由于物联网僵尸网络的兴起,DDoS攻击也变得普遍起来。根据A10公司的网络调查显示,今年由物联网而引起的DDoS攻击已经达到了有史以来的最高纪录,在每次攻击中,都有数十万台连接到互联网的家用设备被DDoS攻击利用。
不过,面对DDoS的越来越迅猛的攻击之势,我们对它的防御明显还很不足。这可以从几个环节中一窥得知,对于物联网设备供应商来说,他们虽然已经开始在自己的产品中加强信息安全方面的保护了,但是很明显效果不是很明显。不过,我们还是在打击DDoS的方面做出了一些比较有影响的事件,比如安全专家布莱恩•克雷布斯(Brian Krebs)通过不懈的努力,可能已经找到了去年物联网僵尸网络Mirai发动的大规模DDoS攻击背后的开发者,除此之外,今年2月,一名英国籍男子在伦敦卢顿机场被捕,因为德国警方已经确认就是他去年攻击了德国电信公司,导致近100万用户家庭网络服务中断。如果罪名成立,此人将在德国面临最高10年监禁。
从目前的发展趋势来看,DDoS发起者的主要目标还是赚钱。所以,银行和各种金融机构仍然是最有吸引力的目标。 DDoS攻击往往最后以受害者交付赎金而结束,不过交付赎金之后不见得攻击就能停止。
本季度趋势
DDoS攻击在今年年初的攻击趋势和我们过去五年中观察到趋势是一致的,就是在第一季度是这些黑客的工作淡季。我们猜想,这可能是由于这些攻人正在度假或者是客户的需求较少。这与2016年第四季度的疯狂程度形成了鲜明的对比。不过,尽管2017年第一季度的攻击量虽然相对比较少,但是同比2016年第四季度,其攻击数量仍有很大的提高,这也从侧面证实了DDoS攻击总量正在不断上升的推测。
如果仅靠第一季度的报告就来推测整个2017年的变化趋势,未免有点为时尚早,但我们还是能从其中发现一些新趋势的端倪:
1.根据目前的报告,我们还没有发现有大规模的使用放大攻击方法进行攻击的案例,放大攻击方法必须具备两个条件:
第一,协议没有握手,允许IP源地址伪造(例如ICMP,UDP)
第二,对查询的回复要大于查询本身
所以我们可以推测,黑客利用这种办法来实施DDoS攻击的频率和机会越来越少了,由于DNS是放大攻击方法的核心,而近年来随着网络攻击的泛滥,人们已经会通过配置DNS服务器来进行基本的防御了。
2.基于加密的攻击数量有所增加,与去年的预测和当前趋势相一致。然而,这种增长还不能说是重要的。
正如我们预测的那样,复杂的攻击(应用级攻击,HTTPS)越来越受黑客欢迎,比如对莫斯科证券交易所的组合攻击(SYN + TCP Connect + HTTP-flood + UDP flood)。这种攻击的一个显着特征是其罕见的多向量自然结合所形成的相对较低的攻击流量(3 Gbps)。为了打击这种攻击,有必要使用最新的复杂保护机制。
另一个不寻常的袭击事件就是葡萄牙警察部队的网站被攻击,这次攻击的一个显着特征就是在反向代理服务器中使用网站漏洞来生成攻击流量。我们推测黑客很可能是通过伪装攻击的真正来源来产生攻击流量的,从而使用新的僵尸网络,包括易受攻击的反向代理。
总的来说,2017年第一季度并没有什么很有影响力的变化趋势。不过在第二季度,我们预计DDoS在整个网络攻击中的比例会逐渐增加。
借助僵尸网络的DDoS攻击统计分析
报告摘要
1.2017年第一季度,有72个国家成为DDoS攻击的对象, 2016年第四季度为80个。
2.其中有47.78%的目标地址位于中国,明显低于2016年第四季度(71.60%)。
3.在DDoS攻击数量和目标数量方面,中国,韩国和美国分列前三,但在服务器数量方面,则分别是韩国,美国和荷兰。
4.2017年第一季度最长的DDoS攻击持续了120小时, 比2016年第四季度(292小时)缩短了59%。本季度,共有99.8%的攻击持续不到50小时。
5.使用TCP,UDP和ICMP的攻击比例大幅增长,SYN DDoS的占比从2016年第四季度的75.3%下降到2017年第一季度的48%。
6.不过,基于Windows的僵尸网络的活动已经超过了基于Linux的僵尸网络,其占比已从2016年第四季度的25%上升到2017年第一季度的59.8%。
攻击地理位置分布
2017年第一季度,DDoS攻击地理范围缩小到了72个国家,中国2017年第一季度占55.11%比2016年第四季度下降了21.9个百分点;韩国2017年第一季度为22.41%,比2016年第四季度下降了7.04%;美国2017年第一季度为11.37%比2016年第四季度下降了7.30%。
