热门标签 | HotTags
当前位置:  开发笔记 > 编程语言 > 正文

2018上半年互联网DDoS攻击趋势分析

欢迎大家前往腾讯云+社区,获取更多腾讯海量技术实践干货哦~2018年上半年DDoS攻防仍如火如荼发展,以IoT设备为反射点的SSDP反射放大尚未平息,MemcachedDDoS又异军突起

欢迎大家前往腾讯云+社区,获取更多腾讯海量技术实践干货哦~

2018年上半年DDoS攻防仍如火如荼发展,以IoT设备为反射点的SSDP反射放大尚未平息,Memcached DDoS又异军突起,以最高可达5万的反射放大倍数、峰值可达1.7Tbps的攻击流量成为安全界关注的新焦点。DDoS这一互联网公敌,在各种防御设备围追堵截的情况下,攻击者夜以继日地钻研对抗方法、研究新的攻击方式;而且往平台化、自动化的方向发展,不断增强攻击能力。这里我们从2018年上半年DDoS攻击情况的全局统计、DDoS黑色产业链条中的人员分工与自动化操作演进两个方面进行分析阐述。

一、全局统计分析

1. 2013~2018年DDoS流量峰值情况

DDoS攻击流量峰值每年都不断地被超越,今年3月份针对某游戏攻击的Memcached DDoS,其峰值1.7Tbps达到了一个新的高度。虽然已经关闭了大量的Memcached的UDP端口,但其5万的反射放大倍数,仍使攻击者可利用少量未关停UDP端口的Memcached反射点,打出大流量攻击。所以短短的三个月,Memcached DDoS已成为反射放大的一股主要力量。

img

2. DDoS攻击行业分类情况

随着各行各业的互联网化,DDoS的攻击面也越来越多,这里我们列出了14种主要行业。游戏行业因其日流水量最大、变现快,一直站在利益的风口浪尖上,当仁不让地成为DDoS首选的攻击目标,也是上半年各行业中遭受攻击最多的行业。值得关注的是在医疗、物联网、教育等传统行业互联网化后,也遭受到了不同程度的攻击,且呈上升的趋势。

在游戏行业当中,手机游戏已超过了PC客户端游戏成为了DDoS攻击的主要目标。H5游戏的崛起,也成为了DDoS的关注点,占整体攻击的1.4%。这里我们首次把游戏的第三方服务归结到游戏中,游戏的飞速发展催生了大量的第三方服务商,包括但不限于游戏虚拟财产买卖平台、数据分析、电竞、美术/音乐外包、游戏云服务、游戏资讯等各个环节。

img

3. DDoS攻击的类型占比统计

在攻击类型中,反射放大占比最多,约为55.8%。Memcached作为今年三月以来的新兴反射放大力量,迅速被DDoS黑产界利用,其在整体的占比中也相当大。反射放大占比如此之多的一个原因是DDoS黑产的自动平台化,即无需人工干预,完全自动流程可完成攻击的所有操作。

SYN Flood 排名第二,其一直是DDoS的主要攻击手法。随着DDoS黑产的平台化,SYN Flood的载体也发生了改变,由海量的肉鸡渐渐转移到了发包机上(以伪造源IP的SYN Flood为主)。

HTTP Flood作为7层攻击的主要方式,因为要建立完整的TCP连接,不能够伪造源IP,所以还是以肉鸡侧发动攻击为主。但云鼎实验室监测发现,HTTP Flood也开始向代理服务器和发包机发展。在互联网上获取海量的代理服务器相比肉鸡的抓取容易很多,以代理服务器频繁地变换真实的IP,再加上交互的模拟,可以使HTTP Flood很难被发现。而发包机的方式,虽不能变换IP,但可以频繁变换UserAgent的内容,以突破针对HTTP Flood的防御。

img

下图给出了几种反射放大的反射源地域分布情况,从抽样数据统计可见,LDAP、NTP、Memchached为主的反射源Top 10的国家重合度很高,以美国、中国、欧洲国家为主。SSDP反射源因IoT设备的问题,导致其地域分布有所不同。

img

4. DDoS所对应的C2地域分布

近年来国内的互联网安全措施持续加强,通过监控发现,在国内的C2渐渐有外迁的现象。还有一些持有高性能肉鸡的黑客,看到了虚拟货币的逐利远远大于DDoS攻击,将一部分高性能肉鸡转去挖矿。鉴于以上原因针对用于DDoS的C2监控难度越来越大。

