新闻中心

2019年第三季度DDoS攻击报告

  新闻概述
  上季度,我们发现一种新的DDoS攻击,攻击者利用Memcached协议进行放大攻击,正如之前我们的推测。比如,安全人员最近发现一类攻击是通过WS-Discovery多播协议欺骗返回IP地址。虽然网络罪犯最近才开始使用这种方法,但已经拥有高达350 Gbps的攻击能力。
  Trend Micro发现了DDoS攻击者手中另一个新工具,它是通过数据搜索和分析工具Elasticsearch的后门分发的新的有效载荷。该恶意软件是危险的,因为它采用了多阶段的感染方法,并成功地避开了检测,可以用来创建僵尸网络发动大规模的DDoS攻击。Trend Micro建议所有的Elasticsearch用户升级到最新版本,因为后门已经打了补丁。
  以上例证表明,网络罪犯更有可能求助于成熟的技术,而不是尝试新的技术。例如,当去年联邦调查局取缔了一些廉价的DDoS-for-hire站点时,新的DDoS站点立即出现在它们的位置上,现如今它们的威胁比以往任何时候都更加严重。报告表明,在它们的协助下进行的攻击次数比上一季度增加了400%。
  9月初发起的对《魔兽世界》经典版的攻击极有可能就是通过这种服务组织起来的。暴雪后来宣布逮捕了这名策划者,不过目前还不清楚这名策划者是否是相应Twitter账户的所有者。但如果是这样的话,我们很容易会得出这个结论:该公司根本不是一个附带的黑客组织的成员,而是一个DDoS-for-hire服务的客户。
  研究人员还观察到攻击者使用另一种久经考验的方法(类似于Mirai的僵尸网络),在7月份对每秒最多容纳292,000个请求的流媒体服务发起了为期13天的应用程序攻击。这次攻击涉及大约40万台设备,主要是家用路由器。
  尽管这两起袭击背后的动机只能猜测,但今年夏天和秋天发生的另外两起袭击几乎肯定是出于政治动机。8月31日LIHKG Forum成为攻击目标,这是香港地区抗议者用来协调行动的主要网站之一。据该网站的所有者称,在16个小时内,该网站收到了15亿次请求,导致该网站暂时下线,并导致该移动应用程序出现故障。
  不久之后,维基百科遭到攻击。9月6日晚开始,世界上最大的在线百科全书暂时无法为欧洲、非洲和中东各国的用户使用。维基百科经常被攻击,但这次攻击量级首次超过1Tbps,持续时间达到三天。
  在执法努力这一主题上,必须提到另一条新闻,它强调了防范DDoS攻击的重要性。在过去的几个季度里,我们的报告中关于全球僵尸网络活动的部分一直在关注那些在几年前还不太可能参与评级的国家(地区)。此外,以前受到网络罪犯攻击的其他国家(地区)的份额一直在下降。原因如下:
  第一,曾经被统称为第三世界的国家(地区)生活水平不断提高。那里越来越多的居民正在购买智能手机和宽带路由器——大多数僵尸网络都是由这些设备构成的。
  第二,在网络罪犯长期从事网络犯罪的地区,网络安全意识正在提高,并采取了更有效的措施来保护设备,包括在供应商层面,这意味着攻击者不得不寻找新的领域。这就是我们的网络攻击排名发生变动的原因
  季度的趋势
  在第三季度,DDoS活动通常会在夏季的几个月里暂停,然后在9月份出现与学年开始相关的高峰。今年也不例外。
  根据卡巴斯基实验室的数据,与上一季度相比,第三季度的智能攻击(即技术更复杂、需要更多独创性的攻击)数量显著下降。然而,与去年同期相比,我们看到了两倍以上的增长。在以前的报告中所做的预测显然正在变成现实:DDoS市场也正在稳定下来。考虑到这一点,我们预测Q4的结果将是类似的。
  智能攻击的平均持续时间自第二季度以来几乎没有变化,但与2018年第三季度相比几乎翻了一番,这一事实也证明了市场的稳定,全年都在增长。与此同时,由于短时间DDoS攻击数量的总体增加,所有攻击的平均持续时间略有下降。
