知客户。

此外，阻止来自这些AS源的流量通常是不可取的，因为可能涉及关键基础设施的流量。对于这些DDoS攻击来说，很难有立马生效的防御手段，有时甚至需要带有侵入性质的手段去防御。

依靠CSP来抵御来自自己平台的攻击可能是缓慢而无效的。CSP与其客户建立的合同只是按需提供服务，而不会像警察或执法机构判断客户对资源使用是否合法，更不会检测流量的去向。

综上所述，要彻底防御来自云服务的DDoS的攻击，只能期待出现更高级的防御技术。而目前云服务的现状和法律的不足可能会使云服务在很长一段时间内都是DDoS攻击的最好载体。

本文由白帽汇整理并翻译，不代表白帽汇任何观点和立场
来源：https://blogs.akamai.com/2019/05/do-ddos-attacks-originate-from-cloud-service-providers.html?utm_source=feedburner&utm_medium=feed&utm_campaign=Feed%3A+TheAkamaiBlog+%28The+Akamai+Blog%29