img

5. 家族情况

通过对攻击家族的监控,主要以Xorddos,Billgates,Mayday,Dofloo,Nitol,Darkshell等家族为主。Xorddos是发起攻击最多的家族,甚至每天多达上万次的攻击;攻击类型多以SYN Flood为主、其他攻击类型为辅的组合攻击。Nitol家族是发起HTTP Flood攻击最多的家族,还会输出SYNFlood, ICMP Flood, TCP Flood等攻击。以上家族攻击的统计中,针对各个行业的攻击都有涉猎,游戏行业无疑是攻击的首选。

6. 被攻击IP的地域情况

DDoS攻击目标按地域分布统计中,国外受攻击最多的国家是美国,其次是韩国、欧洲国家为主,DDoS攻击的主要目标还是聚集在互联网发达的国家中。

img

在国内各省的统计来看,受到DDoS攻击较多的省份在长三角、珠三角和京津片区,即中国的互联网发达省份,其中以江浙两省最多。

img

7. 每月百G以上攻击流量情况

以每月超过百Gbps的攻击次数统计来看,百Gbps流量分层占比相差不多。100-200Gbps占比最大,基本都在75%以上,而超过300Gbps的流量攻击次数较少。

img

8. 攻击流量带宽分布情况

在攻击流量的分层统计上,1-5G的攻击次数最多,占比约38%。通过统计可得到,大多数的攻击为100Gbps以下的流量攻击,超过百G的攻击累计占总攻击次数不到5%。整体的攻击流量的平均峰值约在5.2Gbps左右。

img

9. 攻击时长分布占比情况

在攻击时长来看,占比最多是1min以下的攻击,约占38.7%。其主要攻击方式是瞬时攻击,以极大的流量直接瘫痪掉攻击的服务,导致大量用户掉线、延迟、抖动等。5-10min也占相当大比例,约28.7%。抽样统计得出,平均攻击时长约1h,单次攻击最长时长约54天。

img

二、DDoS黑色产业链条演进

我们从黑产中的人员分工与自动化操作两个方面进行DDoS发展的阐述。

1. 传统DDoS攻击

早期的DDoS一般是黑客一个人的游戏,从工具开发、bot传播、接单、攻击等都独自完成。随着互联网经济的飞速发展,网络攻击获利越来越多,催生了DDoS攻击的大量需求,例如竞品的攻击、DDoS勒索等。高额的利益便会催生对应工作的精细化分工,DDoS的黑产也不例外,我们针对传统DDoS攻击的专业化人员分工进行分析:

  • 发单人:也可以称为金主,是DDoS攻击后的直接获利者,提出攻击需求。
  • 担保商:也可以称为中间人,是DDoS黑产中较出名的人物,在各个不同分工人员间做“信任”担保,与交易环节的资金中转工作。担保商也会自己架设接发单平台或即时通讯工具群等形式来扩大自己的知名度,带来更多的DDoS攻击业务。
  • 接单人:也可以称为攻击手,通过操作C2服务器或发包机直接发起DDoS攻击。
  • 流量商:通过担保商或直接将国外购买的流量服务器,售卖给攻击手。
  • 肉鸡商:手头拥有大量的肉鸡资源,通过担保商或直接将肉鸡售卖/出租给攻击手。
  • 黑客软件作者:开发botnet程序,反射放大程序等各种DDoS工具。

这样的多种分工,使DDoS在技术难度上被拆解,技术门槛降低,部署更容易。同时给互联网安全人员的分析与溯源带来更大的困难。在分析中我们发现,有一些人员也可能同时担当多个角色。

虽然这种比较早期的DDoS攻击分工已十分成熟,但还是存在一定的不足之处:

  • 成单难以保障:担保商、接单人都具有不确定性,发单人付费后,可能会存在针对目标的攻击没有效果或根本没有发起攻击的情况,给发单人造成经济损失。
  • 响应周期较长:从发单人提出需求到真正达到攻击效果,需要发单人、担保商(或其搭建的各种对接平台/即时通讯工具群等)、接单人等几个环节,时间上需要几小时到几天不等。
  • 攻击效果不能保证:攻击手一般手动远程操作C2服务器或发包机针对目标服务器进行攻击,攻击手所掌握的botnet或发包机规模不同,攻击的流量达不到保证。

img

2. 目前DDoS攻击

鉴于传统DDoS攻击的不足,促使了DDoS的多个环节的自动化发展,页端DDoS攻击平台便是发展的结果之一。其高度集成管理,在成单率、响应时长、攻击效果方面都得到了可行的解决。在人员分工上,有了新的发展:

