本報告刊登于綠盟科技安全+技術刊物。多年來,綠盟科技緻力于幫助客戶實作業務的安全順暢運作。每天,綠盟科技的防護産品和監測系統會發現數以千計的DDoS(分布式拒絕服務)攻擊危害客戶安全。為了快速回報這類攻擊的資訊,綠盟科技釋出《2014H1DDoS 威脅報告》。本報告為2014 年半年報,用于快速跟蹤及回報DDoS 威脅的發展态勢。
關鍵發現
本次報告包括以下關鍵觀點:
- 政府網站依然是最主要的攻擊對象,攻擊者選擇目标具有“潮流性”
- 廣州、上海和浙江是最集中的受害區域,受攻擊的地區有越來越集中的趨勢
- 四成的受害者遭受2 次或以上DDoS 攻擊,40位中會有1 位遭受10 次以上
- DNS FLOOD 依然是最主要的DDoS 攻擊方式,HTTP FLOOD 持續減少
- 30 分鐘内的DDoS 攻擊始終占總數的90% 左右大流量高速的攻擊正越來越多
報告内容
觀點1 :政府網站依然是最主要的攻擊對象,攻擊者選擇目标具有“潮流性”
綠盟科技收集了2013 至2014 年全球發生的重大DDoS 攻擊事件。在這些攻擊事件中,2014上半年政府網站依然是DDoS 攻擊最主要的目标,占總數的三分之一,其次則是針對商業公司的攻擊。與2013 下半年相比,政府網站和線上遊戲受到的攻擊比例有所下降,而營運商和商業公司則有所上升。與2013上半年相比,最明顯的差別是針對銀行的DDoS 急劇減少。這展現了攻擊者除了具有“逐利性”以外,對目标選擇其實同其他商品一樣具有“潮流性”。
觀點2 :廣州、上海和浙江是最集中的受害區域,受攻擊的地區有越來越集中的趨勢
2013 至2014 年DDoS 攻擊目标在中國國内的地理分布變化明顯。從圖2 可以看出,2014上半年廣州、上海和浙江是最集中的受害區域。受害區域有越來越集中的趨勢,2013 前三位的地區共占攻擊的65% 左右,而在2014上半年則上升到82%。其中變化最明顯的是北京市,受害者數量逐年減少,2013上半年位列第三,到2014 就已經跌出了前十。
觀點3 :四成的受害者遭受2 次或以上DDoS 攻擊,每40 位中會有一位遭受10 次以上
圖3 表現了2013 至2014 年DDoS 攻擊目标每半年受到的DDoS 攻擊次數。從中可以看出,2014上半年中四成的受害者(42.9%)遭受過2 次或以上的DDoS 攻擊,而每40 個受害者中會有一位遭受10 次以上的攻擊,半年内單一目标最多遭受過68 次攻擊。整展現象與2013 下半年基本一緻。而與2013上半年相比,情況已經有所改善,當時有超過三分之二的受害者遭受過2 次或以上DDoS 攻擊。
觀點4 :DNS FLOOD 依然是最主要的DDoS 攻擊方式,HTTP FLOOD 持續減少
2014上半年綠盟科技的監測資料顯示,DNS FLOOD 依然是最主要的DDoS 攻擊方式,占總數的42%,數量有所減少,而TCPFLOOD 則大幅上升。與2013上半年相比,DNS FLOOD 的上升和HTTP FLOOD 的下降最為顯著。
觀點5 :30 分鐘内的DDoS 攻擊始終占總數的90%左右
2013 年以來的資料顯示,DDoS 攻擊時間的分布一直比較穩定,30 分鐘内完成的攻擊始終占90% 左右。由此可見,對于DDoS 的緩解而言,從檢測發現攻擊到啟動清洗的響應速度會成為評判緩解效果的關鍵因素之一。此外,長期連續的DDoS 攻擊雖然少見但依然存在,2014上半年綠盟科技監測到持續最久DDoS 長達228 個小時。
觀點6: 大流量、高速率的攻擊正越來越多 2013 年,大部分DDoS 的實際流量并不大,500M 以下的攻擊占90% 以上。然而,2014上半年的資料顯示,DDoS 的攻擊流量開始整體上升,500M 以上的攻擊已占總數的三分之一,4G 以上則超過了5%。綠盟科技在此期間内監測到的攻擊流量最高達到45G。
與流量提升同步,DDoS 攻擊的包速率也在全面加快。0.2Mpps 以上的已經超過一半,而在2013 下半年這個數字還僅為16%。超過3.2Mpps 的攻擊也超過了2%,最
快速率達到了23Mpps,高速攻擊的時代正在來到。
結束語
回顧四年來DDoS 的跟蹤資料以及更早期的研究成果,我們會發現其發展并不平穩。從一些角度看,攻擊者的行為在不斷變化,例如受害行業和攻擊方法;而從另一些角度,似乎存在比較明顯的趨勢,例如受害者的地域分布和攻擊的流量時長。引發這些現象的原因包括了技術自身的發展,網絡環境的演進,以及利益格局的變化。技術發展為攻擊者提供了越來越多的工具選擇,但這并不是關鍵的因素。網絡環境的演進使得攻防的戰場更為複雜,可用的戰術多樣化的同時,也有一些高效原則開始被普遍接受。
最後,也是最重要的,大部分DDoS 攻擊者依然以獲利為目的,網絡中自身利益格局的變化,對攻擊行為的影響是最大的。事實表明,這個觀點正是得益于綠盟科技長期跟蹤及分析DDoS 資料。相信這些觀點對于大家預測未來的攻擊形态,以及進一步完善企業及組織的解決方案,是有價值的。
“知己知彼,百戰不殆”,面對陰影中兇狠而狡猾的敵人,您做好準備了嗎?
報告全文 本文中有多處圖示,不易張貼,如需檢視報告全文,請直接下載下傳 綠盟科技安全+技術刊物26期
相關文章 綠盟科技DDoS簡報的相關文章請參看
HOIC ddos分析