DDoS 与网路攻击激增,重複攻击已成标準模式

2020-06-06| | 查看: 871| 评论:50

DDoS 与网路攻击激增,重複攻击已成标準模式

内容递送网路(content delivery network;CDN)服务商 Akamai Technologies, Inc.(NASDAQ:AKAM)发布「2015 年第四季网际网路现状 – 安全报告」。本季报告针对 Akamai Intelligent Platform™ 平台上所观察到的恶意活动提供深入分析,并详述全球云端安全威胁概况。如需下载报告,请造访 www.stateoftheinternet.com/security-report。

Akamai 资讯安全事业单位资深副总裁兼总经理 Stuart Scholly 表示:「DDoS 和网路应用程式攻击的威胁并未缓解,Akamai 客户每季所面临的攻击数量仍持续攀升。相较于第三季,2015 年第四季的网路应用程式攻击数量激增了 28%,DDoS 攻击则增加了 40%。恶意攻击者毫不退缩,他们会不断地重複攻击相同目标,等待其防护终有瓦解之时。」

在第四季,重複的 DDoS 攻击已成标準模式,每位被攻击的客户在第四季内平均遭受 24 次攻击,而有三个攻击目标分别遭受超过 100 次攻击,其中一位甚至经历了 188 次攻击,平均每天经历超过两次攻击。

DDoS 攻击行动一览

在第四季,Akamai 在路由解决方案上缓解了超过 3600 次 DDoS 攻击,攻击数量是一年前的两倍以上,绝大部份是利用租用型殭尸网路发动。这些受雇型 DDoS 攻击极度依赖反射技术来扩增他们的流量,通常没有能力发动大型攻击,因此,2015 年大规模攻击数量相较 2014 年来得少。此外,租用型网站通常有使用时间限制,使得平均攻击时数降至十五个小时以下。

(图示:反射式 DDoS 攻击,2014 年第四季 – 2015 年第四季)

DDoS 与网路攻击激增,重複攻击已成标準模式

如左轴所示,SSDPNTPDNS CHARGEN 最常被用于担任反射式攻击媒介;而如右轴所显示,从 2014 年第四季开始,反射式攻击的运用频率大幅上升

基础架构层(第三和第四层)攻击在数个季度以来比例向来最高,第四季所观察到的攻击有 97% 皆属这类攻击。在 2015 年第四季中,21% 的 DDoS 攻击含有 UDP 片段,这些攻击有些是源自于反射式攻击的放大效果,主要是 CHARGEN、DNS 与 SNMP 通讯协定的滥用,导致庞大的有效负载 (payload)。

相较于第三季,NTP 和 DNS 攻击的数量皆大幅攀升。内建安全功能的网域(DNSSEC)通常会产生更庞大的回应资料,因为恶意攻击者试图滥用这些网域,使得 DNS 反射式攻击增加 92%。儘管 NTP 反射的运算资源已随时间耗尽,NTP 攻击仍有所增长,增幅逼近 57%。

多媒介(multi-vector)攻击则为另个常见趋势。在 2014 年第二季,仅有 42% 的 DDoS 攻击採用多媒介手法;到了 2015 年第四季,已有 56% 的 DDoS 攻击採用此攻击手法。虽然大部份多媒介攻击仅使用两种攻击媒介(佔全部攻击的 35%),在第四季所观察到的攻击中有 3% 採用五至八种媒介。

第四季最大攻击的尖峰流量高达 309 Gbps 与 202 Mpps,遭受此攻击的客户为软体科技产业,该攻击使用罕见的 SYN、UDP 和 NTP 攻击组合,由 XOR 和 BillGates 殭尸网路所发动。该次是持续攻击行动的一部分,受害者在 8 日内遭受 19 次攻击,另在一月初亦曾遭受攻击。

第四季逾半数的攻击(54%)是针对游戏公司,另有 23% 是以软体和科技产业为目标。

DDoS攻击概览与 2014 年第四季相比与 2015 年第三季相比网路应用程式攻击活动

虽然上一季的网路应用程式攻击数量增加了 28%,但是两季透过 HTTP 和 HTTPS 传送的网路应用程式攻击比率则相当一致:第四季有 89% 的攻击透过 HTTP 传送,而第三季则为 88% 透过 HTTP 传送。

本季最常见的攻击媒介为 LFI(41%)、SQLi(28%)、PHPi(22%)、XSS(5%)与 Shellshock(2%),剩余的 2% 攻击则包含 RFI、MFU、CMDi 和 JAVAi 攻击。透过 HTTP 和 HTTPS 传送的攻击中,除 PHPi 外各个攻击手法所佔比例相似。透过 HTTPS 传送的攻击中,仅有 1% 採用 PHPi。

第四季的网路应用程式攻击中有 59% 以零售商为攻击目标,第三季则为 55%。媒体娱乐业与饭店旅游产业是第二常见的攻击目标,分别遭受 10% 的攻击。而在第三季的第二常见攻击目标的金融服务产业(15% 的攻击量),本季却仅遭受 7% 的攻击。

延续第三季的趋势,美国不但是网路应用程式攻击的主要来源(56%),同时亦是最常被攻击的目标(77%)。巴西是第二大的攻击来源(6%)与第二个最常被攻击的国家(7%),这似乎与一家大型云端基础架构即服务(IaaS)供应商在巴西开设新的资料中心有关。Akamai 发现,自资料中心开设以来,源自巴西(特别是上述资料中心)的恶意流量即大幅增长,而这类攻击大部份针对一位巴西籍的零售产业客户。

在第四季报告中,我们利用 ASN 辨识出网路应用程式攻击流量的 10 大来源,并针对相应的攻击类型、有效负载与频率进行分析。其中 10 个较为有趣的攻击案例及其有效负载请参阅第 3.6 节。

网路应用程式攻击评估指标与 2015 年第三季比较扫描与刺探活动

在攻击前,恶意攻击者依赖扫描程式和刺探活动来侦察他们的目标。运用 Akamai Intelligent Platform 提供的防火墙资料进行分析后,我们发现侦察活动最常使用的连接埠是 Telnet(24%)、NetBIOS(5%)、MS-DS(7%)、SSH(6%)与 SIP(4%)。根据 ASN 判定,扫描活动的三大来源皆位于亚洲,我们亦发现攻击者会主动扫描适合滥用的反射器,包含 NTP、SNMP 与 SSDP。

依据 ASN 分析的主要反射来源可以看出,网路反射器受到严重滥的情形多发生于中国和其他亚洲国家。SSDP 攻击通常是由家用连线发动,而 NTP、CHARGEN 与 QOTD 则大多来自于执行这些服务的云端託管供应商。SSDP 与 NTP 反射器是最常被滥用的反射器,分别佔了 41%,其次是 CHARGEN(6%)和 RPC(5%),而 SENTINEL 和 QOTD 则分别佔 4%。

报告下载

如欲免费下载「2015 年第四季网际网路现状 – 安全报告」,请至


相关阅读