担保商淡出DDoS黑产圈,发单人可直接在页端DDoS攻击平台下单、支付费用;且可以根据自己的攻击目标的情况选择攻击方式与流量大小。保障了百分之百的成单率。

攻击手已被自动化的攻击平台取代,不需要手动操作攻击。从发起攻击命令,到真正开始攻击,一般延时在10s左右,再也不用等几小时或几天了。

发包机提供人替代了流量商角色,且完成发包机的程序部署,测试,最终给出发包机的攻击类型、稳定流量、峰值流量等各种定量且稳定的攻击能力。稳定的攻击流量,保障了最终的攻击效果。

站长成为了页端DDoS攻击平台的核心人员,进行平台的综合管理、部署、运维工作。例如:DDoS攻击套餐管理、注册用户(金主)管理、攻击效果与流量稳定保障、及后续的升级等。

img

不同的页端DDoS攻击平台也有不同的实现,但其操作流程、核心攻能都很相似,下图给出了其技术的解读。从此图中可见,在用户注册、套餐付费、攻击发起,在用户侧都可以完成,不需要其他人员参与。相对比传统DDoS攻击来看,已完成了全自动的无人值守攻击方式。在图中的调用传统肉鸡的攻击形式很少,主要是调用发包机的攻击方式。发包机中主要配置的是反射放大的各种程序和其对应的反射源列表,偶尔会有伪造源IP的SYN Flood、动态变化UserAgent的HTTP Flood (如goldeneye工具)。

img

三、总结与趋势展望

综上所述,上半年的DDoS攻击,无论从流量还是次数的角度,都上升了一个新的高度。

DDoS黑色产业链的人员与技术的演进降低了整体DDoS入门的门槛,在溯源监控中,有的DDoS黑产团伙平均年龄 20 岁左右,甚至有未满 16 周岁的学生也是其中的一员。

在DDoS的整体防御上,建议用户采用具备大带宽储备和BGP资源的云服务商防御方案。如腾讯云大禹拥有30线BGP IP接入资源,丰富的场景化防护方案。

随着智能AI设备与物联网的飞速发展,DDoS的新宿主平台不断出现,DDoS攻防战会越来越激烈。可以预期,2018年下半年DDoS会呈现出多样化的发展:

  • 类似于Memcached DDoS的新反射放大方式会不断的被曝光与利用;
  • 智能设备的发展会催生出新平台下的botnet产生,且这些平台基本防护措施薄弱,更成了DDoS的温床;
  • 随着打击DDoS力度的不断加大,P2P式僵尸网络或半去中心化变种方式有望重回风口,让DDoS难于监控与溯源分析;
  • 基于暗网的DDoS平台将逐渐替代目前流行的页端DDoS攻击平台,让其平台的存活时间更长。

问答
如何防范DDos攻击?
相关阅读
游戏场景下的DDOS风险分析及防护
基于TCP反射DDoS攻击分析
初识常见DDoS攻击手段

此文已由作者授权腾讯云+社区发布,原文链接:https://cloud.tencent.com/developer/article/1146994?fromSource=waitui
欢迎大家前往腾讯云+社区或关注云加社区微信公众号(QcloudCommunity),第一时间获取更多海量技术实践干货哦~


