2016 Q2 DDoS态势报告主要观点
Q2全球被DDoS攻击次数达到5万多次
本季度,全球范围内我们监控到50988次DDoS攻击,受攻击最严重的国家是中国,占全部被攻击国家的53.2%,其次是美国,占比22.6%。
Q2单次攻击峰值达到445.7G
DDoS攻击峰值
Q2季度的DDoS平均攻击峰值有所下降,Q2平均攻击峰值为16.7Gbps,相比Q1的27Gbps下降38.1%。
本季度DDoS攻击累计的最高流量峰值为1.8Tbps,比Q1季度的1.2Tbps增长600Gbps。
本季度DDoS攻击单次最高峰值为445.7Gbps,相比Q1季度的615.1Gbps峰值有所下降。
本季度拥有最高攻击峰值的DDoS攻击发生在5月中旬,引人注意的不仅是该次DDoS攻击的高峰值,还有此次攻击是利用TCP(含SYN、RST ACK、RST、TCP Flag Misuse等)和 UDP流量发起的混合攻击,主要针对TCP和UDP 53端口,攻击高峰持续了将近一个小时。针对同一目标的DDoS攻击,从4月初就已经开始,断断续续直到6月底才彻底结束。除了上述混合攻击外,针对该目标,攻击者还多次采用了DNS Request Flood和UDP Flood 混合的脉冲攻击,脉冲波峰和波谷持续时间不断变换,有时半小时1次波峰,有时10分钟一次波峰,攻击者试图探测该目标流量处理能力的极限。
对这些攻击进行溯源分析,我们看到,攻击者轮流调用分布在全球范围约3万4千个僵尸主机发起DDoS攻击。该僵尸网络主要为Billgates botnet的一个变种,被控的主机大部分为带有高危 漏洞 或者弱口令的服务器,攻击峰值较大的肉鸡主要来自云端,另外少部分是被控制的网络监控摄像头。
DDoS攻击次数有所下降
Q2季度发生的DDoS攻击总数相比Q1季度有所下降。4月份共发生DDoS攻击18451次,相比3月份下降了55.8%。5月份发生的DDoS攻击继续下降,相比前一个月下降20.9%,6月份攻击有17947次,有所上升。
大流量DDoS攻击次数
Q2季度DDoS攻击峰值在50Gbps以上的大流量攻击共发生5254次,峰值在300Gbps以上的攻击共发生16次。
攻击流量各区间大小占比
Q2季度仍然是峰值在10Gbps以下的小流量攻击最多,占比达50%,相比Q1季度的40%其所占比例继续上升,可见攻击者越来越多地使用小流量攻击方式,只是攻击手段更加复杂。
Q2单次攻击最长达到387小时71TB
Q2季度平均攻击时长为1.6小时,攻击时长在30分钟以下的攻击继续增长,占总数的77.6%,比Q1季度增加21.6%。本季度攻击时长超过1天的攻击占总攻击次数的3.2%,比上一季度下降了8.7%。我们监控到最长的一次DDoS攻击持续了16天3个多小时,累计总攻击流量达71TBytes。
以上几点变化反映了Q2季度DDoS攻击更趋于短时攻击。其主要原因在于本季度反射攻击、混合攻击、脉冲攻击更加活跃,攻击者选择的攻击手段趋于复杂化,使用更短的时间就达到更好的攻击效果。
Q2的攻击类型中,反射攻击占到62.1%
从攻击次数和攻击总流量占比来看,SYN Flood攻击依然在所有攻击类型中占比重较大,分别为15.8%、54.7%。另外,Q2季度各类型反射攻击比较活跃。
从攻击次数占比来看,Q2季度反射类型的攻击占总攻击次数的62.1%,其中NTP反射、CHARGEN反射、SSDP 反射攻击较多。
Q2的攻击中,混合攻击占到33.7%
Q2季度的DDoS攻击次数和大流量DDoS攻击事件相比Q1有所下降,但攻击手段更加复杂,我们观测到很多利用几种流量混合发起的攻击,这类攻击相比单类型攻击,对攻击目标网络破坏能力更强。从攻击总流量占比看,利用混合攻击手段发起的攻击流量占总类型分布的33.7%。
我们对使用混合攻击手段发起的攻击进行分析,统计其混合攻击使用的种类数占比情况,如下图所示,发现混合攻击中2至3种攻击类型的混合较为常见,占总体分布的97.4%。
另外,对攻击者最常使用的混合类型做了统计,其占比如图所示。
Q2全球NTP反射器总量达到365万
Q2季度反射类型攻击比较活跃,我们对各类反射攻击的次数和流量分别进行了统计。
从攻击流量上来看,NTP Reflection Flood攻击流量占比最多,为36.1%,其次是DNS Reflection Flood攻击,攻击流量占比为24.8%。
从攻击次数上看,本季度CHARGEN Reflection Flood攻击最为活跃,攻击次数占比38.1%,其次是NTP和SSDP Reflection Flood。
据我们最新统计,目前全球范围内NTP反射器累计达365万个,全球分布情况如下图所示,其中美国、俄罗斯、中国、韩国、日本,还有德国等欧洲地区NTP反射器分布最多。
特别声明
为避免客户数据泄露,所有数据在进行分析前都已经匿名化处理,不会在中间环节出现泄露,任何与客户有关的具体信息,均不会出现在本报告中。
请大家留意报告完整内容的发布……