  智能DDoS攻击在网络攻击中所占份额的变化值得单独提及。
  智能攻击占攻击总数的比例与上一季度相比几乎减半,但与2018年第三季度相比增加了7个百分点;针对上半年结束的智能攻击的比例下降。
  与去年一样,9月的到来与DDoS攻击数量的显著增加密切相关。此外,这个月的攻击占了所有Q3攻击的53%。
  更重要的是,早秋60%的DDoS活动是针对教育相关资源的:电子年级书籍、大学网站等。在这类攻击的背景下(大多数攻击时间短、组织不力),第三季度的智能攻击比例下降了22个百分点。
  去年我们观察到类似的情况,因为这是由于学生返回学校和大学。这些攻击大多是由业余人士实施的网络流氓行为,不指望获得经济利益。
  请注意,与2018年9月相比,2019年9月的攻击总数增加了35次。而袭击的总数在2019年第三季度相比,2018年第三季度增长了32 个百分点。也就是说,这些数字大致相同,而智能攻击增长比例更大,而智能袭击的总数增加了58 个百分点。
  因此,在2019年第三季度,我们不仅没有看到智能攻击数量的明显上升,还看到它们的总数下降,这在过去一年里还是第一次。上个季度预测DDoS市场将趋于饱和并停止增长,很有可能成为现实。
  根据以往经验,对教育部门的连番攻击将在冬季平息,但只有在夏季学校放假的时候才会完全平静下来。
  季度总结
  中国仍然是攻击次数最多的国家(地区),与第二季度相比几乎没有变化(62.97%到63.80%)。
  根据袭击事件的地域分布,排在前十名的意外访客是南非,它排在第四位(2.40%),此前从未出现在我们的排行榜上。
  按目标数量划分,前三名分别是中国内地(57.20%)、美国(22.16%)和香港地区(4.29%)。
  上一季度,DDoS僵尸网络活动高峰出现在7月份;最危险的一天是周一(17.53%的攻击),最平静的一天是周日(10.69%)。
  最长的攻击持续了11天(279小时),几乎是第二季度的一半。
  最常见的攻击类型仍然是SYN Flood (79.7%),其次是UDP Flood (9.4%)。最不受欢迎的是ICMP Flood(0.5%)。
  Windows和Linux僵尸网络的份额几乎与第二季度持平;Linux僵尸网络仍然占据了绝大多数(97.75%)的活动。
  僵尸网络C&C服务器数量最多的国家(地区)再次是美国(47.55%),其次是荷兰(22.06%)和中国内地(6.37%)。
  攻击地理
  与前几个季度一样,攻击次数最多的仍是中国内地,其所占份额下降了0.83个百分点,至62.97%。同样,美国仍排在第二位:其份额小幅下降至17.37%(上一季度为17.57%)。香港地区稳居第三名。与中国内地和美国形成对比的是,它的份额虽然只增长了0.83个百分点,达到5.44%。
  过去几个季度的趋势仍在继续,从较低的排名上升至前10名。这一次是南非(2.4%),较上一季度的第19位大幅上升。它从荷兰(0.69%)手中夺得第四名,荷兰跌至第九。更重要的是,前十名欢迎久违的韩国回归——但不再像以前那样挤进前三,而是以0.71%的得票率排在第八。
  同样值得注意的是罗马尼亚,该国所占比例上涨0.93个百分比,以1.12%的涨幅重新跻身前十。罗马尼亚、南非和韩国一起挤出了台湾地区、澳大利亚和越南。
  本季度受攻击目标的地理分布与攻击数量的分布有很多共同之处——这在此类统计中相当典型。排名前三的还有中国内地(57.20%)、美国(22.16%)和香港地区(4.29%),它们的排名与攻击次数排名相近。但是下面的前10位也存在差异。这在一定程度上是由于每个国家(地区)的份额都很小(前三名除外),这意味着即使是很小的波动也会导致重大的洗牌。