推荐阅读
  • H5技术实现经典游戏《贪吃蛇》
    本文将分享一个使用HTML5技术实现的经典小游戏——《贪吃蛇》。通过H5技术,我们将探讨如何构建这款游戏的两种主要玩法:积分闯关和无尽模式。 ... [详细]
  • 本文介绍了SIP(Session Initiation Protocol,会话发起协议)的基本概念、功能、消息格式及其实现机制。SIP是一种在IP网络上用于建立、管理和终止多媒体通信会话的应用层协议。 ... [详细]
  • 软件测试行业深度解析:迈向高薪的必经之路
    本文深入探讨了软件测试行业的发展现状及未来趋势,旨在帮助有志于在该领域取得高薪的技术人员明确职业方向和发展路径。 ... [详细]
  • 从CodeIgniter中提取图像处理组件
    本指南旨在帮助开发者在未使用CodeIgniter框架的情况下,如何独立使用其强大的图像处理功能,包括图像尺寸调整、创建缩略图、裁剪、旋转及添加水印等。 ... [详细]
  • 对象存储与块存储、文件存储等对比
    看到一篇文档,讲对象存储,好奇,搜索文章,摘抄,学习记录!背景:传统存储在面对海量非结构化数据时,在存储、分享与容灾上面临很大的挑战,主要表现在以下几个方面:传统存储并非为非结 ... [详细]
  • Python 数据可视化实战指南
    本文详细介绍如何使用 Python 进行数据可视化,涵盖从环境搭建到具体实例的全过程。 ... [详细]
  • 如何将TS文件转换为M3U8直播流:HLS与M3U8格式详解
    在视频传输领域,MP4虽然常见,但在直播场景中直接使用MP4格式存在诸多问题。例如,MP4文件的头部信息(如ftyp、moov)较大,导致初始加载时间较长,影响用户体验。相比之下,HLS(HTTP Live Streaming)协议及其M3U8格式更具优势。HLS通过将视频切分成多个小片段,并生成一个M3U8播放列表文件,实现低延迟和高稳定性。本文详细介绍了如何将TS文件转换为M3U8直播流,包括技术原理和具体操作步骤,帮助读者更好地理解和应用这一技术。 ... [详细]
  • SSAS入门指南:基础知识与核心概念解析
    ### SSAS入门指南:基础知识与核心概念解析Analysis Services 是一种专为决策支持和商业智能(BI)解决方案设计的数据引擎。该引擎能够为报告和客户端应用提供高效的分析数据,并支持在多维数据模型中构建高性能的分析应用。通过其强大的数据处理能力和灵活的数据建模功能,Analysis Services 成为了现代 BI 系统的重要组成部分。 ... [详细]
  • 在《PHP应用性能优化实战指南:从理论到实践的全面解析》一文中,作者分享了一次实际的PHP应用优化经验。文章回顾了先前进行的一次优化项目,指出即使系统运行时间较长后出现的各种问题和性能瓶颈,通过采用一些通用的优化策略仍然能够有效解决。文中不仅详细阐述了优化的具体步骤和方法,还结合实例分析了优化前后的性能对比,为读者提供了宝贵的参考和借鉴。 ... [详细]
  • 作为140字符的开创者,Twitter看似简单却异常复杂。其简洁之处在于仅用140个字符就能实现信息的高效传播,甚至在多次全球性事件中超越传统媒体的速度。然而,为了支持2亿用户的高效使用,其背后的技术架构和系统设计则极为复杂,涉及高并发处理、数据存储和实时传输等多个技术挑战。 ... [详细]
  • 华为与红帽联手,加速开源电信软件革新
    华为与红帽携手合作,旨在加速开源电信软件的发展,以满足大型电信运营商对灵活网络解决方案的需求。 ... [详细]
  • 本文深入探讨了Go语言中的接口型函数,通过实例分析其灵活性和强大功能,帮助开发者更好地理解和运用这一特性。 ... [详细]
  • 英特尔推出第三代至强可扩展处理器及傲腾持久内存,AI性能显著提升
    英特尔在数据创新峰会上发布了第三代至强可扩展处理器和第二代傲腾持久内存,全面增强AI能力和系统性能。 ... [详细]
  • 使用 Jupyter Notebook 实现 Markdown 编写与代码运行
    Jupyter Notebook 是一个开源的基于网页的应用程序,允许用户在同一文档中编写 Markdown 文本和运行多种编程语言的代码,并实时查看运行结果。 ... [详细]
  • 本文整理了关于Sia去中心化存储平台的重要网址和资源,旨在为研究者和用户提供全面的信息支持。 ... [详细]
author-avatar
jlxx19_937
这个家伙很懒,什么也没留下!
PHP1.CN | 中国最专业的PHP中文社区 | DevBox开发工具箱 | json解析格式化 |PHP资讯 | PHP教程 | 数据库技术 | 服务器技术 | 前端开发技术 | PHP框架 | 开发工具 | 在线工具
Copyright © 1998 - 2020 PHP1.CN. All Rights Reserved | 京公网安备 11010802041100号 | 京ICP备19059560号-4 | PHP1.CN 第一PHP社区 版权所有