微信号:Computer-network

介绍:信息安全公益宣传,信息安全知识启蒙. (网络安全、系统安全、数据安全)

2018上半年互联网 DDoS 攻击趋势分析

2018-06-13 12:21 云鼎实验室

一次性进群,长期免费索取教程,没有付费教程。

教程列表见微信公众号底部菜单

微信群回复公众号:微信群QQ群16004488



2018年上半年 DDoS 攻防仍如火如荼发展,以 IoT 设备为反射点的 SSDP 反射放大尚未平息,Memcached DDoS 又异军突起,以最高可达5万的反射放大倍数、峰值可达1.7 Tbps 的攻击流量成为安全界关注的新焦点。


DDoS 这一互联网公敌,在各种防御设备围追堵截的情况下,攻击者夜以继日地钻研对抗方法、研究新的攻击方式;而且往平台化、自动化的方向发展,不断增强攻击能力。腾讯安全云鼎实验室主要从2018年上半年 DDoS 攻击情况的全局统计、DDoS 黑色产业链条中的人员分工与自动化操作演进两个方面进行分析阐述。


一、全局统计分析


1、2013~2018年 DDoS 流量峰值情况


DDoS 攻击流量峰值每年都不断地被超越,上半年的一起Memcached DDoS攻击,其峰值1.7 Tbps 达到了一个新的高度。虽然已经关闭了大量的 Memcached 的UDP 端口,但其5万的反射放大倍数,仍使攻击者可利用少量未关停 UDP 端口的 Memcached 反射点,打出大流量攻击。所以在短短的三个月里,Memcached DDoS 已成为反射放大的一股主要力量。


2013~2018年 DDoS 攻击流量峰值统计

2、DDoS攻击行业分类情况


随着各行各业的互联网化,DDoS 的攻击面也越来越多,这里我们列出了14种主要行业。游戏行业因其日流水量最大、变现快,一直站在利益的风口浪尖上,当仁不让地成为 DDoS 首选的攻击目标,也是上半年各行业中遭受攻击最多的行业。值得关注的是在医疗、物联网、教育等传统行业互联网化后,也遭受到了不同程度的攻击,且呈上升的趋势。


在游戏行业当中,手机游戏已超过了 PC 客户端游戏成为了 DDoS 攻击的主要目标。H5 游戏的崛起,也成为了 DDoS 的关注点,占整体攻击的1.4%。这里我们首次把游戏的第三方服务归结到游戏中,游戏的飞速发展催生了大量的第三方服务商,包括但不限于游戏虚拟财产买卖平台、数据分析、电竞、美术/音乐外包、游戏云服务、游戏资讯等各个环节。


2018上半年 DDoS 攻击行业分类情况


3、DDoS 攻击的类型占比统计


在攻击类型中,反射放大占比最多,约为55.8%。 Memcached 作为今年三月以来的新兴反射放大力量,迅速被 DDoS 黑产界利用,其在整体的占比中也相当大。反射放大占比如此之多的一个原因是 DDoS 黑产的自动平台化,即无需人工干预,完全自动流程可完成攻击的所有操作。


SYN Flood 排名第二,一直是 DDoS 的主要攻击手法。随着 DDoS 黑产的平台化,SYN Flood 的载体也发生了改变,由海量的肉鸡渐渐转移到了发包机上(以伪造源 IP 的 SYN Flood 为主)。


HTTP Flood 作为7层攻击的主要方式,因为要建立完整的 TCP 连接,不能够伪造源 IP,所以还是以肉鸡侧发动攻击为主。但云鼎实验室监测发现,HTTP Flood 也开始向代理服务器和发包机发展。在互联网上获取海量的代理服务器相比肉鸡的抓取容易很多,以代理服务器频繁地变换真实的IP,再加上交互的模拟,可以使 HTTP Flood 很难被发现。而发包机的方式,虽不能变换 IP ,但可以频繁变换 UserAgent 的内容,以突破针对 HTTP Flood 的防御。


2018年上半年 DDoS 攻击的类型统计


下图给出了几种反射放大的反射源地域分布情况。从抽样数据统计可见,LDAP、NTP、Memcached 为主的反射源 Top 10的国家重合度很高,以美国、中国、欧洲国家为主。SSDP 反射源因 IoT 设备的问题,导致其地域分布有所不同。


反射源地域分布抽样统计


4、DDoS 所对应的C2地域分布


近年来国内的互联网安全措施持续加强。通过监控发现,在国内的C2渐渐有外迁的现象。还有一些持有高性能肉鸡的黑客,看到了虚拟货币的逐利远远大于 DDoS攻击,将一部分高性能肉鸡转去挖矿。鉴于以上原因针对用于 DDoS 的 C2 监控难度越来越大。


