×

新聞中心

2019年第三季度DDoS攻擊報告

  新聞概述
  上季度,我們發(fā)現(xiàn)一種新的DDoS攻擊,攻擊者利用Memcached協(xié)議進行放大攻擊,正如之前我們的推測。比如,安全人員最近發(fā)現(xiàn)一類攻擊是通過WS-Discovery多播協(xié)議欺騙返回IP地址。雖然網(wǎng)絡罪犯最近才開始使用這種方法,但已經(jīng)擁有高達350 Gbps的攻擊能力。
  Trend Micro發(fā)現(xiàn)了DDoS攻擊者手中另一個新工具,它是通過數(shù)據(jù)搜索和分析工具Elasticsearch的后門分發(fā)的新的有效載荷。該惡意軟件是危險的,因為它采用了多階段的感染方法,并成功地避開了檢測,可以用來創(chuàng)建僵尸網(wǎng)絡發(fā)動大規(guī)模的DDoS攻擊。Trend Micro建議所有的Elasticsearch用戶升級到最新版本,因為后門已經(jīng)打了補丁。
  以上例證表明,網(wǎng)絡罪犯更有可能求助于成熟的技術(shù),而不是嘗試新的技術(shù)。例如,當去年聯(lián)邦調(diào)查局取締了一些廉價的DDoS-for-hire站點時,新的DDoS站點立即出現(xiàn)在它們的位置上,現(xiàn)如今它們的威脅比以往任何時候都更加嚴重。報告表明,在它們的協(xié)助下進行的攻擊次數(shù)比上一季度增加了400%。
  9月初發(fā)起的對《魔獸世界》經(jīng)典版的攻擊極有可能就是通過這種服務組織起來的。暴雪后來宣布逮捕了這名策劃者,不過目前還不清楚這名策劃者是否是相應Twitter賬戶的所有者。但如果是這樣的話,我們很容易會得出這個結(jié)論:該公司根本不是一個附帶的黑客組織的成員,而是一個DDoS-for-hire服務的客戶。
  研究人員還觀察到攻擊者使用另一種久經(jīng)考驗的方法(類似于Mirai的僵尸網(wǎng)絡),在7月份對每秒最多容納292,000個請求的流媒體服務發(fā)起了為期13天的應用程序攻擊。這次攻擊涉及大約40萬臺設備,主要是家用路由器。
  盡管這兩起襲擊背后的動機只能猜測,但今年夏天和秋天發(fā)生的另外兩起襲擊幾乎肯定是出于政治動機。8月31日LIHKG Forum成為攻擊目標,這是香港地區(qū)抗議者用來協(xié)調(diào)行動的主要網(wǎng)站之一。據(jù)該網(wǎng)站的所有者稱,在16個小時內(nèi),該網(wǎng)站收到了15億次請求,導致該網(wǎng)站暫時下線,并導致該移動應用程序出現(xiàn)故障。
  不久之后,維基百科遭到攻擊。9月6日晚開始,世界上最大的在線百科全書暫時無法為歐洲、非洲和中東各國的用戶使用。維基百科經(jīng)常被攻擊,但這次攻擊量級首次超過1Tbps,持續(xù)時間達到三天。
  在執(zhí)法努力這一主題上,必須提到另一條新聞,它強調(diào)了防范DDoS攻擊的重要性。在過去的幾個季度里,我們的報告中關(guān)于全球僵尸網(wǎng)絡活動的部分一直在關(guān)注那些在幾年前還不太可能參與評級的國家(地區(qū))。此外,以前受到網(wǎng)絡罪犯攻擊的其他國家(地區(qū))的份額一直在下降。原因如下:
  第一,曾經(jīng)被統(tǒng)稱為第三世界的國家(地區(qū))生活水平不斷提高。那里越來越多的居民正在購買智能手機和寬帶路由器——大多數(shù)僵尸網(wǎng)絡都是由這些設備構(gòu)成的。
  第二,在網(wǎng)絡罪犯長期從事網(wǎng)絡犯罪的地區(qū),網(wǎng)絡安全意識正在提高,并采取了更有效的措施來保護設備,包括在供應商層面,這意味著攻擊者不得不尋找新的領(lǐng)域。這就是我們的網(wǎng)絡攻擊排名發(fā)生變動的原因
  季度的趨勢
  在第三季度,DDoS活動通常會在夏季的幾個月里暫停,然后在9月份出現(xiàn)與學年開始相關(guān)的高峰。今年也不例外。
  根據(jù)卡巴斯基實驗室的數(shù)據(jù),與上一季度相比,第三季度的智能攻擊(即技術(shù)更復雜、需要更多獨創(chuàng)性的攻擊)數(shù)量顯著下降。然而,與去年同期相比,我們看到了兩倍以上的增長。在以前的報告中所做的預測顯然正在變成現(xiàn)實:DDoS市場也正在穩(wěn)定下來?紤]到這一點,我們預測Q4的結(jié)果將是類似的。