  例如,南非(1.83%)进入了前10名,排在第五,英国(2.71%)位居其后。在袭击次数最多的国家(地区)中,情况正好相反:英国排在南非之后,位列第五。罗马尼亚也以0.71%的市场份额重新进入评级,而韩国则跌出了评级。本季度的评级也不包括台湾地区和爱尔兰。
  法国仍排在最后,其市场份额较上一季度下降0.23个百分点,至0.67%。
  DDoS攻击的持续时间和类型
  上一季度最长攻击持续了11.6天(279小时),比第二季度(509小时)短1.8倍。然而应该指出的是,Q2的最长攻击记录还未被打破。
  与此同时,汇总的统计数据并没有显示出全球性的变化:持续140小时以上的攻击比例下降了0.01个百分点,降至0.12%。相反,20 - 139小时攻击的比例略有上升,而5 - 9小时攻击的比例下降了1.5个百分点;最短攻击(持续时间不超过4小时)的总比例上升到84.42%,略低于2个百分点。
  最主要的攻击类型仍然是SYN Flood。它的份额变化不大,从84%下降到79.7%。第二位是 UDP Flood (9.4%),HTTP Flood位于第四位,份额1.7%,而TCP Flood的比例上升到8.7%,是上一季度的两倍多(3.1%)。和之前一样,ICMP Flood在Q3中排名最后。
  Linux僵尸网络的份额继续增长:第三季度为97.75%,而Windows僵尸网络的份额则分别下降1.75个百分点,至2.25%。这并不是由于Linux僵尸网络活动的增长,而是由于面向Windows的僵尸网络活动的减少。
  僵尸网络地理分布
  在第二季度,美国的C&C服务器数量位居榜首,其市场份额从44.14%上升到47.55%。排在第二位的是荷兰:它的份额也从12.16%上升到了22.06%。如此稳健的增长必然会对名单产生重大影响。以中国内地为例,其市场份额仅增长了1.42个百分点,达到6.37%,从第五位上升到第三位,把英国推到了第四位(4.90%)。
  俄罗斯也攀升至第五位,市场份额为3.92%,希腊和韩国则下滑。在前十名中,罗马尼亚以1.47%的得票率排在最后一名。按DDoS攻击次数和目标分类,罗马尼亚在本季度的排名中也名列前茅。
  中国境内的数据
  本季度利用肉鸡发起DDoS攻击的控制端中,境外控制端最多位于美国;境内控制端主要位于江苏省、广东省。按归属运营商统计,移动占的比例最大。
  本季度参与攻击较多的肉鸡地址主要位于广东省、浙江省、山东省和江苏省。其中大量肉鸡地址位置归属于电信运营商。
  本季度被利用发起Memcached反射攻击境内反射服务器主要位于广东省、四川省;数量最多的归属运营商是电信。被利用发起NTP反射攻击的境内反射服务器主要位于河北省、山东省;数量最多的归属运营商是联通。被利用发起SSDP反射攻击的境内反射服务器主要位于辽宁省、浙江省;数量最多的归属运营商是联通。
  本季度转发伪造跨域攻击流量的路由器中,归属于辽宁省的路由器参与的攻击事件数量最多,2019年以来被持续利用的跨域伪造流量来源路由器中,归属于北京市、贵州省的路由器数量最多。
  本季度转发伪造本地攻击流量的路由器中,归属于浙江省电信的路由器参与的攻击事件数量最多,2019年以来被持续利用的本地伪造流量来源路由器中,归属于江苏省、北京市和浙江省路由器数量最多。
  结论
  从统计上看,2019年Q3与Q2差别不大。在攻击和目标的地域分布上,我们看到了不速之客不断出现又退出的趋势。
  就攻击事件的时间分布而言,Q3又与Q2相似:在季度开始时观察到乱流,在季度结束时中、小波峰和波谷出现平静。每天攻击的典型分布也几乎没有改变。与上一季度相比,最长攻击的持续时间有所下降,但长攻击和短攻击所占百分比的差异不明显。
  所有这些都可能表明,DDoS攻击市场已经暂时稳定,但或者我们只是面临了一个统计异常现象,这些可以通过对Q4的数据分析进行修正,让我们拭目以待。