C2服务器所在地域情况


5、家族情况


通过对攻击家族的监控,主要以 Xorddos、Billgates 、Mayday 、Dofloo、Nitol、Darkshell 等家族为主。Xorddos 是发起攻击最多的家族,甚至每天多达上万次的攻击,攻击类型多以 SYN Flood 为主、其他攻击类型为辅的组合攻击。Nitol 家族是发起 HTTP Flood 攻击最多的家族,还会输出 SYN Flood、ICMP Flood、TCP Flood 等攻击。以上家族攻击的统计中,针对各个行业的攻击都有涉猎,游戏行业无疑是攻击的首选。


6、被攻击IP的地域情况


DDoS 攻击目标按地域分布统计中,国外受攻击最多的国家是美国,其次是韩国、欧洲国家为主,DDoS 攻击的主要目标还是聚集在互联网发达的国家中。


2018上半年国外遭受 DDoS 攻击地域分布


在国内各省的统计来看,受到 DDoS 攻击较多的省份是长三角、珠三角和京津片区,即中国的互联网发达省份,其中以江浙两省最多。


2018上半年国内遭受 DDoS 攻击地域分布


7、每月百G以上攻击流量情况


以每月的超过百Gbps 的攻击次数统计来看,百Gbps 流量分层占比相差不多。100-200 Gbps 占比最大,基本都在75%以上,而超过300 Gbps 的流量攻击次数较少。


2018上半年 DDoS 每月超过百 G 攻击占比情况


8、攻击流量带宽分布情况


在攻击流量的分层统计上,1-5G 的攻击次数最多,占比约38%。通过统计可得到,大多数的攻击均为100 Gbps 以下的流量攻击,超过百G 的攻击累计占总攻击次数不到5%。整体的攻击流量平均峰值约在5.2 Gbps 左右。


2018上半年 DDoS 分层流量的攻击次数统计


9、攻击时长分布占比情况


在攻击时长来看,占比最多是1 min 以下的攻击,约占38.7%。其主要攻击方式是瞬时攻击,即以极大的流量直接瘫痪掉攻击的服务,导致大量用户掉线、延迟、抖动等。5-10 min 也占相当大比例,约28.7%。抽样统计得出,平均攻击时长约1 h,单次攻击最长时长约54天。


2018上半年 DDoS 发起攻击的时长占比统计


二、DDoS 黑色产业链演进



页端 DDoS 攻击平台


三、总结与趋势展望


综上所述,上半年的 DDoS 攻击无论从流量的角度还是从次数的角度来看,都上升了一个新的高度。


DDoS 黑色产业链的人员与技术的演进降低了整体 DDoS 入门的门槛,在溯源监控中发现,有的 DDoS 黑产团伙平均年龄 20 岁左右,甚至有未满 16 周岁的学生也是其中的一员。


在 DDoS 的整体防御上,建议用户采用具备大带宽储备和 BGP 资源的云服务商防御方案。


随着智能 AI 设备与物联网的飞速发展, DDoS 的新宿主平台不断出现,DDoS 攻防战会越来越激烈。可以预期,2018年下半年 DDoS 会呈现出多样化的发展:


1)类似于 Memcached DDoS 的新反射放大方式会不断的被曝光与利用;


2)智能设备的发展会催生出新平台下的 botnet 产生,且这些平台基本防护措施薄弱,更成了DDoS 的温床;


3)随着打击 DDoS 力度的不断加大, P2P 式僵尸网络或半去中心化变种方式有望重回风口,让 DDoS 难于监控与溯源分析;


4)基于暗网的 DDoS 平台将逐渐替代目前流行的页端 DDoS 攻击平台,使其平台的存活时间更长。 

 
计算机与网络安全 更多文章 【视频】| 雇佣黑客 【视频】| HCNA(华为认证网络工程师)课程(7—9) 【视频】| 为什么量子通信更安全加密技术更强大? 【视频】| HCNA(华为认证网络工程师)课程(4—6) 【视频】| 中国信息安全认证
猜您喜欢 10个你应该学习使用的PHP特性 【C语言探索之旅】 第二部分第九课: 实战"悬挂小人"游戏 跳过这些坑,你也是月薪3W的程序员 支付鸨也什么都有啊,为什么你们那么期待微信小程序呢? [年终福利] WordPress插件 微信公众平台管家 WechatManager V2.0 发布