  智能攻擊的平均持續(xù)時間自第二季度以來幾乎沒有變化,但與2018年第三季度相比幾乎翻了一番,這一事實也證明了市場的穩(wěn)定,全年都在增長。與此同時,由于短時間DDoS攻擊數(shù)量的總體增加,所有攻擊的平均持續(xù)時間略有下降。
  智能DDoS攻擊在網(wǎng)絡攻擊中所占份額的變化值得單獨提及。
  智能攻擊占攻擊總數(shù)的比例與上一季度相比幾乎減半,但與2018年第三季度相比增加了7個百分點;針對上半年結(jié)束的智能攻擊的比例下降。
  與去年一樣,9月的到來與DDoS攻擊數(shù)量的顯著增加密切相關(guān)。此外,這個月的攻擊占了所有Q3攻擊的53%。
  更重要的是,早秋60%的DDoS活動是針對教育相關(guān)資源的:電子年級書籍、大學網(wǎng)站等。在這類攻擊的背景下(大多數(shù)攻擊時間短、組織不力),第三季度的智能攻擊比例下降了22個百分點。
  去年我們觀察到類似的情況,因為這是由于學生返回學校和大學。這些攻擊大多是由業(yè)余人士實施的網(wǎng)絡流氓行為,不指望獲得經(jīng)濟利益。
  請注意,與2018年9月相比,2019年9月的攻擊總數(shù)增加了35次。而襲擊的總數(shù)在2019年第三季度相比,2018年第三季度增長了32 個百分點。也就是說,這些數(shù)字大致相同,而智能攻擊增長比例更大,而智能襲擊的總數(shù)增加了58 個百分點。
  因此,在2019年第三季度,我們不僅沒有看到智能攻擊數(shù)量的明顯上升,還看到它們的總數(shù)下降,這在過去一年里還是第一次。上個季度預測DDoS市場將趨于飽和并停止增長,很有可能成為現(xiàn)實。
  根據(jù)以往經(jīng)驗,對教育部門的連番攻擊將在冬季平息,但只有在夏季學校放假的時候才會完全平靜下來。
  季度總結(jié)
  中國仍然是攻擊次數(shù)最多的國家(地區(qū)),與第二季度相比幾乎沒有變化(62.97%到63.80%)。
  根據(jù)襲擊事件的地域分布,排在前十名的意外訪客是南非,它排在第四位(2.40%),此前從未出現(xiàn)在我們的排行榜上。
  按目標數(shù)量劃分,前三名分別是中國內(nèi)地(57.20%)、美國(22.16%)和香港地區(qū)(4.29%)。
  上一季度,DDoS僵尸網(wǎng)絡活動高峰出現(xiàn)在7月份;最危險的一天是周一(17.53%的攻擊),最平靜的一天是周日(10.69%)。
  最長的攻擊持續(xù)了11天(279小時),幾乎是第二季度的一半。
  最常見的攻擊類型仍然是SYN Flood (79.7%),其次是UDP Flood (9.4%)。最不受歡迎的是ICMP Flood(0.5%)。
  Windows和Linux僵尸網(wǎng)絡的份額幾乎與第二季度持平;Linux僵尸網(wǎng)絡仍然占據(jù)了絕大多數(shù)(97.75%)的活動。
  僵尸網(wǎng)絡C&C服務器數(shù)量最多的國家(地區(qū))再次是美國(47.55%),其次是荷蘭(22.06%)和中國內(nèi)地(6.37%)。
  攻擊地理
  與前幾個季度一樣,攻擊次數(shù)最多的仍是中國內(nèi)地,其所占份額下降了0.83個百分點,至62.97%。同樣,美國仍排在第二位:其份額小幅下降至17.37%(上一季度為17.57%)。香港地區(qū)穩(wěn)居第三名。與中國內(nèi)地和美國形成對比的是,它的份額雖然只增長了0.83個百分點,達到5.44%。
  過去幾個季度的趨勢仍在繼續(xù),從較低的排名上升至前10名。這一次是南非(2.4%),較上一季度的第19位大幅上升。它從荷蘭(0.69%)手中奪得第四名,荷蘭跌至第九。更重要的是,前十名歡迎久違的韓國回歸——但不再像以前那樣擠進前三,而是以0.71%的得票率排在第八。
  同樣值得注意的是羅馬尼亞,該國所占比例上漲0.93個百分比,以1.12%的漲幅重新躋身前十。羅馬尼亞、南非和韓國一起擠出了臺灣地區(qū)、澳大利亞和越南。
  本季度受攻擊目標的地理分布與攻擊數(shù)量的分布有很多共同之處——這在此類統(tǒng)計中相當?shù)湫。排名前三的還有中國內(nèi)地(57.20%)、美國(22.16%)和香港地區(qū)(4.29%),它們的排名與攻擊次數(shù)排名相近。但是下面的前10位也存在差異。這在一定程度上是由于每個國家(地區(qū))的份額都很小(前三名除外),這意味著即使是很小的波動也會導致重大的洗牌。