十大最具针对性的国家占所有袭击的95.5%,其中英国(0.6%)出现在第7位,取代了之前日本的位置,越南(0.8%,上升了 0.2%)从第七位上升到第六位,而加拿大(0.7%)下降到第八位。
第一季统计显示,10个最具针对性的国家占所有DDoS攻击的95.1%。
和攻击次数的排名相一致,中国在2017年第一季度受到的黑客关注最多,占袭击的47.78%,尽管中国仍然是这方面的最大受害者,但是,韩国(从9.42%上升至26.57%)和美国(从9.06%至13.80%)的占比也出现了大幅增长。
俄罗斯(1.55%)跌至第四位,跌幅仅为0.14%,被香港取代了(比2016年第四季度上升了0.35%)。日本和法国被荷兰(0.60%)和英国(1.11%)所替代,跌出前10。
DDoS攻击数量的变化
相比2016年第四季度,2017年第一季度每天的袭击事件数量从86上升到994次。多数袭击发生在1月1日(793次),2月18日(994次)和2月20日(771次)。第一季度中,最平静的一天是2月30日(86次),2月6日(95次),2月7日(69次)及3月15日(91次)。从1月底到2月中旬的袭击事件总体下降,3月份的下降可归因于Xor.DDoS 木马家族的活动减少。
请注意,DDoS攻击可能持续数日。在这个时间段中,相同的攻击可以被多次累计,即超过24小时就重新计算。
每周DDoS活动的分布情况与2016年第四季度比没有任何变化。星期六是第一季度DDoS攻击(16.05%的攻击)中最忙碌的一天。星期一仍然是一周最安静的一天(12.28%)。
DDoS攻击的类型和持续时间
2017年第一季度,TCP DDoS攻击的数量和比例急剧上升,从10.36%上升到26.62%。 UDP和ICMP攻击的百分比也显着增长,分别从2.19%上升到8.71%,从1.41%上升到8.17%。同时,本地度的SYN DDoS(48.07%,75.33%)和HTTP(从10.71%降至8.43%)的占比也大幅下降。
TCP DDoS攻击的比例之所以有如此大的增加是由于Yoyo,Drive和Nitol木马家族的频繁活动。 ICMP攻击的增长是Yoyo和Darkrai木马家族的频繁活动的结果。 Darkrai木马也开始进行更多的UDP攻击,这些都可以在统计数据中看到。
在2017年第一季度,很少有攻击的持续时间超过100个小时。攻击持续时间不超过四小时的比例占了最大的比例(82.21%比2016年第四季度多了14.79%),更长时间攻击的比例大幅下降,攻击持续50-99小时的比例为0.24%(2016年第四季度为0.94%),持续5-9小时的攻击比例从19.28%降至8.45%,持续10-19小时的攻击从7%下降到5.05%。同时,持续20-49小时的攻击比例略增加了 1 %。
第一季度最长的DDoS攻击持续时间仅为120小时,比2016年第四季度的最大时间短了172小时。
C&C服务器和僵尸网络类型
第一季度,我们韩国检测到C&C服务器数量最多,该国的占比从上季度的59.06%上升至66.49%。美国(13.78%)位居第二,其次是荷兰3.51%,取代了拥有最多C&C服务器的中国(1.35%),这三个国家占了全部检测服务器数量的83.8%。
在这一统计类型中,十强也有了很大的变化。日本,乌克兰和保加利亚的位置被香港(1.89%),罗马尼亚(1.35%)和德国(0.81%)所取代。特别值得注意的是中国占比的大幅下滑,从2016年第四季度的第二位下降到本季度的第七位。
在2017年第一季度,操作系统的分布发生了巨大变化,基于Windows的DDoS僵尸网络超越了新的物联网僵尸网络,占所有攻击的59.81%。这是由于属于Yoyo,Drive和Nitol家族的僵尸网络日益频繁攻击活动的结果,而所有这些都是为Windows开发的。
大多数攻击(99.6%)是由属于一个家族的木马进行的。只有0.4%的比例是黑客使用了来自两个不同家族的木马进行的攻击,所以除了Yoyo,Drive和Nitol家族之外的其他木马的攻击几乎可以忽略不计。
总结
虽然与2016年第四季度的报告相比,2017年第一季度相当平静,但我们还是发现了一些有趣的发展。尽管物联网僵尸网络越来越受欢迎,但基于Windows的木马攻击目前还是占大头,经统计,占所有DDoS攻击的59.81%。同时,我们也意识到,只能用复杂的保护机制来应对的越来越复杂的攻击。
在2017年第一季度,放大攻击的案例几乎没有被找到,这表明它的有效性攻击性已经明显下降。我们可以推测这种类型的攻击将会逐渐推出历史,不过另基于加密的攻击数量却显示出了明显的增加趋势。