  例如,南非(1.83%)進入了前10名,排在第五,英國(2.71%)位居其后。在襲擊次數(shù)最多的國家(地區(qū))中,情況正好相反:英國排在南非之后,位列第五。羅馬尼亞也以0.71%的市場份額重新進入評級,而韓國則跌出了評級。本季度的評級也不包括臺灣地區(qū)和愛爾蘭。
  法國仍排在最后,其市場份額較上一季度下降0.23個百分點,至0.67%。
  DDoS攻擊的持續(xù)時間和類型
  上一季度最長攻擊持續(xù)了11.6天(279小時),比第二季度(509小時)短1.8倍。然而應該指出的是,Q2的最長攻擊記錄還未被打破。
  與此同時,匯總的統(tǒng)計數(shù)據(jù)并沒有顯示出全球性的變化:持續(xù)140小時以上的攻擊比例下降了0.01個百分點,降至0.12%。相反,20 - 139小時攻擊的比例略有上升,而5 - 9小時攻擊的比例下降了1.5個百分點;最短攻擊(持續(xù)時間不超過4小時)的總比例上升到84.42%,略低于2個百分點。
  最主要的攻擊類型仍然是SYN Flood。它的份額變化不大,從84%下降到79.7%。第二位是 UDP Flood (9.4%),HTTP Flood位于第四位,份額1.7%,而TCP Flood的比例上升到8.7%,是上一季度的兩倍多(3.1%)。和之前一樣,ICMP Flood在Q3中排名最后。
  Linux僵尸網(wǎng)絡的份額繼續(xù)增長:第三季度為97.75%,而Windows僵尸網(wǎng)絡的份額則分別下降1.75個百分點,至2.25%。這并不是由于Linux僵尸網(wǎng)絡活動的增長,而是由于面向Windows的僵尸網(wǎng)絡活動的減少。
  僵尸網(wǎng)絡地理分布
  在第二季度,美國的C&C服務器數(shù)量位居榜首,其市場份額從44.14%上升到47.55%。排在第二位的是荷蘭:它的份額也從12.16%上升到了22.06%。如此穩(wěn)健的增長必然會對名單產(chǎn)生重大影響。以中國內(nèi)地為例,其市場份額僅增長了1.42個百分點,達到6.37%,從第五位上升到第三位,把英國推到了第四位(4.90%)。
  俄羅斯也攀升至第五位,市場份額為3.92%,希臘和韓國則下滑。在前十名中,羅馬尼亞以1.47%的得票率排在最后一名。按DDoS攻擊次數(shù)和目標分類,羅馬尼亞在本季度的排名中也名列前茅。
  中國境內(nèi)的數(shù)據(jù)
  本季度利用肉雞發(fā)起DDoS攻擊的控制端中,境外控制端最多位于美國;境內(nèi)控制端主要位于江蘇省、廣東省。按歸屬運營商統(tǒng)計,移動占的比例最大。
  本季度參與攻擊較多的肉雞地址主要位于廣東省、浙江省、山東省和江蘇省。其中大量肉雞地址位置歸屬于電信運營商。
  本季度被利用發(fā)起Memcached反射攻擊境內(nèi)反射服務器主要位于廣東省、四川;數(shù)量最多的歸屬運營商是電信。被利用發(fā)起NTP反射攻擊的境內(nèi)反射服務器主要位于河北省、山東。粩(shù)量最多的歸屬運營商是聯(lián)通。被利用發(fā)起SSDP反射攻擊的境內(nèi)反射服務器主要位于遼寧省、浙江。粩(shù)量最多的歸屬運營商是聯(lián)通。
  本季度轉(zhuǎn)發(fā)偽造跨域攻擊流量的路由器中,歸屬于遼寧省的路由器參與的攻擊事件數(shù)量最多,2019年以來被持續(xù)利用的跨域偽造流量來源路由器中,歸屬于北京市、貴州省的路由器數(shù)量最多。
  本季度轉(zhuǎn)發(fā)偽造本地攻擊流量的路由器中,歸屬于浙江省電信的路由器參與的攻擊事件數(shù)量最多,2019年以來被持續(xù)利用的本地偽造流量來源路由器中,歸屬于江蘇省、北京市和浙江省路由器數(shù)量最多。
  結(jié)論
  從統(tǒng)計上看,2019年Q3與Q2差別不大。在攻擊和目標的地域分布上,我們看到了不速之客不斷出現(xiàn)又退出的趨勢。
  就攻擊事件的時間分布而言,Q3又與Q2相似:在季度開始時觀察到亂流,在季度結(jié)束時中、小波峰和波谷出現(xiàn)平靜。每天攻擊的典型分布也幾乎沒有改變。與上一季度相比,最長攻擊的持續(xù)時間有所下降,但長攻擊和短攻擊所占百分比的差異不明顯。
  所有這些都可能表明,DDoS攻擊市場已經(jīng)暫時穩(wěn)定,但或者我們只是面臨了一個統(tǒng)計異,F(xiàn)象,這些可以通過對Q4的數(shù)據(jù)分析進行修正,讓我們拭目以待。